為保護暴露在公網的網站免受Web攻擊,可以為其開啟Web Application Firewall(WAF 3.0)防護。該模式無需變更現有網路架構,僅需將網站網域名稱接入WAF,並通過修改DNS解析將流量指向WAF。流量經安全檢測與過濾後,合法請求將被轉寄至來源站點伺服器。此模式適用於部署在任意雲端服務商或本機資料中心的公網網站。
接入原理
CNAME接入的核心原理是利用DNS解析實現流量調度。通過將網域名稱的DNS解析記錄修改為指向WAF提供的CNAME地址,使公網流量經WAF進行轉寄。
來源站點伺服器:部署網站的伺服器。若伺服器前存在負載平衡(如ALB、CLB、NLB)或NAT Gateway等裝置,則來源站點伺服器為WAF完成防護後,流量抵達的下一跳裝置。
回源:WAF完成安全檢測後,將正常流量轉寄至來源站點伺服器。WAF通過公網IP位址區段向來源站點發起回源請求,您必須在來源站點伺服器的防火牆或安全性群組中允許存取該IP位址區段,以確保回源流量正常到達。
WAF叢集在北京、杭州、深圳、中國香港、新加坡、馬來西亞、美西、德國、印尼、杜拜和日本共部署了11個防護節點。當業務接入公用叢集進行防護時,將根據來源站點伺服器IP自動匹配最佳地區的防護資源。
適用範圍
在開始配置前,需滿足以下條件:
網域名稱所有權:擁有目標網域名稱的DNS解析系統管理權限,用於後續修改解析記錄。
網域名稱認證:若需防護 HTTPS 業務,需準備對應網域名稱的 SSL 憑證。
網域名稱備案:若伺服器位於中國內地,則網域名稱需完成 ICP 備案。更多資訊,請參見如何查看網域名稱ICP備案資訊?
快速接入
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地、非中国内地)。在左側導覽列,單擊接入管理,然後在CNAME接入頁簽單擊接入。
步驟一:配置監聽
填寫網域名稱,僅支援填寫一個需防護的網域名稱,包括精確網域名稱(如
www.aliyundoc.com)或萬用字元網域名稱(如*.aliyundoc.com)。萬用字元網域名稱匹配規則:
僅能匹配同層級子網域名稱。例如
*.aliyundoc.com能夠匹配www.aliyundoc.com、example.aliyundoc.com等,但不能匹配www.example.aliyundoc.com。當萬用字元應用於次層網域(如
*.aliyundoc.com)時,能夠匹配次層網域本身(即aliyundoc.com)。當萬用字元應用於第三層網域名(如
*.example.aliyundoc.com)時,不能匹配第三層網域名本身(即example.aliyundoc.com)。
優先順序規則:當精確網域名稱和萬用字元網域名稱同時接入,且需防護的網域名稱同時匹配這兩者時,系統優先應用精確網域名稱的防護規則。
為確認網域名稱所有權,需完成歸屬權驗證。若填寫網域名稱後系統提示需驗證,請從以下兩種驗證方式中任選其一進行驗證。
DNS解析驗證:在網域名稱解析服務位址,手動添加WAF提供的TXT記錄。推薦採用此方式。
檔案驗證:將WAF提供的驗證檔案上傳至標題來源站伺服器的指定根目錄。需具備來源站點伺服器操作許可權,並配置安全性群組策略,允許所有IP訪問,以確保WAF可從公網驗證該檔案。
DNS解析驗證
在驗證提示地區,單擊方法1:DNS解析验证頁簽。
根據WAF控制台提供的记录类型、主机记录、记录值,在您的網域名稱解析服務商添加TXT記錄。
若使用阿里雲Alibaba Cloud DNS,請參考以下步驟操作;若使用其他網域名稱解析服務商,請在其系統中進行類似配置。
等待TXT解析生效。網域名稱首次配置TXT解析記錄後將即時生效,但修改TXT解析記錄通常將在10分鐘後生效(生效時間取決於網域名稱DNS解析配置的TTL時間長度,預設為10分鐘)。
返回WAF控制台,單擊“点击验证”。
顯示驗證成功:網域名稱歸屬權驗證完成。
顯示驗證失敗:請按以下步驟排查:
檢查TXT記錄:確保添加的主機記錄和記錄值與WAF控制台提供的資訊完全一致。如有差異,請刪除錯誤記錄並重新添加,然後重新驗證。
等待DNS生效:DNS記錄配置後可能不會立即生效,生效時間取決於網域名稱伺服器中設定的TTL緩衝時間。建議等待10分鐘後重新驗證。
更換驗證方式:如多次嘗試仍無法通過驗證,建議使用"方法2:檔案驗證"。
檔案驗證
在驗證提示地區,單擊方法2: 文件验证頁簽。
單擊下載驗證檔案連結(圖示①),下載驗證檔案。
重要驗證檔案僅在下載後的3天內有效,若逾期未完成檔案驗證,則需要重新下載。
請勿對驗證檔案執行任何修改操作,例如編輯、重新命名等。
WAF將根據選擇的協議類型訪問來源站點伺服器,請確保來源站點伺服器允許存取了對應的安全性群組或防火牆規則:
選擇HTTP時,需要允許存取入方向TCP協議80連接埠,訪問來源為0.0.0.0/0。
選擇HTTPS時,需要允許存取入方向TCP協議443連接埠,訪問來源為0.0.0.0/0。
手動將驗證檔案上傳至標題來源站伺服器(例如ECS、OSS、CVM、COS、EC2等)網頁的根目錄(圖示②)。
說明若添加的網域名稱為萬用字元網域名稱,例如
*.aliyun.com,則需要將驗證文檔上傳到aliyun.com的根目錄。上傳完成後,可以參考如下方法,查看驗證文檔是否上傳成功。
返回WAF控制台,單擊“点击验证”。
由於允許所有IP訪問的安全性群組規則存在安全風險,若來源站點伺服器初始安全性群組配置中未包含0.0.0.0/0規則,建議在完成所有權驗證後,刪除用於驗證而添加的安全性群組規則。
