WAF 3.0 mendukung tiga jenis koneksi: mode cloud native, koneksi CNAME, dan koneksi Hybrid Cloud WAF. Setiap jenis menentukan sumber daya yang dapat dilindungi, alur lalu lintas melalui WAF, serta fitur keamanan yang tersedia.
Pilih jenis koneksi
| Cloud native mode | CNAME connection | Hybrid Cloud WAF | |
|---|---|---|---|
| Apa yang dilindungi | Instans produk Alibaba Cloud (ALB, CLB, ECS, NLB, FC, MSE) | Nama domain | Nama domain atau alamat IP |
| Paling cocok untuk | Menghubungkan instans Alibaba Cloud dalam akun yang sama tanpa perubahan DNS; mendukung skenario dengan nama domain atau hanya alamat IP publik | Nama domain apa pun, termasuk penerapan cross-account dan multi-cloud | Penerapan WAF on-premises — reverse proxy untuk lalu lintas moderat dan perlindungan layanan internal; integrasi SDK untuk volume lalu lintas besar dengan persyaratan latensi rendah di gerbang masuk terpadu |
| Cara kerja | Integrasi SDK (ALB, MSE, FC) atau transparent proxy (ECS, CLB, NLB) | Reverse proxy — DNS mengalihkan lalu lintas ke WAF | Reverse proxy atau integrasi SDK melalui kluster proteksi lokal |
| Batasan utama | Hanya akun yang sama (kecuali jika fitur manajemen multi-akun telah dikonfigurasi); tidak mendukung instans ECS, CLB, atau NLB privat atau IPv6 | Harus memiliki dan mengelola rekaman DNS untuk domain tersebut | Memerlukan langganan WAF Enterprise atau Ultimate serta pembelian Protection Nodes |
Cloud native mode adalah cara tercepat untuk melindungi instans produk Alibaba Cloud. Tidak diperlukan perubahan DNS—WAF terintegrasi langsung dengan produk cloud.
CNAME connection adalah opsi paling fleksibel. Jika Anda memiliki nama domain dan dapat mengelola rekaman DNS-nya, Anda dapat menggunakannya terlepas dari lokasi hosting origin server.
Hybrid Cloud WAF ditujukan untuk penerapan yang memerlukan WAF berjalan secara lokal—baik untuk melindungi layanan internal dengan lalu lintas moderat (reverse proxy) maupun menangani volume lalu lintas besar dengan latensi rendah di gerbang masuk yang sudah ada (integrasi SDK).
Cara kerja
Cloud native mode
Mekanisme tergantung pada produk cloud yang Anda hubungkan.
ALB, MSE, dan FC — integrasi SDK: SDK tertanam dalam produk cloud. SDK tersebut mengekstraksi dan memeriksa lalu lintas secara langsung, tanpa meneruskannya melalui WAF. Pendekatan ini menghindari masalah kompatibilitas dan stabilitas yang dapat ditimbulkan oleh lapisan penerusan tambahan.
ECS, CLB, dan NLB — transparent proxy: Setelah Anda mengonfigurasi port pengalihan lalu lintas, gerbang produk cloud secara otomatis mengarahkan ulang lalu lintas web ke WAF. WAF memeriksanya, memblokir serangan, dan meneruskan permintaan yang sah ke origin server.
CNAME connection
Koneksi CNAME menggunakan reverse proxy. Arahkan rekaman DNS domain ke alamat CNAME WAF. Seluruh lalu lintas untuk domain tersebut kemudian dialihkan ke WAF, yang memeriksanya, memblokir serangan, dan meneruskan permintaan yang sah ke origin server.
Hybrid Cloud WAF connection
Tersedia dua pola:
Reverse proxy: Hubungkan nama domain atau alamat IP ke WAF dan arahkan rekaman DNS-nya ke kluster proteksi WAF. Seluruh lalu lintas melewati kluster tersebut untuk diperiksa.
Integrasi SDK: Deploy plugin WAF SDK pada gerbang masuk terpadu Anda (seperti Nginx atau APISIX). Plugin tersebut menyalin lalu lintas layanan ke kluster proteksi WAF untuk diperiksa. WAF memeriksa salinan lalu lintas tersebut tetapi tidak meneruskannya—penerusan lalu lintas tetap ditangani oleh gerbang masuk. Pendekatan ini memisahkan inspeksi lalu lintas dari penerusan.
Dukungan fitur berdasarkan jenis koneksi
| Fitur | Cloud native (NLB, CLB, ECS) | Cloud native (ALB, MSE, FC) | CNAME connection | Hybrid Cloud WAF — reverse proxy | Hybrid Cloud WAF — SDK integration |
|---|---|---|---|---|---|
| Aturan perlindungan web inti | Didukung | Didukung | Didukung | Didukung | Didukung |
| Whitelist | Didukung | Didukung | Didukung | Didukung | Didukung |
| IP blacklist | Didukung | Didukung | Didukung | Didukung | Didukung |
| Aturan kustom | Didukung | Didukung | Didukung | Didukung | Didukung |
| HTTP flood protection | Didukung | Didukung | Didukung | Didukung | Didukung |
| Scan protection | Didukung | Didukung | Didukung | Didukung | Didukung |
| Location blacklist | Didukung | Didukung | Didukung | Didukung | Didukung |
| Web tamper proofing | Didukung | Hanya ALB | Didukung | Tidak didukung | Tidak didukung |
| Data leakage prevention | Didukung | Tidak didukung | Didukung | Didukung | Tidak didukung |
| Custom response | Didukung | Didukung | Didukung | Didukung | Didukung |
| Bot management — automatic web SDK integration | Didukung | Tidak didukung | Didukung | Didukung | Didukung |
| Major event support | Didukung | Tidak didukung | Didukung | Tidak didukung | Tidak didukung |
| API security | Didukung | Hanya ALB | Didukung | Didukung | Didukung |
| Peak traffic throttling | Didukung | Tidak didukung | Didukung | Tidak didukung | Didukung |
Hubungkan ke WAF
Sebelum memulai
Cloud native mode
Instans harus merupakan salah satu jenis yang didukung: Application Load Balancer (ALB), Classic Load Balancer (CLB), Elastic Compute Service (ECS), Network Load Balancer (NLB), Function Compute (FC), atau Microservices Engine (MSE).
Tanpa fitur manajemen multi-akun, hanya instans dalam akun yang sama yang dapat dihubungkan.
Instans ECS, CLB, dan NLB privat atau IPv6 tidak didukung.
Beberapa instans di wilayah tertentu tidak didukung.
CNAME connection
Anda harus memiliki nama domain dan memiliki izin untuk mengelola rekaman DNS-nya.
Anda harus memverifikasi kepemilikan nama domain, memodifikasi rekaman DNS, dan mengizinkan alamat IP back-to-origin.
Hybrid Cloud WAF connection
Diperlukan langganan WAF Enterprise atau Ultimate, serta pembelian Protection Nodes.
Reverse proxy: izin untuk mengelola rekaman DNS untuk nama domain atau alamat IP.
Integrasi SDK: gerbang masuk terpadu (seperti Nginx atau APISIX) yang dapat Anda kelola secara mandiri.
Panduan koneksi
Cloud native mode
CNAME connection
Aktifkan proteksi WAF untuk website menggunakan metode koneksi CNAME. Setelah menambahkan nama domain di Konsol WAF, tambahkan rentang alamat IP back-to-origin WAF ke daftar izin Anda dan perbarui pengaturan DNS untuk domain tersebut.
Hybrid Cloud WAF connection
FAQ
Apakah saya dapat menghubungkan sumber daya cloud dari akun Alibaba Cloud lain atau penyedia cloud lain?
Ya. Gunakan metode koneksi CNAME. Metode ini tidak memiliki batasan terhadap lokasi hosting origin server—Anda hanya perlu memiliki nama domain dan mengelola rekaman DNS-nya.
