全部產品
Search

搜尋本產品

    Web Application Firewall:網站接入

    文件中心

    Web Application Firewall:網站接入

    更新時間:Sep 03, 2025

    Web Application Firewall(Web Application Firewall,簡稱WAF)支援對部署在混合雲的網域名稱進行防護。本文介紹如何將混合雲環境下測試部署的網域名稱接入WAF防護。

    背景資訊

    Web Application Firewall混合雲解決方案,支援在公用雲、私人雲端、線下IDC或者機房構成的多雲、跨雲和混合雲環境中提供統一的Web應用防護管理,打造共用和獨享相結合、本地和雲端相互融合的彈性、高效的一體化Web應用安全防禦體系。接入WAF後,訪問受防護網域名稱的流量支援公網和私網回源(即來源站點伺服器部署在公網或私網中)。

    前提條件

    • 已購買WAF執行個體,且當前執行個體支援接入的網域名稱數量未超過限制。

      說明

      支援接入的網域名稱數量由WAF的執行個體規格和擴充網域名稱包數量決定。更多資訊,請參見網域名稱擴充包

    • 如果您購買的是中國內地的WAF執行個體,您必須先對網域名稱完成ICP備案,否則您的網站將無法接入WAF防護。接入WAF操作時,可能會報錯並提示您完成備案。

    • 已完成了本地WAF防護節點叢集的部署,且本地WAF防護節點能與公網互連。更多資訊,請參見部署混合雲WAF防護叢集

    使用限制

    使用混合雲WAF防護節點防護內網業務時,暫不支援網段為172.16.0.0/16的用戶端訪問。

    混合雲網站接入

    1. 登入Web Application Firewall控制台,在頂部功能表列,選擇WAF執行個體的資源群組和地區(中國內地非中國內地)。

    2. 在左側導覽列,選擇資產中心 > 網站接入

    3. 網域名稱列表頁簽,單擊網站接入

      說明

      進入添加網域名稱頁面後,接入模式預設為Cname接入

    4. 填寫網站資訊,單擊下一步

      配置項

      說明

      網域名稱

      填寫要防護的網域名稱,包括精確網域名稱(例如www.aliyundoc.com)或萬用字元網域名稱(例如*.aliyundoc.com)。僅支援填寫一個網域名稱。

      如果您是首次添加該網域名稱,需要驗證是否擁有該網域名稱的歸屬權。通過後,才能添加網域名稱。

      如何驗證網域名稱歸屬權

      為確認您對網域名稱的所有權,需完成歸屬權驗證。支援以下兩種驗證方式,任選其一即可:

      • DNS解析驗證:在您的網域名稱解析服務位址,手動添加WAF提供的TXT類型解析記錄。推薦使用此方式。

      • 檔案驗證:將WAF提供的驗證檔案上傳至標題來源站伺服器的指定根目錄,需擁有來源站點伺服器操作許可權。

      DNS解析驗證

      1. 在驗證提示地區,單擊方法1:DNS解析驗證頁簽。

      2. 根據WAF控制台提供的記錄類型主機記錄記錄值,在您的網域名稱解析服務商添加TXT記錄。

        若您使用阿里雲Alibaba Cloud DNS,請參考以下步驟操作;若使用其他網域名稱解析服務商,請在其系統中進行類似配置。

        1. 登入Alibaba Cloud DNS控制台

        2. 公網權威解析頁面,找到目標主網域名稱,並單擊右側的解析設定

        3. 單擊添加記錄,填寫記錄類型主機記錄記錄值後,單擊確定。其餘未提及參數保持預設即可。

          添加完成後,您可以在記錄列表中查看已添加的記錄。該記錄預設生效(狀態啟用)。

      3. 等待TXT解析生效。網域名稱首次配置TXT解析記錄後將即時生效,但修改TXT解析記錄通常會在10分鐘後生效(生效時間取決於網域名稱DNS解析配置的TTL時間長度,預設為10分鐘)。

      4. 返回WAF控制台,單擊“點擊驗證”。

        • 顯示驗證成功:網域名稱歸屬權驗證完成。

        • 顯示驗證失敗:請按以下步驟排查:

          1. 檢查TXT記錄:確保添加的主機記錄和記錄值與WAF控制台提供的資訊完全一致。如有差異,請刪除錯誤記錄並重新添加,然後重新驗證。

          2. 等待DNS生效:DNS記錄配置後可能不會立即生效,生效時間取決於您網域名稱伺服器中設定的TTL緩衝時間。建議等待10分鐘後重新驗證。

          3. 更換驗證方式:如多次嘗試仍無法通過驗證,建議使用"方法2:檔案驗證"。

      檔案驗證

      1. 在驗證提示地區,單擊方法2:檔案驗證頁簽。

      2. 單擊下載驗證檔案連結(圖示①),下載驗證檔案。image..png

        重要

        • 驗證檔案僅在下載後的3天內有效,如果您逾期未完成檔案驗證,則需要重新下載。

        • 請勿對驗證檔案執行任何操作,例如開啟、編輯、重新命名等。

        • WAF將根據選擇的協議類型訪問您的來源站點伺服器,請確保來源站點伺服器允許存取了對應的安全性群組或防火牆規則:

          • 選擇HTTP時,需要允許存取入方向TCP協議80連接埠,訪問來源為0.0.0.0/0。

          • 選擇HTTPS時,需要允許存取入方向TCP協議443連接埠,訪問來源為0.0.0.0/0。

      3. 手動將驗證檔案上傳到控制台提示的標題來源站伺服器(例如您的ECS、OSS、CVM、COS、EC2等)根目錄(圖示②)。

        說明

        如果您添加的網域名稱為萬用字元網域名稱,例如*.aliyun.com,那麼您需要將驗證文檔上傳到aliyun.com的根目錄。

        上傳完成後,你可以參考如下方法,查看驗證文檔是否上傳成功。

      4. 返回WAF控制台,單擊“點擊驗證”。

        • 顯示驗證成功:網域名稱歸屬權驗證完成。

        • 顯示驗證失敗:請根據報錯資訊進行排查:

      說明

      • 萬用字元網域名稱不僅可以匹配所有同層級的子網域名稱,還能匹配不同層級的子網域名稱。例如,*.aliyundoc.com能夠匹配www.aliyundoc.comexample.aliyundoc.comwww.example.aliyundoc.com等多級網域名稱。

      • 二級萬用字元網域名稱能夠匹配對應的二級主網域名稱,例如,*.aliyundoc.com能夠匹配aliyundoc.com

      • 三級萬用字元網域名稱不能匹配對應的三級主網域名稱,例如,*.example.aliyundoc.com不能匹配example.aliyundoc.com

      • 如果防護對象中同時存在精確網域名稱和能夠匹配該精確網域名稱的萬用字元網域名稱,精確網域名稱的防護規則和轉寄配置優先生效。

      防護資源

      選擇需要WAF防護的資源類型,此處您需要選擇混合雲叢集

      協議類型

      選擇網站使用的協議類型。可選項:

      • HTTP

      • HTTPS

        重要

        如果網站支援HTTPS加密認證,請選擇HTTPS協議並在添加網域名稱後上傳網域名稱的認證和私密金鑰檔案。更多資訊,請參見上傳HTTPS認證

        選中HTTPS後,還支援啟用以下功能:

        • (進階設定)開啟HTTPS的強制跳轉

          HTTPS強制跳轉表示將用戶端的HTTP請求強制轉換為HTTPS請求。開啟該功能後,用戶端使用HTTPS請求,通過443連接埠訪問WAF,WAF轉寄的請求也會通過443連接埠訪問來源站點。如果您需要強制用戶端使用HTTPS請求訪問網站以提高安全性,則開啟該功能。