選擇網站协议类型(HTTP或HTTPS),並填寫相應配置資訊,可同時配置兩種協議。
說明WAF 共用虛擬機器主機定製版不支援 HTTPS。
HTTP
HTTP端口
填寫使用者訪問網站時使用的連接埠,建議HTTP協議使用80連接埠。如需自訂連接埠,支援在連接埠範圍內進行修改,每輸入一個連接埠,按斷行符號確認。
HTTPS
HTTPS端口
填寫使用者訪問網站時使用的連接埠,建議HTTPS協議使用443連接埠。如需自訂連接埠,支援在連接埠範圍內進行修改,每輸入一個連接埠,按斷行符號確認。
HTTPS認證上傳方式
為使WAF能夠監聽並防護網站的HTTPS業務流量,需將網域名稱關聯的SSL認證上傳至WAF。可選項:
手動上傳:適用於認證未上傳至阿里雲Certificate Management Service (Original SSL Certificate)的情境。
選擇已有認證:從阿里雲Certificate Management Service (Original SSL Certificate)中選擇已簽發或已上傳的認證。
申請新認證:如未持有該網域名稱的SSL認證,需先完成認證購買,等待認證簽發後再接入WAF。
手動上傳
認證名稱:為認證設定一個唯一的名稱,不能與已上傳的認證名稱重複。
認證檔案:請使用文字編輯器開啟並粘貼 PEM、CER、CRT 格式的認證常值內容。
格式樣本:
-----BEGIN CERTIFICATE-----......-----END CERTIFICATE-----格式轉換:若認證是 PFX、P7B 等格式,請使用認證工具將其轉換為 PEM 格式。
憑證鏈結:若包含中間認證,請按照 “伺服器憑證、中間認證” 的順序拼接後粘貼。
私密金鑰檔案:請使用文字編輯器開啟並粘貼 PEM 格式的私密金鑰常值內容。
RSA:
-----BEGIN RSA PRIVATE KEY-----......-----END RSA PRIVATE KEY-----ECC:
-----BEGIN EC PRIVATE KEY-----......-----END EC PRIVATE KEY-----
選擇已有認證
從認證下拉式清單中選擇要上傳到WAF的認證。
說明若WAF控制台提示“证书链完整性校验失败,使用该证书可能会影响您的业务访问”,表示憑證鏈結存在完整性問題。請檢查認證內容的正確性與完整性後,在數位憑證管理服務控制台重新上傳。具體操作,請參見上傳、同步和共用SSL認證。
申請新認證
還沒有購買認證時,需參見購買正式認證進行購買,可單擊立即申请閱讀申請認證的相關文檔。
重要若來源站點伺服器未配置或不支援 HTTPS時(即未部署 SSL/TLS 認證),必須開啟HTTP回源功能。否則將導致回源失敗,網站無法正常訪問。
如需自訂配置國密HTTPS、HTTP2、HTTPS強制跳轉、TLS協議版本、HTTPS加密套件、WAF前存在七層代理(如CDN)、IPv6、獨享IP、WAF叢集智能負載平衡、資源群組,請參見進階配置。若無需自訂,保持其餘配置項預設即可,單擊下一步。
步驟二:配置轉寄
在伺服器位址地區,根據伺服器類型填寫來源站點伺服器IP或網域名稱。WAF通過此配置轉寄正常業務請求至來源站點伺服器。若不確定來源站點伺服器的地址,請參見常見問題。
重要切勿將此處的域名(如CNAME)與步驟一中接入的網域名稱混淆,此選項適用於來源站點伺服器位址為網域名稱(如CNAME)的情況,例如來源站點伺服器是ALB執行個體時,填寫其DNS名稱
alb-xxx.cn-shanghai.alb.aliyuncsslb.com。確定來源站點伺服器類型後,完成以下配置。
IP
域名(如CNAME)
重要如網站對應的來源站點伺服器位址變更,請及時修改此處的伺服器位址。
如需自訂配置負載平衡演算法、備鏈路回源、HTTP回源、回源SNI、要求標頭欄位配置、流量標記、回源逾時時間、回源重試、回源長串連,請參見進階配置。若無需自訂,保持其餘配置項預設即可,單擊提交。
步驟三:切換流量(接入完成)
在WAF控制台完成以上配置後,必須執行以下操作將流量切換至WAF,否則WAF防護將不會生效。
允許存取WAF回源IP段:若來源站點伺服器上配置了安全性群組規則、防火牆規則等存取控制策略,或使用了安全狗、雲鎖等安全軟體,則必須在來源站點伺服器設定允許存取WAF回源IP段,否則WAF回源流量可能被攔截,導致業務中斷。
說明建議配置來源站點伺服器僅允許存取WAF回源IP段,確保僅有WAF能與來源站點伺服器建立通訊,避免攻擊者訪問來源站點伺服器公網IP,繞過WAF發起攻擊。
在接入完成嚮導頁右上方,單擊WAF IP 位址。
在回源IP段對話方塊,單擊复制,將所有WAF回源IP複製到剪貼簿。
說明複製的回源IP段之間以英文逗號(,)分隔。其中包含類似 2408:400a:3c:xxxx::/56 的地址,此類地址屬於 IPv6 位址區段。
在伺服器防火牆等位置允許存取以上IP段。例如當來源站點伺服器是阿里雲ECS執行個體時,需要在ECS安全性群組中允許存取,更多安全性群組的操作,請參見添加安全性群組規則。
在 ECS 執行個體詳情頁面,單擊,選擇目標安全性群組並進入其詳情頁。
在安全性群組詳情頁的下,單擊增加規則。
由於安全性群組規則無法在單條規則中同時包含IPv4和IPv6地址,需要分兩步操作:
添加IPv4規則:在建立安全性群組規則面板的訪問來源地區,粘貼上一步複製的IP段,並手動刪除其中的IPv6地址,將訪問目的(本執行個體)設定為在步驟二中配置的回源連接埠,其餘參數保持預設值,單擊提交即可。
