全部產品
Search

搜尋本產品

    :配置CDN WAF

    文件中心

    :配置CDN WAF

    更新時間:Aug 06, 2025

    CDN結合邊緣Web Application FirewallWAF(Web Application Firewall)能力,在CDN節點上提供WAF防護功能,可以有效識別業務流量惡意特徵,將正常、安全的流量回源到伺服器。避免網站伺服器被惡意入侵,保障業務的核心資料安全,解決因惡意攻擊導致的伺服器效能異常問題。

    通過以下內容,您可以更全面的瞭解CDN WAF:

    重要

    當前CDN WAF和WebSocket協議不相容,無法同時開啟。

    前提條件

    • 您已通過提交工單開通CDN WAF進階版或者企業版。

    • 開啟加速節點的WAF防護前請您確認網域名稱的加速地區選取項目符合您的業務需要(即選擇為全球或者全球(不包含中國內地))。修改網域名稱加速地區的操作方法,請參見切換加速地區

    功能說明

    阿里雲CDN的WAF功能,是指CDN融合了WAF能力,在CDN節點上,提供WAF防護功能。WAF防護具體功能,請參見什麼是Web Application Firewall

    關於CDN WAF具體功能配置,請參見Web Application Firewall,企業版的具體功能單擊下表中連結即可。

    功能項

    企業版

    Web掃描防護

    支援

    帳號安全

    支援

    CC攻擊防護

    支援

    海量IP黑名單封鎖

    支援

    Rate Limit

    支援

    爬蟲情報庫

    支援

    驗證碼整合

    支援

    爬蟲智能演算法

    支援

    基礎Web攻擊防護

    支援

    0 DAY規則更新防護

    支援

    預警|阻斷模式

    支援

    解碼防混淆編碼繞過

    支援

    規則群組自訂

    支援

    HTTP欄位存取控制

    支援

    Log Service

    支援(3T)

    適用情境

    CDN的WAF服務主要適用於金融、電商、O2O、互連網+、遊戲、政府、保險等行業,保護您的網站在使用CDN加速的同時,免受因外部惡意攻擊而導致的意外損失。

    使用CDN WAF功能後,可以協助您解決以下問題:

    • 防資料泄密,避免因駭客的注入式攻擊導致網站核心資料被拖庫泄露。

    • 阻止木馬上傳網頁篡改,保障網站的公信力。

    • 提供虛擬補丁,針對網站被曝光的最新漏洞,最大可能地提供快速修複規則。

    費用說明

    當您開啟WAF功能後,CDN WAF會對此網域名稱的所有請求進行檢測,並按照賬戶維度,對網域名稱開啟WAF功能的請求次數匯總,然後收費。

    操作步驟

    1. 登入CDN控制台

    2. 在左側導覽列,單擊域名管理

    3. 域名管理頁面,找到目標網域名稱,單擊操作列的管理

    4. 在指定網域名稱的左側導覽列,單擊安全配置

    5. CDN WAF頁簽,開啟邊緣Web Application Firewall開關。

    6. 單擊修改配置

    7. 根據頁面提示,配置Web安全Bot管理存取控制/限流

      專案

      參數

      說明

      Web安全

      狀態

      Web入侵防護開關。

      模式

      Web入侵防護模式如下:

      • 攔截:發現入侵後直接攔截。

      • 警示:發現入侵後只警示不攔截。

      防護規則群組

      Web入侵防護規則如下:

      • 寬鬆規則:當您發現在中等規則下存在較多誤攔截時,建議您選擇寬鬆規則。寬鬆模式下對業務的誤判程度最低,但也容易漏過攻擊。

      • 中等規則:預設使用中等規則。

      • 嚴格規則:當您需要更嚴格地防護路徑穿越、SQL注入、命令執行時,建議您選擇嚴格規則

      解碼設定

      設定需要正則防護引擎解碼分析的內容格式。

      1. 單擊jiema,開啟配置視窗。

      2. 選中或取消選中要解碼的格式。

        • 不支援取消的格式:URL解碼JavaScript Unicode解碼Hex解碼注釋處理空格壓縮

        • 支援取消的格式:Multipart解析JSON解析XML解析PHP序列化解碼HTML實體解碼UTF-7解碼Base64解碼Form解析

      3. 單擊確定

      說明

      為保證防護效果,正則防護引擎預設對請求中所有格式類型的內容進行解碼分析。如果您發現正則防護引擎經常對業務中包含指定格式內容的請求造成誤攔截,您可以取消解碼對應格式,針對性地降低誤殺率。

      Bot管理(僅限企業版使用者)

      合法爬蟲

      狀態

      合法爬蟲開關。

      說明

      合法爬蟲提供合法搜尋引擎白名單,可應用於全網域名稱下允許存取。您可以根據實際需求,單擊前去配置,啟用或者關閉合法爬蟲。

      典型爬蟲行為識別

      狀態

      典型爬蟲行為識別開關。

      說明

      典型爬蟲行為識別提供典型爬蟲行為識別的通用演算法執行個體,可配置基本業務參數和風險閾值進行機器學習,輸出智能防護結果以對抗進階爬蟲。您可以根據實際需求,單擊前去配置,添加演算法規則。

      爬蟲威脅情報

      狀態

      爬蟲威脅情報開關。

      說明

      爬蟲威脅情報雲端式平台強大的計算能力,提供撥號池IP、IDC機房IP、惡意掃描工具IP以及雲端即時模型產生的惡意爬蟲庫等多種維度威脅情報,可應用於全網域名稱或指定路徑下進行阻斷。您可以根據實際需求,單擊前去配置,編輯情報。

      存取控制/限流

      IP黑名單

      狀態

      IP黑名單控制開關。

      說明

      IP黑名單支援一鍵封鎖特定的IP地址和位址區段訪問,以及指定地區的IP地址的訪問限制能力。您可以根據實際需求,單擊前去配置,添加IP地址黑名單和IP地區黑名單。

      自訂防護策略

      狀態

      自訂防護策略開關。

      說明

      自訂防護策略支援自訂精準條件的存取控制規則,以及基於精準條件下的指定統計對象的訪問限制自訂規則。您可以根據實際需求,單擊前去配置,添加自訂防護策略。

    角色授權

    當您首次使用CDN WAF功能時,首先需要通過CDN控制台完成WAF產品對CDN產品調用的訪問授權,CDN將自動為您建立AliyunServiceRoleForCDNAccessingWAF角色,並授權CDN使用該角色,以及授權CDN訪問WAF產品中的資源。

    AliyunServiceRoleForCDNAccessingWAF角色中包含的許可權包括如下介面:

    • DescribePayInfo

    • CreatePostpaidInstance

    • CreateOutputDomainConfig

    • DeleteOutputDomainConfig

    • DescribeDomainWebAttackTypePv

    • ModifyLogServiceStatus

    • DescribeProtectionModuleMode

    • DescribeDomainRuleGroup

    • DescribeRegions

    • ModifyProtectionRuleStatus

    • ModifyProtectionRuleCacheStatus

    • DescribePeakValueStatisticsInfo

    • DescribeDomainAccessStatus

    • DescribeFlowStatisticsInfo

    • DescribeDomainTotalCount

    • DescribeResponseCodeStatisticsInfo

    • DescribeDDosCreditThreshold

    • ModifyDomainClusterType

    • DescribeInstanceInfo

    • DescribeOutputDomains

    • CreateOutputDomain

    • DeleteOutputDomain

    • DeleteInstance

    • DescribeInstanceSpecInfo

    • DescribeDomainBasicConfigs

    如果您希望刪除該AliyunServiceRoleForCDNAccessingWAF角色,您需要提交工單申請刪除CDN WAF執行個體,關閉所有網域名稱的CDN WAF功能,然後才能在RAM中刪除該SLR。