Apakah saya dapat menghubungkan ke WAF hanya dengan alamat IP publik tanpa nama domain?
Ya. Mode cloud native mendukung koneksi tanpa nama domain.
Apakah saya dapat menghubungkan website IPv6 ke WAF?
Mode cloud native untuk instans ECS, CLB, dan NLB tidak mendukung IPv6. Untuk mengaktifkan IPv6 pada instans-instans tersebut, gunakan metode koneksi CNAME dengan langganan WAF Edisi Enterprise atau Edisi Ultimate, atau Instans berbayar sesuai penggunaan. Di bagian More Settings, pilih Enable IPv6. Untuk informasi selengkapnya, lihat Aktifkan perlindungan WAF untuk situs web menggunakan metode koneksi CNAME.
WAF tidak mendukung website IPv6 di wilayah luar Tiongkok daratan.
Apakah saya dapat menggunakan mode cloud native dan koneksi CNAME sekaligus untuk nama domain yang sama?
Tidak. Setiap nama domain hanya dapat menggunakan satu metode koneksi. Menggunakan keduanya menyebabkan konflik penerusan dan kegagalan proteksi.
Untuk beralih dari koneksi CNAME ke mode cloud native: arahkan kembali rekaman DNS ke origin server, tunggu hingga resolusi DNS konvergen, hapus konfigurasi koneksi CNAME, lalu hubungkan kembali dalam mode cloud native.
Mengapa saya tidak dapat menemukan instans CLB, NLB, atau ECS yang ingin saya hubungkan?
| Penyebab | Tindakan |
|---|---|
| Instans tidak memenuhi persyaratan koneksi | Periksa batasan di Batasan untuk menambahkan instans CLB, Batasan untuk menambahkan instans NLB, dan Batasan untuk menambahkan instans ECS |
| Instans CLB tidak memiliki listener | Tambahkan listener: untuk Lapisan 7, lihat Tambahkan listener HTTP dan Tambahkan listener HTTPS; untuk Lapisan 4, lihat Tambahkan listener TCP |
| WAF belum menyinkronkan instans tersebut | Klik Synchronize Assets di pojok kanan atas halaman Onboarding |
Bagaimana cara melihat status koneksi aset dan menyinkronkan aset?
Login ke Konsol WAF 3.0. Di bilah navigasi atas, pilih kelompok sumber daya dan wilayah (Konsol WAF 3.0Chinese Mainland atau Outside Chinese Mainland).
Di panel navigasi kiri, klik Onboarding.
Di bagian atas halaman, lihat jumlah aset nama domain dan aset produk cloud yang terhubung. Anda juga dapat melihat jumlah total instans yang Anda miliki untuk setiap produk cloud. Jika Anda telah menambahkan atau mengubah instans produk cloud, klik Synchronize Assets di pojok kanan atas untuk segera menyinkronkan perubahan tersebut.
Bagaimana cara menghubungkan nama domain yang mengarah ke beberapa instans produk cloud?
Cloud native mode: Hubungkan semua instans terkait (seperti semua port layanan instans CLB) secara bersamaan. WAF kemudian akan mengarahkan lalu lintas ke semuanya.
CNAME connection: Hubungkan nama domain tersebut dan konfigurasikan origin server dengan alamat IP atau CNAME dari semua instans produk cloud terkait.
Bagaimana cara menghubungkan beberapa nama domain yang mengarah ke instans produk cloud yang sama?
Cloud native mode: Semua nama domain yang mengarah ke instans yang terhubung secara otomatis dilindungi oleh kebijakan mitigasi default WAF. Untuk menerapkan aturan proteksi berbeda pada nama domain tertentu, tambahkan secara manual sebagai objek yang dilindungi. Untuk detailnya, lihat Menambahkan objek yang dilindungi secara manual.
CNAME connection: Hubungkan setiap nama domain secara individual.