添加IPv6規則:再次單擊增加規則,參照上一步添加IPv6位址區段,在訪問來源地區選取項目IPv6。
本地驗證WAF配置正確性:建議在修改網域名稱DNS解析設定前,先通過修改本地
hosts檔案對應網域名稱進行驗證。可防止因配置錯誤導致業務中斷。在接入完成嚮導頁,單擊复制CNAME擷取WAF提供的CNAME地址。
開啟網路診斷分析,選擇網路診斷分析,輸入複製的CNAME地址,如
xxx.c.yundunwaf2.com,單擊立即檢測。複製DNS服務商解析結果的IP地址。修改本機電腦
hosts檔案。Windows
使用記事本開啟
C:\Windows\System32\drivers\etc\hosts檔案,在末尾添加以下記錄並儲存。<上一步驟c複製的IP地址> <當前在WAF添加的網域名稱>開啟
cmd,執行ping <當前在WAF添加的網域名稱>命令,若輸出的IP地址與添加的IP地址一致,表示hosts修改已生效;否則請執行ipconfig /flushdns重新整理DNS緩衝後重新執行ping命令。開啟瀏覽器,在地址欄輸入被防護網域名稱進行訪問。
如果網站能夠正常訪問,說明WAF網域名稱配置正確。可以進行下一步的DNS解析修改。
如果網站訪問異常,可能說明WAF網域名稱配置錯誤。建議檢查上述配置,修複問題後重新進行本地驗證。
完成本地驗證後,重新修改hosts檔案至原始狀態。
macOS
通過
Command + 空格鍵搜尋並開啟終端。輸入
sudo vim /etc/hosts,開啟hosts檔案。在檔案末尾添加以下記錄並儲存。
<上一步驟c複製的IP地址> <當前在WAF添加的網域名稱>執行
ping <當前在WAF添加的網域名稱>命令,若輸出的IP地址與添加的IP地址一致,表示hosts修改已生效;否則請執行sudo killall -HUP mDNSResponder重新整理DNS緩衝後重新執行ping命令。開啟瀏覽器,在地址欄輸入被防護網域名稱進行訪問。
如果網站能夠正常訪問,說明WAF網域名稱配置正確。可以進行下一步的DNS解析修改。
如果網站訪問異常,可能說明WAF網域名稱配置錯誤。建議檢查上述配置,修複問題後重新進行本地驗證。
完成本地驗證後,重新修改hosts檔案至原始狀態。
修改網域名稱DNS解析:將網域名稱DNS解析指向WAF提供的CNAME地址,以確保網域名稱的Web請求解析到WAF進行安全防護。
說明建議於業務低峰期執行此操作以降低業務影響。
在接入完成嚮導頁,單擊复制CNAME擷取WAF提供的CNAME地址。
將網域名稱的DNS解析地址設定為上一步複製的地址。若網域名稱解析託管在阿里雲Alibaba Cloud DNS,請按以下步驟操作;若使用其他服務商的DNS服務,請在其系統中進行類似配置。
在公網權威解析頁面,定位到要設定的網域名稱,單擊其操作列下的解析設定。
在解析設定頁面,定位到要設定的主機記錄,單擊其操作列下的修改。例如接入WAF的網域名稱為
www.aliyundoc.com,那麼此處需定位到主網域名稱aliyundoc.com下,主機記錄為www的條目進行修改。在編輯記錄面板,選擇記錄類型為CNAME,修改記錄值為WAF提供的CNAME地址,其餘設定保持不變。
修改DNS解析記錄時:
對於同一個主機記錄,CNAME解析記錄值只能填寫一個,需要將其修改為WAF CNAME地址。
同一主機記錄下,CNAME記錄與A、MX、TXT等其他記錄類型存在衝突。需要先刪除存在衝突的記錄,再添加新的CNAME記錄。
警告在DNS變更的空窗期內,可能出現部分使用者訪問中斷的情況。因此刪除原解析記錄後必須立即新增CNAME記錄。
單擊確定,完成解析設定修改,等待修改後的DNS解析記錄生效。
說明由於DNS解析記錄生效需要一定時間,如果修改後網站訪問失敗,請等待10分鐘後重新整理頁面重新訪問。
步驟四:驗證WAF防護效果
接入完成後,請按照以下步驟操作,驗證網域名稱是否接入成功。
在瀏覽器輸入已添加的網站網域名稱,如果能正常訪問,表示網域名稱添加成功。
說明請訪問您的網站網域名稱,而非WAF提供的CNAME,CNAME地址僅用於DNS解析指向,不可直接存取。
在瀏覽器輸入已添加的網站網域名稱和Web攻擊代碼(例如
<被防護網域名稱>/alert(xss),alert(xss)為用作測試的跨站指令碼攻擊代碼),如果返回405攔截提示頁面,表示攻擊被攔截,WAF防護成功。
進階配置
在進行快速接入的同時,可設定以下進階配置,以增強安全性、提升效能和簡化管理。也可以在接入完成後,前往CNAME接入頁簽,找到目標網域名稱並單擊操作列的编辑進行修改。
增強安全防護等級(HTTPS)
配置項 | 功能描述 |
利用HTTP/2協議提升網頁載入速度,降低延遲,改善使用者體驗。若網站支援 HTTP/2,可啟用該功能。啟用後,HTTP/2與HTTPS使用相同連接埠。 | |
將所有HTTP訪問強制重新導向至HTTPS,同時預設開啟HSTS,確保用戶端始終通過安全連線訪問。僅在監聽協議未選擇HTTP時可用。 | |
定義用戶端與WAF之間允許的TLS版本。版本越高安全性越強,但對舊用戶端相容性越低。高安全需求情境下,推薦選擇TLS1.2及以上版本。 | |
定義用戶端與WAF之間允許的密碼編譯演算法。強加密套件安全性高,但對舊用戶端相容性低,高安全需求情境下,建議選擇強加密套件。 | |
