Web Application Firewall：Aktifkan perlindungan WAF untuk instance NLB

Informasi latar belakang

NLB adalah layanan load balancing Lapisan 4 yang dirancang untuk era Internet of Everything (IoE). NLB menawarkan performa ultra-tinggi dan dapat secara otomatis diskalakan sesuai permintaan. Sebuah instance NLB mendukung hingga 100 juta koneksi bersamaan dan cocok untuk layanan yang memerlukan konkurensi tinggi.

Anda dapat menambahkan instance NLB ke WAF untuk perlindungan. Untuk mengaktifkan perlindungan WAF, tambahkan port pengalihan lalu lintas dari instance NLB Anda ke WAF. Setelah ditambahkan, lalu lintas dari port dengan pengalihan lalu lintas yang diaktifkan akan dialihkan ke WAF melalui gateway tertentu. WAF menyaring lalu lintas berbahaya dan meneruskan lalu lintas normal ke instance NLB. Gambar berikut menunjukkan arsitektur jaringan.

Batasan

Layanan web yang menggunakan salah satu layanan Alibaba Cloud berikut dapat ditambahkan ke Web Application Firewall (WAF) dalam mode cloud native: Application Load Balancer (ALB), Microservices Engine (MSE), Function Compute, Classic Load Balancer (CLB), Elastic Compute Service (ECS), dan Network Load Balancer (NLB). Jika Anda ingin menggunakan WAF untuk melindungi layanan web yang tidak menggunakan layanan Alibaba Cloud yang disebutkan sebelumnya, tambahkan nama domain layanan web ke WAF dalam mode rekaman CNAME. Untuk informasi lebih lanjut, lihat Tambahkan nama domain ke WAF.

Prasyarat

• Sebuah instance WAF 3.0 telah dibeli. Untuk informasi lebih lanjut, lihat Beli instance WAF 3.0 berlangganan dan Beli instance WAF 3.0 bayar sesuai pemakaian.

• Sebuah instance NLB telah dibuat, dan listener TCP telah ditambahkan ke instance NLB tersebut. Instance juga memenuhi persyaratan sebelumnya. Untuk informasi lebih lanjut tentang persyaratan, lihat Batasan. Untuk informasi lebih lanjut tentang cara menambahkan listener TCP ke instance NLB, lihat Tambahkan listener TCP.

• Jika Anda menggunakan instance WAF berlangganan, pastikan bahwa jumlah objek yang dilindungi yang ditambahkan ke WAF tidak melebihi batas atas. Jika jumlahnya melebihi batas atas, jangan lagi menambahkan instance layanan cloud ke WAF.

  Untuk melihat jumlah objek yang dilindungi yang dapat Anda tambahkan ke WAF, buka halaman Halaman Objek yang Dilindungi.

Tambahkan port pengalihan lalu lintas

1. Masuk ke Konsol WAF 3.0. Di bilah navigasi atas, pilih grup sumber daya dan wilayah instance WAF. Anda dapat memilih Chinese Mainland atau Outside Chinese Mainland.

2. Di panel navigasi kiri, klik Website Configuration.

3. Pada tab Cloud Native , klik Network Load Balancer (NLB) di daftar layanan cloud di sebelah kiri.

4. Pada halaman otorisasi, klik Authorize Now untuk mengotorisasi instance WAF Anda mengakses layanan cloud yang diperlukan.

   Alibaba Cloud secara otomatis membuat peran layanan terkait AliyunServiceRoleForWAF. Untuk melihat peran layanan terkait, masuk ke Konsol Resource Access Management (RAM) dan pilih Identities > Roles di panel navigasi kiri.

   Catatan

   Jika otorisasi sudah selesai, halaman otorisasi tidak ditampilkan. Anda dapat melanjutkan ke langkah berikutnya.

5. Klik Add.

6. Di panel Configure Instance - NLB, konfigurasikan parameter-parameter berikut. Tabel berikut menjelaskan parameter-parameter tersebut.