          重要

          • 只有在未選中HTTP協議時,支援開啟該設定。

          • 請確保網站支援HTTPS業務再開啟該設定。開啟該設定後,部分瀏覽器將被強制設定為使用HTTPS請求訪問網站。

        • (進階設定)開啟HTTP回源

          HTTP回源表示WAF使用HTTP協議向來源站點轉寄回源請求,預設回源連接埠是80。開啟該功能後,無論用戶端訪問WAF的連接埠是80或443,WAF轉寄的請求都會通過80連接埠訪問來源站點。開啟HTTP回源可以在無需改動來源站點伺服器的前提下,通過WAF實現HTTPS訪問,協助您降低網站的負載損耗。

          重要

          如果您的網站不支援HTTPS回源,請務必開啟該設定。

        • (進階設定)開啟HTTPS的強制跳轉開啟HTTP回源均不開啟

          如果用戶端通過80連接埠訪問WAF,則WAF轉寄的請求也會通過80連接埠訪問來源站點。如果用戶端通過443連接埠訪問WAF,則WAF轉寄的請求也會通過443連接埠訪問來源站點。

        • 啟用回源SNI

          回源SNI表示WAF轉寄用戶端請求到來源站點伺服器,在與來源站點進行TLS握手時,通過SNI擴充欄位(Server Name Indicator extension)指定要訪問的主機,並與該主機建立HTTPS串連。如果您的來源站點伺服器有多個虛擬機器主機(對應不同網域名稱),則需要開啟該設定。

          選中啟用回源SNI後,您可以進一步設定SNI擴充欄位的值。可選項:

          • 與實際請求host保持一致(預設):表示WAF回源請求中SNI擴充欄位的值與要求標頭中Host欄位的值保持一致。

            例如,您配置的網站網域名稱為*.aliyundoc.com,用戶端實際請求了www.aliyundoc.com(即Host欄位值),則WAF回源請求中SNI擴充欄位的值為www.aliyundoc.com

          • 自訂:表示您自訂WAF回源請求中SNI擴充欄位的值。

            一般情況無需自訂SNI,除非您的業務有特殊配置要求,希望WAF在回源請求中使用與實際請求Host不一致的SNI(即此處設定的自訂SNI)。

      • HTTP2(必須先選中HTTPS,才支援該選項)

        如果您的網站支援HTTP 2.0協議,則您需要開啟該設定。HTTP 2.0協議的連接埠與HTTPS協議連接埠保持一致,開啟該設定後,您只需設定HTTPS連接埠即可。更多資訊,請參見HTTP 2.0業務接入WAF防護是否會對來源站點有影響?

        說明

        只有企業版、旗艦版、獨享版的WAF執行個體支援開啟HTTP2

      節點設定

      選擇防護節點群組名稱

      如果您的某個網站部署在了多個防護節點中,您可以單擊節點設定右側的增加防護節點,將多個防護節點同時接入WAF的防護。

      伺服器位址

      設定網站的來源站點伺服器位址,支援IP地址格式和網域名稱(如CNAME)格式。完成接入後,WAF將過濾後的訪問請求轉寄到此處設定的伺服器位址。設定說明:

      • IP地址格式:填寫來源站點的公網IP地址。需要為公網可達的IP地址。

        支援填寫多個IP地址,每填寫一個IP地址,按斷行符號進行確認。最多支援添加20個來源站點IP。

        說明

        如果設定了多個IP地址,WAF將在這些地址間自動進行健全狀態檢查和負載平衡。

        非中國內地WAF執行個體僅支援配置IPv4地址。中國內地WAF執行個體支援如下配置方式:

        • 同時配置IPv4和IPv6地址

          如果開啟IPv4/IPv6回源協議跟隨,則來自IPv6地址的請求將被轉寄到IPv6來源站點,來自IPv4地址的請求將被轉寄到IPv4來源站點。如果不開啟IPv4/IPv6回源協議跟隨,則不做區分,執行混合回源(即IPv4和IPv6請求都有可能回源到IPv4或IPv6來源站點)。