當來源站點不支援HTTPS時,允許WAF通過HTTP協議回源。若來源站點未配置SSL認證,必須啟用此功能,否則網站無法訪問。 | |
當來源站點伺服器在同一IP地址上託管多個網域名稱的HTTPS服務時,必須啟用此功能以確保正確路由。 |
HTTP2
在配置监听頁勾選HTTP2。
在配置监听頁展開高级配置,單擊开启HTTPS的强制跳转。
在配置监听頁展開高级配置,選擇所需的TLS协议版本:
支援TLS1.0及以上版本,相容性最高,安全性較低:支援所有老舊用戶端訪問。
支援TLS1.1及以上版本,相容性較好,安全性較好:將導致使用TLS 1.0協議的老舊用戶端無法訪問網站。
支援TLS1.2及以上版本,相容性較好,安全性最高:滿足最新的安全合規要求,但將導致使用TLS 1.0和1.1協議的老舊用戶端無法訪問網站。
開啟支援TLS1.3:如果網站支援TLS 1.3協議,請勾選此項。WAF預設不監聽TLS 1.3協議的用戶端請求。
HTTPS加密套件
在配置监听頁展開高级配置,選擇所需的HTTPS加密套件:
全部加密套件,兼容性较高,安全性较低
协议版本的自定义加密套件、请谨慎选择,避免影响业务:如果網站僅支援特定的加密套件,請選擇此項,並從支援的加密套件列表中進行選擇。
強加密套件
弱加密套件
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES128-SHA256
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES256-SHA384
ECDHE-ECDSA-AES128-SHA
ECDHE-ECDSA-AES256-SHA
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
AES256-SHA256
ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES256-SHA
AES128-SHA
AES256-SHA
DES-CBC3-SHA
說明加密套件安全建議:ECDHE-RSA-AES128-SHA256 和 ECDHE-RSA-AES256-SHA384 加密套件使用 ECDHE 進行金鑰交換,RSA 用於身份認證,採用 AES-CBC 加密模式。相比採用 AES-GCM 等認證加密模式的套件,其安全性和效能較低。部分安全掃描工具可能將其識別為弱加密套件,如出現該情況,請選擇自訂加密套件並手動排除上述兩個套件。
加密套件命名標準:由於加密套件的命名標準不同,WAF採用OpenSSL格式顯示加密套件,而部分掃描工具可能使用IANA標準。例如,OpenSSL中的ECDHE-ECDSA-AES256-SHA384對應IANA的TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384。如需快速查詢對應關係,可訪問 ciphersuite.info 或使用其他TLS查詢工具。
在配置转发頁展開HTTPS高级设置,單擊开启HTTP回源。預設回源連接埠為80,可根據需要自訂。
在配置转发頁展開HTTPS高级设置,選中启用回源SNI後,可進一步設定SNI擴充欄位的值。可選項:
與實際請求host保持一致
回源請求的SNI值等於HTTP要求標頭中的Host欄位值。例如接入的網域名稱為
*.aliyundoc.com,用戶端請求Host為www.aliyundoc.com,則回源SNI為www.aliyundoc.com。自訂
指定固定的SNI值,該值可與Host欄位不同。僅在來源站點有特殊配置需求時使用,例如需將多個網域名稱請求統一指向特定後端服務。
擴充網路接入能力(IPv6)
開啟IPv6
功能描述:
若網站支援IPv6,通過該功能將IPv6流量接入WAF,系統將為該網域名稱分配一個IPv6的WAF IP地址。
IPv4用戶端請求將被轉寄至IPv4來源站點伺服器;IPv6用戶端請求優先轉寄至IPv6來源站點伺服器,若未配置IPv6來源站點,則轉寄至IPv4來源站點伺服器。
重要僅中国内地隨用隨付版、訂用帳戶企業版和旗艦版支援該功能。非中國內地WAF不支援該功能。
啟用此功能後,不支援共享集群智能负载均衡。
操作步驟:在配置监听頁展開更多配置,單擊開啟IPv6。
提升服務可用性與效能
配置項 | 功能描述 |
接入同一WAF執行個體的所有網域名稱預設共用一個WAF IP。啟用該功能的網域名稱將被分配一個獨立的IP地址,當其他網域名稱遭受DDoS攻擊時,該網域名稱不會受影響。更多資訊,請參見獨享IP。 重要 訂用帳戶基礎版執行個體不支援此功能。 | |
為WAF執行個體配置至少三個不同地區的防護節點。結合智能DNS解析和Least-time回源演算法,確保流量從防護節點到來源站點伺服器的路徑最短、時延最低。更多資訊,請參見智能負載平衡。 重要 訂用帳戶基礎版執行個體不支援此功能。 | |
當來源站點伺服器包含多個地址時,可通過配置負載平衡策略,使WAF按策略轉寄回源請求,實現流量分發。 | |
配置備用來源站點伺服器以保障服務的高可用性。當所有主鏈路回源地址不可達且請求流量不低於100 QPS時,系統將在30秒內自動切換至備鏈路。主鏈路恢複後將自動切回。 |
開啟獨享IP
重要隨用隨付執行個體按開啟的獨享IP數結算費用。更多資訊,請參見隨用隨付計費說明。
獨享IP地址不是固定的,為確保業務穩定,請嚴格按照本文的步驟修改網域名稱DNS解析設定。更多資訊,請參見是否能將DNS解析修改為WAF的VIP?
