GA支援開啟WAF防護,抵禦SQL注入、XSS等Web應用程式層攻擊。WAF採用旁掛模式整合,安全檢測與流量轉寄分離,對網路延遲影響小。什麼是Web應用防護?
工作原理
GA整合WAF採用旁掛模式,開啟後會在GA加速地區整合服務化WAF,WAF不作為獨立的網路節點參與流量轉寄,僅負責流量提取、檢測與防護,提升客戶應用安全防護能力。
請求接收:用戶端請求到達GA加速節點。
旁路檢測:GA通過內部通道將流量送至 WAF 3.0 執行個體做安全檢查。
安全分析:WAF根據配置的防護規則對請求內容進行即時分析,將檢測結果(允許存取或攔截)返回給GA。
決策執行:GA根據檢測結果執行最終動作。
允許存取:將請求正常轉寄至來源站點。
攔截:阻斷請求並向用戶端返回攔截頁面,請求不會到達來源站點。
適用範圍
GA整合服務化WAF功能陸續灰階發布中,如需使用,請聯絡商務經理申請。
僅隨用隨付GA執行個體支援開啟WAF防護。
GA整合服務化WAF採用 WAF 3.0 服務化接入架構。如果帳號下已有 WAF 2.0 執行個體,需先釋放 WAF 2.0 執行個體或遷移至 WAF 3.0。
開啟WAF防護
開啟後,GA執行個體將自動接入 WAF 3.0 服務。未開通WAF時將自動開通隨用隨付執行個體。
支援的加速地區:
當執行個體加速IP類型為Elastic IP Address時,支援分別為中國內地和非中國內地加速地區開啟WAF防護。
當執行個體加速IP類型為任播Elastic IP Address時,僅支援為非中國內地加速地區開啟WAF防護。其中,英國(倫敦)地區暫不支援開啟WAF防護。
開啟WAF防護後,執行個體需滿足以下條件,WAF防護方可生效:
已配置HTTP或HTTPS監聽。
已配置支援WAF防護的加速地區。
建立GA執行個體時開啟WAF防護
在標準型隨用隨付執行個體建立頁的執行個體基礎配置步驟,展開Web應用安全防護地區,選擇對應防護地區下的開啟。
完成執行個體建立。可參考建立標準型隨用隨付執行個體。
為已建立的GA執行個體開啟WAF防護
登入標準型執行個體控制台,找到目標隨用隨付執行個體。
將滑鼠移至上方在目標執行個體 ID 後的
表徵圖,在Web應用安全防護地區,單擊配置。在配置Web應用安全服務對話方塊中,選擇對應防護地區下的開啟,單擊確定。
瞭解防護記錄
開啟WAF防護後,WAF將自動建立防護對象,並預設啟用Web核心防護規則。使用者可按實際需求配置更多安全防護規則。
防護對象命名規則
加速地區 | 防護對象名稱尾碼 |
中國內地 |
|
非中國內地 |
|
在標準型執行個體控制台,找到目標執行個體。
將滑鼠移至上方在目標執行個體 ID 後的
表徵圖,在Web應用安全防護地區,單擊對應防護地區的查看WAF安全報表。
關閉WAF防護
關閉WAF防護後,GA執行個體的業務流量將不再受WAF防護,安全報表不再包含相關業務流量的防護資料,WAF側不再產生請求處理費。
WAF執行個體本身及防護規則仍會產生功能費。如需完全停止WAF計費,請關閉WAF。
在標準型執行個體控制台,找到目標執行個體。
滑鼠移至上方在目標執行個體 ID 後的
表徵圖,在Web應用安全防護地區,單擊配置。在配置Web應用安全服務對話方塊中,選擇對應防護地區下的關閉,單擊確定。
計費說明
常見問題
開啟WAF防護後,是否會增加網路延遲?
GA執行個體與WAF執行個體之間通過內部專用通道傳輸資料,且為同地區傳輸,時延主要受WAF安全檢測耗時影響,一般增加1~2ms。
為什麼有些加速地區不支援開啟WAF防護?
支援的地區:
地區 | 地區 |
中國 | 華北1(青島)、華北2(北京)、華北6(烏蘭察布)、華南1(深圳)、華南3(廣州)、華東1(杭州)、華東2(上海)、西南1(成都) |
亞太地區 | 中國香港、新加坡、馬來西亞(吉隆坡)、日本(東京)、印尼(雅加達)、菲律賓(馬尼拉)、泰國(曼穀) |
歐美地區 | 美國(矽谷)、美國(維吉尼亞)、德國(法蘭克福) |