   Parameter	Operasi
   Select the instance and port to be added.	Opsional: Synchronize Instances Jika instance yang ingin Anda tambahkan ke WAF tidak ada dalam daftar instance, klik Synchronize Assets untuk menyegarkan daftar instance. Add Port Temukan instance yang ingin Anda tambahkan ke WAF dan klik Add Port di kolom Actions. Pilih port yang ingin Anda tambahkan ke WAF. Konfigurasikan parameter Protocol Type untuk port yang ingin Anda tambahkan ke WAF. Nilai valid: HTTP dan HTTPS. Jika Anda memilih HTTPS, Anda harus mengunggah sertifikat. Catatan Jumlah total sertifikat default dan tambahan yang Anda unggah tidak boleh melebihi 25. Jika Anda ingin mengunggah lebih banyak sertifikat, hubungi manajer akun atau arsitek solusi Anda. Default Certificate Upload Klik Upload dan konfigurasikan parameter Certificate Name, Certificate File, dan Private Key. Nilai parameter File Sertifikat harus dalam format -----BEGIN CERTIFICATE-----...-----END CERTIFICATE-----. Nilai parameter Kunci Privat harus dalam format -----BEGIN RSA PRIVATE KEY-----...-----END RSA PRIVATE KEY-----. Penting Jika file sertifikat dalam format PEM, CER, atau CRT, gunakan editor teks untuk membuka file dan salin konten teksnya. Jika file sertifikat dalam format lain, seperti PFX atau P7B, konversikan file sertifikat ke format PEM sebelum membuka dengan editor teks dan menyalin kontennya. Anda dapat masuk ke Konsol Layanan Manajemen Sertifikat dan gunakan alat yang disediakan untuk mengonversi format file. Jika nama domain terkait dengan beberapa sertifikat SSL atau memiliki rantai sertifikat, gabungkan konten teks file sertifikat dan unggah konten teks gabungan tersebut. Select Existing Certificate Jika sertifikat Anda memenuhi salah satu kondisi berikut, klik Select Existing Certificate dan pilih sertifikat dari daftar sertifikat: Sertifikat diterbitkan menggunakan Layanan Manajemen Sertifikat. Sertifikat adalah sertifikat pihak ketiga yang diunggah ke Layanan Manajemen Sertifikat. Penting Jika Anda memilih sertifikat pihak ketiga yang diunggah ke Layanan Manajemen Sertifikat dan pesan kesalahan Failed to verify the integrity of the certificate chain. If you use this certificate, service access may be affected. muncul, klik Alibaba Cloud Security - Certificate Management Service dan unggah ulang sertifikat di konsol Layanan Manajemen Sertifikat. Untuk informasi lebih lanjut, lihat Unggah dan bagikan sertifikat SSL. Additional Certificate Jika Anda mengonfigurasikan instance untuk mengizinkan lalu lintas dari beberapa nama domain melalui HTTPS, klik Additional Certificate untuk mengimpor sertifikat nama domain tersebut. Parameter yang digunakan untuk mengunggah sertifikat tambahan dan sertifikat default sama. Untuk informasi lebih lanjut, lihat Sertifikat Default. Jika memilih HTTPS, Anda dapat mengklik Advanced Settings untuk mengonfigurasikan parameter lanjutan berikut: TLS Version Tentukan versi protokol Transport Layer Security (TLS) yang didukung untuk komunikasi HTTPS. Jika klien menggunakan versi TLS yang tidak didukung, WAF memblokir permintaan yang dikirim dari klien. Versi TLS yang lebih baru memberikan keamanan lebih tinggi tetapi kompatibilitas lebih rendah. Kami merekomendasikan agar Anda menentukan versi TLS berdasarkan pengaturan HTTPS situs web Anda. Jika Anda tidak dapat memperoleh pengaturan HTTPS situs web Anda, gunakan nilai default. Nilai valid: TLS 1.0 and Later (Best Compatibility and Low Security) (default) TLS 1.1 and Later (High Compatibility and High Security) Jika Anda memilih nilai ini, klien yang menggunakan TLS 1.0 tidak dapat mengakses situs web Anda. TLS 1.2 and Later (High Compatibility and Best Security) Jika Anda memilih nilai ini, klien yang menggunakan TLS 1.0 atau 1.1 tidak dapat mengakses