啟用此功能後,不支援共享集群智能负载均衡。
在配置监听頁展開更多配置,單擊开启独享IP。對於訂用帳戶執行個體,若此選項不可用,請根據頁面提示升級,購買獨享IP增值服務後再進行配置。
- 重要
隨用隨付執行個體按是否啟用共享集群智能负载均衡結算費用。更多資訊,請參見隨用隨付計費說明。
啟用共享集群智能负载均衡後,不支援IPv6、獨享IP。
在配置监听頁展開更多配置,在防护资源地區選取項目共享集群智能负载均衡啟用此功能。對於訂用帳戶執行個體,若此選項不可用,請根據頁面提示升級,啟用智能负载均衡增值服務後再進行配置。
在配置转发頁選擇负载均衡算法,可選項:
轮询
按順序依次將用戶端請求轉寄至來源站點伺服器位址列表中的各伺服器。適用於多來源站點伺服器且對來源站點伺服器負載均勻要求較高的情境。
IP hash
將來自同一個用戶端的請求經過負載平衡轉寄到同一個來源站點伺服器,適用於需要保持使用者會話一致性的情境,可能存在負載不均衡。
Least time
通過智能DNS解析能力和Least-time回源演算法,確保流量從接入防護節點到轉寄回來源站點伺服器的路徑最短、時延最低。
重要如需使用Least time演算法,必須確認配置监听時,將防护资源設定為共享集群智能负载均衡。更多資訊,請參見共用叢集智能負載平衡。
在配置转发頁,單擊开启备链路回源進行配置,可填寫IP或網域名稱格式的地址。支援最多20個地址,每輸入一個地址後按斷行符號確認,若填寫了多個地址,WAF將根據您在負載平衡演算法中的配置轉寄回源請求。
IP:必須為可訪問的公網IP地址。
支援配置 IPv4 和 IPv6 地址,可單獨或同時配置。
如需配置IPv6地址,必須確保在配置监听時,開啟了IPv6防護。更多資訊,請參見開啟IPv6。
網域名稱:WAF僅支援將用戶端請求轉寄至該網域名稱解析出的IPv4地址。對於IPv6網站,請選擇IP方式接入。
重要如網站對應的來源站點伺服器位址變更,請及時修改此處的伺服器位址。
擷取真實用戶端資訊
配置項 | 功能描述 |
WAF前存在七層代理(如CDN)時,需設定客户端IP判定方式,確保WAF能夠擷取真實的用戶端IP資訊,以便進行安全分析(例如:安全报表的攻击源IP)。 | |
協助來源站點伺服器區分經過WAF的請求,擷取用戶端真實源IP或源連接埠。 | |
WAF預設為經過的HTTP請求插入特定頭部。若網站應用程式需處理這些頭部,可按需配置。WAF插入頭部時,若請求中已存在該頭部,則覆蓋其值;若不存在,則新增該頭部並賦值。 |
WAF前是否有七層代理(高防/CDN等)
在配置监听頁,在WAF前是否有七層代理(高防/CDN等)地區進行配置,可選項:
否,無其他代理
表示WAF收到的業務請求由用戶端直接發起。
是,有其他代理
表示WAF收到的業務請求來自其他七層代理服務轉寄,需要進一步設定客户端IP判定方式。
取X-Forwarded-For中的第一个IP作为客户端源IP
選擇此項後,WAF將按照以下順序擷取用戶端IP:
從要求標頭部讀取 X-Real-IP 作為用戶端 IP。
若 X-Real-IP 不存在,則使用 X-Forwarded-For(XFF)中的首個 IP 位址作為用戶端 IP。
【推荐】取指定Header字段中的第一个IP作为客户端源IP,避免XFF伪造
說明建議通過其他代理服務配置,將用戶端源 IP 位址寫入指定的 Header 欄位(例如X-Real-IP、X-Client-IP)並選擇此配置,以防止攻擊者通過偽造XFF欄位繞過WAF。
在指定Header字段框中填寫對應的欄位。支援輸入多個Header欄位。輸入後斷行符號確認。WAF將按照以下順序擷取用戶端IP:
按序匹配配置的指定Header字段。
若所有指定Header都不存在,嘗試讀取X-Real-IP欄位。
若仍無結果,則採用XFF中的首個IP地址作為用戶端IP。
在配置转发頁展開其它高级设置,勾選启用流量标记後配置如下類型的標記欄位:
自定义Header:通過配置Header名和Header值,使WAF在回源請求中添加該Header資訊,標識經過WAF的請求。例如,可配置
WAF-TAG: Yes標記,其中WAF-TAG為Header名,Yes為Header值。配置後,伺服器可基於該欄位建立校正或存取控制策略,增強安全防護與請求識別能力。重要請勿填寫標準的HTTP Header欄位(例如User-Agent等),否則將導致標準Header欄位內容被自訂的欄位值覆蓋。
客户端真实源IP:通過配置真實用戶端源IP所在的Header欄位名,WAF可記錄該Header欄位並將其傳遞至來源站點伺服器。關於WAF判定用戶端真實源IP的具體規則,請參見WAF前是否有七層代理(高防/CDN等)參數的描述。
客户端真实源端口:通過配置真實用戶端源連接埠所在的Header欄位名,WAF可記錄該Header欄位並將其傳遞至來源站點伺服器。
在配置转发頁展開其它高级设置,在请求头字段转发配置地區,勾選希望插入的頭部欄位。