          重要

          使用IPv6回源時,您必須確保網站接入列表中網域名稱的IPv6狀態為已開啟。更多資訊,請參見開啟IPv6防護

        • 只配置IPv4地址

          IPv4和IPv6請求都將通過IPv4回源,即WAF將請求轉寄到您設定的IPv4來源站點地址。

        • 只配置IPv6地址

          IPv4和IPv6請求都將通過IPv6回源,即WAF將請求轉寄到您設定的IPv6來源站點地址。

        伺服器IP地址填寫說明

        • 如果來源站點在阿里雲,一般填寫ECS的公網IP地址。

        • 當ECS前面有SLB時,則填寫SLB的公網IP地址。

        • 當來源站點在阿里雲外的IDC機房或者其他雲端服務商時,建議您PING網域名稱查詢網域名稱的公網IP地址,再填寫網域名稱的公網IP地址。

        • 填寫的IP沒有在透明接入模式下開啟引流。

      • 網域名稱(如CNAME)格式:填寫伺服器回源網域名稱,例如Object Storage Service的CNAME等。

        使用網域名稱格式時,支援IPv4回源,即WAF會將用戶端請求轉寄到回源網域名稱解析出來的IPv4地址。

        重要

        • 伺服器回源網域名稱不應和要防護的網站網域名稱相同。

        • 如果您的來源站點伺服器位址為OSS網域名稱,則完成網站接入後,您必須前往OSS控制台中為該OSS網域名稱綁定自訂網域名。具體操作,請參見綁定自訂網域名

      伺服器連接埠

      添加網站使用的轉寄服務連接埠。

      說明

      目前僅支援由阿里雲支援人員團隊配置。

      連接埠必須在混合雲叢集已開啟的連接埠範圍內。混合雲叢集預設開啟80、8080、443、8443連接埠,您在建立混合雲叢集時,可以自訂設定要開啟的連接埠範圍。相關操作,請參見混合雲叢集基本資料配置

      WAF通過此處添加的連接埠為網站提供流量的接入與轉寄服務,網站網域名稱的業務流量只通過已添加的服務連接埠進行轉寄。對於未添加的連接埠,WAF不會轉寄任何該連接埠的訪問請求流量到來源站點伺服器,因此這些連接埠的啟用不會對來源站點伺服器造成任何安全威脅。

      重要

      網站資訊中設定的協議類型伺服器連接埠必須是來源站點伺服器提供Web業務的協議和連接埠,不支援連接埠轉換。例如,來源站點伺服器提供Web服務的是80連接埠HTTP協議,網域名稱配置也必須是一致的,設定其他連接埠則無法正常轉寄。

      預設連接埠:

      • 協議類型選擇HTTP協議後,伺服器連接埠預設設定為HTTP 80

      • 協議類型選擇HTTPS協議後,伺服器連接埠預設設定為HTTPS 443

        說明

        HTTP2.0協議的連接埠與HTTPS協議的連接埠保持一致。

      自訂連接埠:單擊自訂,並根據協議類型(HTTPHTTPS)自訂對應的連接埠,多個連接埠之間使用英文逗號(,)分隔。

      單擊查看可選範圍可以查詢所有支援使用的連接埠。

      負載平衡演算法

      設定了多個來源站點伺服器位址時,選擇多來源站點伺服器間的負載平衡演算法。可選項:

      • IP hash:將來自同一個用戶端的請求經過負載平衡轉寄到同一個來源站點,適用於需要保持使用者會話一致性的情境,可能存在負載不均衡的情況。

      • 輪詢(預設):將用戶端的請求依次按序從來源站點列表中選擇來源站點進行回源,適用於多來源站點且對來源站點負載均勻要求較高的情境。

      • Least time:通過智能DNS解析能力和升級後的Least-time回源演算法,保證業務流量從接入防護節點到轉寄回來源站點伺服器整個鏈路的時延最短。

        說明

        Least time僅在開通智能負載平衡後支援使用。更多資訊,請參見智能負載平衡

      設定生效後,WAF將根據設定的負載平衡演算法向多個來源站點地址分發回源請求,實現負載平衡。

      WAF前是否有七層代理(高防/CDN等)