situs web Anda. Jika situs web Anda mendukung TLS 1.3, pilih Support TLS 1.3. Secara default, WAF tidak mendengarkan permintaan yang dikirim menggunakan TLS 1.3. Cipher Suite Tentukan suite sandi yang didukung untuk komunikasi HTTPS. Jika klien menggunakan suite sandi yang tidak didukung, WAF memblokir permintaan yang dikirim dari klien. Nilai defaultnya adalah Semua Kombinasi Cipher (Kompatibilitas Tinggi dan Keamanan Rendah). Kami menyarankan Anda untuk mengubah parameter ini hanya jika situs web Anda mendukung kombinasi cipher tertentu. Nilai yang valid: All Cipher Suites (High Compatibility and Low Security). Custom Cipher Suite (Select It Based on Protocol Version. Proceed with Caution.): Jika situs web Anda hanya mendukung suite sandi tertentu, kami menyarankan Anda memilih nilai ini dan kemudian memilih suite sandi yang didukung oleh situs web Anda. Untuk informasi lebih lanjut, lihat Lihat suite sandi yang didukung. Klien yang menggunakan suite sandi lainnya tidak dapat mengakses situs web Anda.
   Whether Layer 7 Proxy, Such as Anti-DDoS Pro, Anti-DDoS Premium, or Alibaba Cloud CDN, Is Deployed in Front of WAF	Tentukan apakah proxy lapisan 7, seperti Anti-DDoS Pro atau Alibaba Cloud CDN, diterapkan di depan WAF. Secara default, No dipilih. Nilai ini menentukan bahwa WAF menerima permintaan yang dikirim langsung dari klien. Permintaan tersebut tidak diteruskan oleh proxy. Catatan Saat permintaan dikirim dari klien ke WAF, WAF menggunakan alamat IP yang digunakan untuk membuat koneksi ke WAF sebagai alamat IP klien. Alamat IP ditentukan oleh bidang REMOTE_ADDR dari permintaan. Jika proxy lapisan 7 diterapkan di depan WAF, pilih Yes. Nilai ini menentukan bahwa WAF menerima permintaan yang diteruskan ke WAF oleh proxy lapisan 7. Untuk memastikan bahwa WAF dapat memperoleh alamat IP asli klien untuk analisis keamanan, Anda harus mengonfigurasikan parameter Obtain Actual IP Address of Client. Use the First IP Address in X-Forwarded-For Field as Actual IP Address of Client (default) Secara default, WAF menggunakan alamat IP pertama di bidang X-Forwarded-For sebagai alamat IP klien. [Recommended] Use the First IP Address in Specified Header Field as Actual IP Address of Client to Prevent X-Forwarded-For Forgery Jika Anda menggunakan proxy yang berisi alamat IP asal klien dalam bidang header kustom, seperti X-Client-IP atau X-Real-IP, pilih nilai ini. Kemudian, masukkan bidang header kustom di bidang Header Field. Catatan Kami merekomendasikan agar Anda menggunakan bidang header kustom untuk menyimpan alamat IP asal klien dan menentukan bidang header di WAF. Dengan cara ini, penyerang tidak dapat memalsukan bidang X-Forwarded-For untuk menghindari inspeksi WAF. Ini meningkatkan keamanan bisnis Anda. Anda dapat memasukkan beberapa bidang header. Tekan tombol Enter setiap kali Anda memasukkan bidang header. Jika Anda memasukkan beberapa bidang header, WAF membaca bidang header secara berurutan hingga memperoleh alamat IP klien. Jika WAF tidak dapat memperoleh alamat IP klien dari bidang header, WAF menggunakan alamat IP pertama di bidang X-Forwarded-For sebagai alamat IP klien.
   Resource Group	Pilih grup sumber daya ke mana Anda ingin menambahkan instance. Jika Anda tidak memilih grup sumber daya, instance akan ditambahkan ke default resource group. Catatan Anda dapat menggunakan Resource Management untuk membuat grup sumber daya dan mengelola sumber daya dalam akun Alibaba Cloud Anda berdasarkan departemen atau proyek. Untuk informasi lebih lanjut, lihat Buat grup sumber daya.