插入 X-Client-IP 获取真实IP:用於傳遞用戶端真實原始的IP地址。
插入 X-True-IP 获取建连IP:用於傳遞用戶端建立串連的IP地址。
插入 Web-Server-Type 获取服务类型:通常由第一個代理添加,用於告知後端伺服器處理當前請求的前端Web伺服器或代理類型。
插入 WL-Proxy-Client-IP 获取建连IP:功能與X-Client-IP相同,為 Oracle WebLogic Server 特有的要求標頭。
插入 X-Forwarded-Proto 获取监听协议:用戶端與第一個代理之間建立串連所使用的協議。
最佳化回源鏈路品質
配置項 | 功能描述 |
當來源站點伺服器處理時間較長導致可能的逾時問題時,可配置WAF建立與讀寫串連的逾時時間。 | |
當回源失敗時,WAF將預設為每個來源站點伺服器嘗試回源三次。關閉該功能後,如果回源失敗,WAF將不再進行重試。 | |
配置WAF 與來源站點伺服器之間保持長時間串連的能力。若接入後出現偶發502錯誤,請檢查來源站點相關參數。建議將WAF的長串連參數值設定為小於或等於來源站點對應的參數值。 |
設定回源逾時時間
在配置转发頁展開其它高级设置,設定以下專案:
设置新建连接超时时间:WAF與來源站點伺服器建立串連的逾時時間。一般情況下無需調整,僅當來源站點網路延遲高或負載極高導致建連慢時,才應適當調高此參數。預設值為5s,可配置範圍為1s~3600s。
设置读连接超时时间:等待來源站點伺服器響應的逾時時間。對於響應耗時較長的介面(如報表匯出、批量資料處理),需調高此參數。預設值為120s,可配置範圍為1s~3600s。
设置写连接超时时间:WAF向來源站點伺服器發送請求的逾時時間。一般情況下無需調整,僅當來源站點負載極高導致處理請求慢時,才應適當調高此參數。預設值為120s,可配置範圍為1s~3600s。
回源重試
在配置转发頁展開其它高级设置,在回源重試地區進行配置。
回源長串連
重要關閉該功能後,回源長串連將不支援WebSocket協議。
在配置转发頁展開其它高级设置,在回源长连接地區啟用該功能並進行如下設定:
复用长连接的请求个数:預設值為1,000個,可配置範圍為60個~1,000個。例如,當來源站點使用Nginx時,此參數對應Nginx參數
keepalive_requests,更多資訊,請參見Nginx文檔。空闲长连接超时时间:預設值為15s,可配置範圍為10s~3600s。例如,當來源站點使用Nginx時,此參數對應Nginx參數
keepalive_timeout。
提高資源管理效率
资源组
功能描述:用於簡化資源管理和許可權配置,提升管理效率。未指定資源群組時,網域名稱將加入預設資源群組。更多資訊,請參見資源群組。
操作步驟:在配置监听頁资源组地區,從資源群組下拉式清單中選擇該網域名稱所屬資源群組。
日常營運
更新網域名綁定的認證
如果認證即將到期或其他原因導致認證發生變更(例如認證被吊銷)時,需要更新網域名綁定的認證。
在阿里雲購買新認證
在Certificate Management Service (Original SSL Certificate)控制台續約SSL認證,具體操作,請參見續約SSL認證。
在WAF控制台CNAME接入列表,定位到目標網域名稱,單擊操作列的編輯。
在HTTPS認證上傳方式地區,選中選擇已有認證,並重新選擇更換後的認證。單擊。
已在其他平台購買新認證
從原購買平台下載認證檔案。
在WAF控制台CNAME接入列表,定位到目標網域名稱,單擊操作列的編輯。
在HTTPS認證上傳方式地區,選中手動上傳,填寫如下資訊。
認證名稱:為認證設定一個唯一的名稱,不能與已上傳的認證名稱重複。
認證檔案:請使用文字編輯器開啟並粘貼 PEM、CER、CRT 格式的認證常值內容。
格式樣本:
-----BEGIN CERTIFICATE-----......-----END CERTIFICATE-----憑證鏈結:若包含中間認證,請按照 “伺服器憑證、中間認證” 的順序拼接後粘貼。
格式轉換:若認證是 PFX、P7B 等格式,請使用認證工具將其轉換為 PEM 格式。
私密金鑰檔案:請使用文字編輯器開啟並粘貼 PEM 格式的私密金鑰常值內容。
格式樣本:
RSA:
-----BEGIN RSA PRIVATE KEY-----......-----END RSA PRIVATE KEY-----ECC:
-----BEGIN EC PRIVATE KEY-----......-----END EC PRIVATE KEY-----
認證剩餘有效期間不足30個自然日時,WAF會在接入列表中通過
表徵圖,提示認證即將到期,建議及時更新,以免影響業務正常運行。可以設定SSL認證訊息提醒,在認證到期前通過郵件、簡訊等方式接收通知。具體操作,請參見設定SSL認證訊息提醒。
為避免因認證到期而導致業務中斷,建議開通阿里雲Certificate Management Service (Original SSL Certificate)的認證託管服務,在認證即將到期時自動申請認證。更多資訊,請參見什麼是託管服務。
備案到期後重新接入
CNAME方式接入後,WAF會定期檢查已接入網域名稱的備案情況,一旦檢查到網域名稱備案到期,會自動停止網域名稱的轉寄。已接入網域名稱備案到期後,需要重新申請備案,備案成功後回到CNAME接入頁面,單擊再次接入防护按鈕。
接入復原(取消接入)
臨時關閉WAF防護:若在接入後出現問題,例如出現大量誤攔截,需要臨時關閉WAF防護時,可以在WAF控制台的防護對象頁面中,關閉WAF防护状态開關。更多資訊,請參見一鍵關閉WAF防護功能。
取消接入:若不再希望使用WAF對網域名稱進行防護,可以按照以下步驟取消接入。
將網域名稱的DNS解析記錄修改回來源站點伺服器位址。例如,設定為來源站點伺服器的IP地址。
在WAF控制台,定位到目標網域名稱,單擊操作列的删除。
業務影響:在刪除網域名稱前,必須先將網域名稱的DNS解析記錄修改回來源站點伺服器位址。否則將導致該網域名稱指向的CNAME地址失效,從而使網站無法訪問。
計費提示:當 WAF 執行個體為隨用隨付時,除請求處理費用外,還收取功能費用(包括執行個體本身及防護規則等)。如需終止使用 WAF 並停止計費,請參見關閉WAF。
通過API批量管理WAF接入網域名稱
當擁有多個網域名稱需要接入WAF進行管理時,可通過API快速執行查看或接入操作。
將網域名稱接入WAF執行個體的配置資訊,請參見API文檔添加CNAME接入資源。
查詢CNAME接入詳情的配置資訊,請參見API文檔查詢CNAME接入詳情。
應用於生產環境
為確保在生產環境中的安全性和穩定性,在接入生產環境網域名稱時,建議遵循以下最佳實務。
HTTPS配置:建議在來源站點伺服器與WAF中同時部署認證,並關注以下配置,以便高效管理憑證。
將認證檔案上傳至Certificate Management Service (Original SSL Certificate)。
在WAF側接入時選擇协议类型為HTTPS。建議TLS協議版本在地區,配置TLS1.2及以上版本,在HTTPS加密套件地區,配置自訂強加密套件。
設定SSL認證訊息提醒,在認證即將到期時及時更新。
灰階策略:優先在業務低峰期接入非生產環境的網域名稱,運行一段時間以確認業務正常後,再接入生產環境的網域名稱。
檢查業務:接入完成後,可以通過如下方式確認業務是否正常。
查看日誌:查看日誌中狀態代碼200的佔比是否有明顯波動、QPS是否有明顯突增突降等。若已啟用WAFLog Service,可以參考WAF日誌進行檢查。
業務監控:檢查業務側功能是否正常,例如使用者訪問、交易等功能。
來源站點加固:建議在來源站點伺服器僅允許存取WAF回源IP段,該措施可確保僅有WAF能與來源站點伺服器建立通訊,避免攻擊者訪問來源站點伺服器公網IP,繞過WAF發起攻擊。
後續營運:生產環境接入完成後,需進行持續的營運工作,監控攻擊與誤攔截事件。
事件處置:建議關注安全報表,並配置CloudMonitor通知,及時瞭解攻擊事件與安全事件。
調整規則:持續關注攻擊日誌,分析是否存在業務請求被誤攔截的情況,針對性最佳化防護規則。
常見問題
查看接入資訊相關
如何查看WAF回源IP段與WAF提供的CNAME?
可以在接入列表頁的下圖位置找到WAF的回源IP段以及WAF為每個接入網域名稱提供的CNAME地址。關於如何允許存取WAF回源IP段,請參見允許存取WAF回源IP段。
如何查看已接入網域名稱的DNS狀態?
可在接入列表中查看網域名稱的DNS狀態,及時識別存在DNS異常風險的網域名稱,並依據控制台提示調整DNS解析配置。
DNS狀態
處理操作
DNS解析正常
網域名稱DNS正常解析到WAF,無需操作。
DNS解析異常,使用A記錄接入
需要刪除接入網域名稱的A記錄,重新添加CNAME記錄,並將記錄值指向WAF提供的CNAME地址。具體操作,請參見修改網域名稱DNS解析設定。
DNS解析異常,使用錯誤的WAF IP
需要刪除接入網域名稱的A記錄,重新添加CNAME記錄,並將記錄值指向WAF提供的CNAME地址。具體操作,請參見修改網域名稱DNS解析設定。
DNS解析異常,使用錯誤的CNAME地址
需要將CNAME記錄中的記錄值修改為WAF提供的CNAME地址。具體操作,請參見修改網域名稱DNS解析設定。
DNS解析未知,網域名稱啟用了代理
WAF前啟用了七層代理,需要檢查代理配置的來源站點地址是否為WAF提供的CNAME地址,若確認正確則可以忽略此警示。
DNS校正逾時
單擊
表徵圖,重新進行DNS狀態檢測。無DNS解析記錄,請接入WAF
需要添加CNAME記錄,記錄值填寫WAF提供的CNAME地址。具體操作,請參見修改網域名稱DNS解析設定。
DNS未解析到WAF,請接入WAF
需要修改CNAME記錄,記錄值填寫WAF提供的CNAME地址。具體操作,請參見修改網域名稱DNS解析設定。
如何查看網域名稱ICP備案資訊?
開啟網路撥測工具,選擇網路診斷分析,輸入欄位名,確認備案檢查為網站已備案。若顯示“網站未備案,請諮詢網站伺服器供應商”,請完成備案後再接入WAF。
如何查看來源站點伺服器的公網IP或網域名稱地址?
在位置,若不確定來源站點伺服器位址,可以在網路診斷分析頁面,輸入接入的網站網域名稱,在DNS服務商解析結果地區進行查看,返回A或AAAA等IP記錄時,需在WAF填寫對應的IP,返回CNAME等網域名稱記錄時,填寫對應的域名(如CNAME)。
如何確定網站使用的連接埠?
在位置,需配置回源連接埠,即為網站使用的連接埠,可依據以下資訊進行確認。
標準連接埠 (預設):Web 服務預設使用標準連接埠,訪問時無需在網域名稱後指定。
HTTP: 例如
http://yourdomain.com表示使用 80 連接埠。HTTPS:例如
https://yourdomain.com表示使用 443 連接埠。
非標準連接埠:若網站使用非標準連接埠,訪問時連接埠號碼會直接顯示在網域名稱之後,格式為
網域名稱:連接埠號碼。HTTP:例如
http://yourdomain.com:8080表示使用 8080 連接埠。HTTPS:例如
https://yourdomain.com:8443表示使用 8443 連接埠。
說明為確保準確,建議檢查 Web 服務器(如 Nginx、Apache 等)的設定檔(如
nginx.conf),以擷取最準確的連接埠資訊。
WAF入口IP(VIP)相關
WAF的VIP是什麼,如何查看?
網域名稱接入WAF後,系統將分配一個獨立的虛擬IP(VIP)用於接收業務請求。該VIP不與其他租戶共用。阿里雲WAF執行個體提供高可用的防護服務,此VIP並非綁定於某一具體物理裝置,而是屬於阿里雲WAF叢集資源。在同一WAF執行個體下:
WAF的VIP無法在控制台上直接查看,需要在用戶端使用
ping或nslookup命令對已接入WAF的網域名稱進行查詢。ping example.com #需替換為已接入WAF的網域名稱重要此VIP是WAF的入口IP,不是WAF的回源IP段,來源站點伺服器必須嚴格按照允許存取WAF回源IP段的步驟進行配置。
如何設定預設SSL或TLS策略,使VIP滿足合規要求?
為滿足合規情境下的HTTPS通訊要求,WAF支援為VIP自訂SSL認證及TLS策略。在對WAF的VIP執行合規掃描前,請按照以下步驟上傳符合合規要求的HTTPS認證,並啟用或禁用指定版本的TLS協議與加密套件。
說明若已开启独享IP,該配置同樣會對獨享IP生效。
在接入列表上方,單擊預設SSL/TLS設定。
在預設SSL/TLS設定對話方塊,完成如下配置後,單擊確定。
配置項
說明
HTTPS認證上傳方式
上傳SSL認證。具體操作與網域名稱認證上傳方式相同,請參見上傳認證。
TLS協議版本
可選項:
支持TLS1.0及以上版本,兼容性最高,安全性较低
支持TLS1.1及以上版本,兼容性较好,安全性较好:將導致使用TLS 1.0協議的老舊用戶端無法訪問網站。
支持TLS1.2及以上版本,兼容性较好,安全性最高:滿足最新的安全合規要求,但將導致使用TLS 1.0和1.1協議的老舊用戶端無法訪問網站。
開啟支援TLS1.3:如果網站支援TLS 1.3協議,請勾選此項。
HTTPS加密套件
選擇要啟用的加密套件。可選項:
全部加密套件,兼容性较高,安全性较低
协议版本的自定义加密套件、请谨慎选择,避免影响业务:如果網站僅支援特定的加密套件,請選擇此項。關於支援自訂的加密套件,請參見WAF支援的加密套件。
對網域名稱做連接埠掃描,為什麼顯示並未開放的高危連接埠?有無風險?
使用Nmap等工具掃描CNAME接入WAF的網域名稱時,可能會掃描出來源站點伺服器未開放的連接埠。這是因為網域名稱解析指向WAF的VIP,實際掃描目標為VIP連接埠,屬正常情況。
WAF僅轉寄控制台已配置連接埠的流量。對於未配置連接埠,WAF在完成TCP三向交握後立即發送RST包終止串連,不轉寄任何資料。因此,未配置連接埠無安全風險,且VIP連接埠不支援手動關閉。更多資訊,請參見WAF非標連接埠開放說明。
是否能將DNS解析修改為WAF的VIP?
不能,通過CNAME方式接入WAF時,必須將DNS解析指向WAF提供的CNAME地址,而非指向WAF的VIP地址。這是因為VIP地址可能會發生變更,例如開啟或關閉獨享IP或智能負載平衡時,甚至極端情況下的WAF故障時,直接指向VIP可能導致服務中斷。使用CNAME可確保後端IP地址自動切換,保障商務持續性。
產品能力相關
使用了CDN,NAT Gateway等產品,還能接入WAF嗎?
可以,WAF前存在CDN、DDoS等七層代理時,接入WAF時需關注WAF前是否有七層代理(高防/CDN等)進行配置,詳細資料,請參見為CDN開啟內容加速的網域名稱提供WAF安全防護。
接入WAF的來源站點伺服器位址為WAF完成防護後,流量抵達的下一跳裝置,支援NAT Gateway、負載平衡、伺服器、OSS等資源。
WAF支援的加密套件有哪些?
CNAME接入方式下,可以通過自訂加密套件,控制WAF僅響應支援指定一種或多種加密套件的用戶端請求。支援的加密套件列表,請參見HTTPS加密套件。