      • 無其他代理服務,選擇

        表示WAF收到的業務請求由用戶端直接發起,而非通過其他代理服務轉寄。該情境下,WAF會直接擷取與WAF建立串連的IP(來自請求的REMOTE_ADDR欄位)作為用戶端IP。

      • 有其他代理服務,選擇

        表示WAF收到的業務請求來自其他七層代理服務轉寄,而非用戶端直接發起。為保證WAF可以擷取真實的用戶端IP進行安全分析,您需要進一步設定客户端IP判定方式

        可選項:

        • (預設)取X-Forwarded-For中的第一个IP作为客户端源IP

          WAF預設優先讀取請求Header欄位X-Real-IP作為用戶端IP,如果X-Real-IP不存在,則讀取欄位X-Forwarded-For(XFF)中的第一個IP地址作為用戶端IP。

        • 【推荐】取指定Header字段中的第一个IP作为客户端源IP,避免XFF伪造

          如果您的網站業務已通過其他代理服務的設定,規定將用戶端源IP放置在某個自訂的Header欄位(例如,X-Real-IP、X-Client-IP),則您需要選擇該選項,並在指定Header字段框中輸入對應的Header欄位。

          說明

          推薦您在業務中使用自訂Header存放用戶端IP,並在WAF中配置對應Header欄位。該方式可以避免攻擊者偽造XFF欄位,躲避WAF的檢測規則,提高業務的安全性。

          支援輸入多個Header欄位。每輸入完一個Header欄位,按斷行符號進行確認。如果設定了多個Header,WAF將按順序嘗試讀取用戶端IP。如果第一個Header不存在,則讀取第二個,以此類推。如果所有指定Header都不存在,優先嘗試讀取X-Real-IP欄位,若仍無結果則採用X-Forwarded-For(XFF)頭部中的首個IP地址作為用戶端IP。

      啟用流量標記

      启用流量标记

      啟用流量標記可以協助來源站點區分經過WAF的請求,擷取客戶真實源IP或源連接埠。

      您可以配置如下類型的標記欄位:

      • 自定义Header

        通過配置Header名Header值,使WAF在回源請求中添加該Header資訊,標記經過WAF的請求(區分沒有經過WAF的請求,便於您的後端服務統計分析)。

        例如,您可以使用ALIWAF-TAG: Yes標記經過WAF的請求,其中,ALIWAF-TAG為Header名,Yes為Header值。

      • 客户端真实源IP

        通過配置真實用戶端源IP所在的頭部欄位名,WAF可記錄該頭部欄位並將該頭部欄位傳遞迴來源站點。關於WAF判定用戶端真實源IP的具體規則,請參見WAF前是否有七層代理(高防/CDN等)參數的描述。

      • 客户端真实源端口

        通過配置真實用戶端源連接埠所在的頭部欄位名,WAF可記錄該頭部欄位並將該頭部欄位傳遞迴來源站點。

      重要

      請不要填寫標準的HTTP頭部欄位(例如User-Agent等),否則會導致標準頭部欄位內容被自訂的欄位值覆蓋。

      單擊新增标记,可以增加標記欄位。最多支援設定5個標記欄位。

      資源群組

      從資源群組列表中選擇該網域名稱所屬資源群組。

      說明

      您可以使用資源管理服務建立資源群組,根據業務部門、專案等維度對雲資源進行分組管理。更多資訊,請參見建立資源群組

    5. 將本機host綁定到本地WAF前的負載平衡伺服器上,並測試流量是否正常通過WAF。

      說明

      目前,暫時僅支援由阿里雲技術人員操作。

    6. 修改需要接入網域名稱的DNS解析到本地負載平衡伺服器。

    7. 單擊完成,返回網站列表

      此時,您已成功將該網域名稱接入混合雲WAF的防護。