   Advanced Settings	Obtain the listening protocol of WAF by using the X-Forwarded-Proto header field WAF secara otomatis menambahkan bidang header X-Forwarded-Proto ke permintaan HTTP untuk mengidentifikasi protokol asli yang digunakan oleh klien yang mengirim permintaan. Jika situs web Anda tidak dapat menangani bidang header X-Forwarded-Proto dengan benar, masalah kompatibilitas mungkin terjadi dan bisnis Anda mungkin terpengaruh. Untuk mencegah masalah tersebut, kosongkan Dapatkan protokol listening WAF menggunakan bidang header X-Forwarded-Proto. Enable Traffic Mark Jika Anda memilih Aktifkan Tanda Lalu Lintas, permintaan yang melewati WAF ditandai. Ini membantu server asal memperoleh alamat IP atau port asal klien. Jika penyerang memperoleh informasi tentang server asal Anda sebelum Anda menambahkan nama domain Anda ke WAF dan menggunakan instance WAF lain untuk meneruskan permintaan ke server asal, pilih Aktifkan Tanda Lalu Lintas untuk memblokir lalu lintas berbahaya. Server asal memeriksa apakah permintaan telah melewati WAF. Jika bidang header tertentu ada dalam permintaan, permintaan tersebut telah melewati WAF dan diizinkan. Jika bidang header tertentu tidak ada dalam permintaan, permintaan tersebut tidak melewati WAF dan diblokir. Anda dapat mengonfigurasikan jenis bidang header berikut: Custom Header Jika Anda ingin menambahkan bidang header kustom, Anda harus mengonfigurasikan parameter Header Name dan Header Value. WAF menambahkan bidang header ke permintaan balik ke asal. Ini memungkinkan server asal memeriksa apakah permintaan telah melewati WAF, mengumpulkan statistik, dan menganalisis data. Sebagai contoh, Anda dapat menambahkan bidang header kustom ALIWAF-TAG: Yes untuk menandai permintaan yang melewati WAF. Dalam contoh ini, nama bidang header adalah ALIWAF-TAG dan nilai bidang header adalah Yes. Originating IP Address Anda dapat menentukan bidang header yang mencatat alamat IP asal klien. Dengan cara ini, server asal Anda dapat memperoleh alamat IP asal klien. Untuk informasi lebih lanjut tentang bagaimana WAF memperoleh alamat IP asal klien, lihat Whether Layer 7 Proxy, Such as Anti-DDoS Pro, Anti-DDoS Premium, or Alibaba Cloud CDN, Is Deployed in Front of WAF. Source Port Anda dapat menentukan bidang header yang mencatat port asal klien. Dengan cara ini, server asal Anda dapat memperoleh port klien. Penting Kami merekomendasikan agar Anda tidak mengonfigurasikan bidang header HTTP standar, seperti User-Agent. Jika tidak, nilai asli bidang header standar akan ditimpa oleh nilai bidang header kustom. Anda dapat mengklik Add Mark untuk menambahkan bidang header. Anda dapat menentukan hingga lima bidang header. Koneksi Keep-alive Balik ke Asal Jika koneksi persisten antara WAF dan server asal Anda habis waktu, Anda dapat mengonfigurasi ulang periode timeout koneksi persisten, jumlah koneksi persisten yang digunakan kembali, dan periode timeout koneksi persisten idle. Read Connection Timeout Period: jumlah waktu selama WAF menunggu respons dari server asal. Setelah periode timeout berakhir, WAF menutup koneksi. Nilai valid: 1 hingga 3600. Nilai default: 120. Unit: detik. Write Connection Timeout Period: jumlah waktu selama WAF menunggu permintaan diteruskan ke server asal. Setelah periode timeout berakhir, server asal menutup koneksi. Nilai valid: 1 hingga 3600. Nilai default: 120. Unit: detik. Back-to-origin Keep-alive Requests: Jika Anda ingin mengonfigurasikan jumlah koneksi persisten yang digunakan kembali atau periode timeout koneksi persisten idle, aktifkan Koneksi Keep-alive Balik ke Asal dan konfigurasikan parameter berikut: Reused Keep-alive Requests: jumlah permintaan yang dapat diteruskan WAF ke server asal atau jumlah respons yang dapat diterima WAF dari server asal secara bersamaan. Nilai valid: 60 hingga 1000. Nilai default: 1000. Timeout Period of Idle Keep-alive Requests: periode timeout koneksi persisten idle. Nilai valid: 10 hingga 3600. Nilai default: 3600. Unit: detik.

7. Pilih instance yang ingin Anda tambahkan ke WAF dan klik OK.

   Setelah Anda menambahkan instance ke WAF, instance tersebut menjadi objek yang dilindungi oleh WAF. Nama objek yang dilindungi berada dalam format ID Instance-Port-Jenis Aset. Secara default, aturan perlindungan modul aturan perlindungan inti diaktifkan untuk objek yang dilindungi. Lihat objek yang dilindungi dan konfigurasikan aturan perlindungan untuk objek yang dilindungi di halaman Protected Objects. Untuk pergi ke halaman tersebut, klik ID instance pada tab Cloud Native halaman Konfigurasi Situs Web. Untuk informasi lebih lanjut, lihat Ikhtisar konfigurasi perlindungan.

Operasi lainnya

Lihat server asal dan kelola port pengalihan lalu lintas

Setelah menambahkan instance ke WAF, Anda dapat melihat detail perlindungan server asal dan secara paksa menonaktifkan pengalihan lalu lintas atau menghapus port pengalihan lalu lintas dalam skenario pemulihan bencana darurat.

1. Di halaman Website Configuration, klik tab Cloud Native.

2. Klik NLB di daftar layanan cloud di sebelah kiri. Temukan instance NLB yang ingin Anda kelola dan klik ikon di sebelah kiri nama instance untuk melihat port pengalihan lalu lintas yang ditambahkan ke WAF.

   • Lihat detail port: Klik Port Details di kolom Actions untuk melihat detail port, termasuk port, protokol, dan sertifikat. Anda dapat mengonfigurasi ulang parameter berikut: Apakah Proxy Lapisan 7, seperti Anti-DDoS Pro, Anti-DDoS Premium, atau Alibaba Cloud CDN, Diterapkan di Depan WAF, Aktifkan Tanda Lalu Lintas, dan Koneksi Keep-alive Balik ke Asal. Klik Advanced Settings untuk menemukan parameter Enable Traffic Mark dan Back-to-origin Keep-alive Requests.

   • Hapus port: Temukan port dan klik Remove. Di pesan Remove, klik OK.

     Penting

     Saat Anda menghapus port pengalihan lalu lintas dari WAF, layanan web Anda mungkin terganggu selama beberapa detik. Jika klien dapat terhubung ulang secara otomatis, layanan web akan pulih secara otomatis. Konfigurasikan mekanisme rekoneksi dan pengaturan kembali ke asal berdasarkan kebutuhan bisnis Anda.

     Setelah Anda menghapus port pengalihan lalu lintas dari WAF, lalu lintas pada port tersebut tidak lagi dilindungi oleh WAF. Untuk menambahkan ulang port ke WAF, klik Tambah. Untuk informasi lebih lanjut, lihat Tambahkan port pengalihan lalu lintas.

Perbarui sertifikat yang terkait dengan port pengalihan lalu lintas

Jika sertifikat yang terkait dengan port pengalihan lalu lintas akan segera kedaluwarsa atau sertifikat tersebut diubah, seperti saat sertifikat dicabut, Anda harus memperbarui sertifikat.

Lakukan langkah-langkah berikut:

1. Perbarui sertifikat atau unggah sertifikat pihak ketiga ke Layanan Manajemen Sertifikat. Untuk informasi lebih lanjut, lihat Perbarui sertifikat SSL resmi atau Unggah dan bagikan sertifikat SSL.

2. Sinkronkan sertifikat ke WAF.

   • Perbarui sertifikat di konsol WAF.

     1. Di tab Cloud Native, klik NLB di daftar layanan cloud di sebelah kiri. Temukan instance yang ingin Anda kelola dan klik ikon . Temukan port pengalihan lalu lintas yang sertifikatnya ingin Anda perbarui dan klik Modify di kolom Actions.

     2. Di bagian Default Certificate, klik Select Existing Certificate dan pilih sertifikat baru dari daftar drop-down.