為更好地支援個人化業務的應用防護需求,Web Application Firewall(Web Application Firewall,簡稱WAF)提供獨享版,即採用虛擬獨享叢集,支援基於業務特性的定製化接入和防護能力。
背景資訊
為了特定的業務需求,網站業務可能使用非常規的設計方式實現。獨享叢集支援將具有定製化需求的業務系統接入WAF,為業務提供全面的應用程式層攻擊防護。
購買WAF獨享版後,您可以根據業務特性自訂獨享叢集的業務配置,具體包括:
叢集所在地區:支援自主選擇叢集地區。
叢集連接埠設定:支援更大範圍的非標連接埠的接入防護,支援基於HTTP、HTTPS和HTTP 2.0協議的自訂回源連接埠配置。
說明僅不支援22、53、9100、4431、4646、8301、6060、8600、56688、15001、4985、4986、4987這些特定的系統連接埠。
SNI認證:支援上傳預設SNI認證,允許暫不支援標準SNI協議的用戶端裝置正常訪問網站。
防護響應頁面:支援配置已上傳至阿里雲CDN的靜態頁面URL,WAF將使用該頁面作為防護響應頁面,提升網站使用者體驗。
TLS安全性原則: 支援自主選擇TLS協議版本與加密套件。
長連結逾時配置:支援自訂建立串連、請求、響應的逾時時間長度。
建立獨享叢集
購買或升級至WAF獨享版後,您可以選擇使用虛擬獨享防護叢集和公用防護叢集兩種形式的防護資源對您的網站進行防護。使用獨享叢集前,需要根據您的業務特性建立獨享叢集。
登入Web Application Firewall控制台,在頂部功能表列,選擇WAF執行個體的資源群組和地區(中國內地、非中國內地)。
在左側導覽列,選擇。
在獨享設定頁面,根據業務特性設定叢集配置。
選擇叢集地區。
說明獨享叢集建立完成後,叢集地區無法變更。
設定伺服器連接埠範圍:選擇協議類型,填寫伺服器連接埠範圍並單擊儲存。當您將網站網域名稱配置接入獨享叢集時,可快速選擇獨享叢集伺服器連接埠範圍中的連接埠。
設定防護響應頁面URL:填寫已上傳至阿里雲CDN的靜態頁面URL,接入獨享叢集防護的網站業務將使用該頁面作為WAF的防護響應頁面。
填寫預設SNI認證檔案和私密金鑰檔案內容:上傳預設SNI認證。
HTTPS協議加密設定。
TLS協議版本:預設為支援TLS1.0及以上版本,相容性最高,安全性較低。您可以根據安全需要選擇僅支援TLS1.1或TLS1.2以上版本。
加密套件:
選擇協議版本的自訂加密套件、請謹慎選擇,避免影響業務,支援基於網域名稱維度自訂TLS版本和加密套件。TLS支援單獨自訂,加密套件支援強加密、弱加密以及單個演算法的自訂。
選擇強加密套件,相容性較低,安全性較高,僅支援以下強加密套件:
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
選擇全部加密套件,相容性較高,安全性較低,則除上述強加密套件外還支援以下弱加密套件:
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
SSL_RSA_WITH_3DES_EDE_CBC_SHA
單擊立即建立。
系統將根據所設定的叢集配置為您建立獨享叢集,建立叢集大約需要20分鐘。獨享叢集建立完成後,您可以在獨享設定頁面查看和修改獨享叢集的相關設定。
後續步驟
獨享叢集建立完成後,您就可以將具有定製化需求的業務接入獨享叢集進行防護。具體分為以下情境: