全部產品
Search

搜尋本產品

    Web Application Firewall:為CLB執行個體開啟WAF防護

    文件中心

    Web Application Firewall:為CLB執行個體開啟WAF防護

    更新時間:Nov 13, 2025

    為保護暴露在公網的傳統型負載平衡CLB執行個體免受Web攻擊,可以為其開啟Web Application Firewall(WAF 3.0)防護。該模式無需更改現有網路架構或DNS配置,僅需配置引流連接埠,系統自動將CLB執行個體指定引流連接埠上的公網流量引導至WAF,進行安全檢測與過濾,從而實現高效且透明的防護。

    接入原理

    • 工作原理:WAF通過透明代理方式接入CLB執行個體。僅需配置CLB執行個體的引流連接埠,系統即自動調整底層網路路由策略,將該連接埠上的全部HTTP/HTTPS流量引導至WAF進行安全檢測。WAF在攔截惡意請求後,將正常請求轉寄到源CLB執行個體。

    • 防護範圍:此模式的防護範圍覆蓋指定引流連接埠上的所有網域名稱,並支援僅使用公網IP(無網域名稱)的業務。

    • 支援的監聽協議:WAF支援接入已配置HTTP、HTTPS或TCP監聽的CLB執行個體。對於TCP監聽,WAF僅能防護其連接埠承載的HTTP/HTTPS流量,不支援對FTP、SMTP、資料庫等非HTTP/HTTPS協議流量進行轉寄防護。

    適用範圍

    若 CLB 執行個體不滿足以下要求,請使用CNAME接入

    執行個體要求

    • 執行個體類型須為公網,或為私網但已綁定EIP。

    • 接入前必須在CLB執行個體添加相關監聽,且監聽協議需為HTTP、HTTPS或TCP。

    • IP 版本必須為IPv4。

    • 不支援共用型CLB執行個體。

    執行個體地區要求

    • 中國內地WAF:西南1(成都)、華北2(北京)、華北3(張家口)、華東1(杭州)、華東2(上海)、華南1(深圳)、華北1(青島)。

    • 非中國內地WAF:中國(香港)、馬來西亞(吉隆坡)、印尼(雅加達)、新加坡。

    重要

    接入WAF時,Web業務可能出現短暫的秒級串連中斷。建議選擇業務低峰期進行操作,並在接入完成後關注業務狀態。若用戶端或服務具備有效重連機制,此中斷將自動回復,不會對業務運行造成影響。

    快速接入

    1. 進入控制台:

      登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地非中国内地)。在左側導覽列,單擊接入管理。選擇云产品接入頁簽,在左側雲產品類型列表,選擇传统型负载均衡 CLB

    2. 雲產品授權(首次配置)

      根據頁面提示,單擊立即授權,完成雲產品授權。可以在RAM控制台角色頁面,查看建立的服務關聯角色AliyunServiceRoleForWAF

    3. 接入CLB執行個體:

      1. 在右側列表,查看CLB執行個體及其WAF防護狀態,找到目標CLB執行個體,單擊image.png展開詳情,選擇需要接入的連接埠,在操作列單擊立即接入

        • 若找不到目標執行個體,請單擊頁面右上方同步资产,若仍無法找到,說明執行個體不滿足適用範圍

        • 立即接入按鈕無法點擊,或顯示防护异常,請參見常見問題image

      2. 根據接入連接埠的協議類型,進行相應操作。

        協議為HTTP/HTTPS

        接入资产頁面,如需自訂配置WAF前七層代理設定(如CDN)X-Forwarded-Proto頭欄位控制流量標記,請參見擷取真實用戶端資訊;如需自訂配置回源逾時時間回源長串連,請參見最佳化回源鏈路品質。否則,請單擊確定應用預設配置。

        說明

        協議為HTTPS時,認證相關配置在CLB側完成,WAF側無需配置認證。

        協議為TCP

        接入资产頁面,根據連接埠承載的流量,選擇协议类型

        HTTP

        如需自訂配置WAF前七層代理設定(如CDN)X-Forwarded-Proto頭欄位控制流量標記,請參見擷取真實用戶端資訊;如需自訂配置回源逾時時間回源長串連,請參見最佳化回源鏈路品質。否則,請單擊確定應用預設配置。

        HTTPS

        1. 如需自訂配置HTTP/2TLS協議版本加密套件擴充認證(多個認證),請參見增強安全防護等級(HTTPS)。否則,請保持其他配置項為預設設定。

        2. 默认证书地區,選擇認證上傳方式:

          • 手動上傳:適用於認證未上傳至阿里雲Certificate Management Service (Original SSL Certificate)的情境。

          • 選擇已有認證:從阿里雲Certificate Management Service (Original SSL Certificate)中選擇已簽發或已上傳的認證。

            手動上傳

            • 認證名稱:為認證設定一個唯一的名稱,不能與已上傳的認證名稱重複。

            • 認證檔案:請使用文字編輯器開啟並粘貼 PEM、CER、CRT 格式的認證常值內容。

              格式樣本:-----BEGIN CERTIFICATE-----......-----END CERTIFICATE-----

              • 格式轉換:若認證是 PFX、P7B 等格式,請使用認證工具將其轉換為 PEM 格式。

              • 憑證鏈結:若包含中間認證,請按照 “伺服器憑證、中間認證” 的順序拼接後粘貼。

            • 私密金鑰檔案:請使用文字編輯器開啟並粘貼 PEM 格式的私密金鑰常值內容。

              格式樣本:-----BEGIN RSA PRIVATE KEY-----......-----END RSA PRIVATE KEY-----

            選擇已有認證

            從認證下拉式清單中選擇要上傳到WAF的認證。

            說明

            若WAF控制台提示“证书链完整性校验失败,使用该证书可能会影响您的业务访问”,表示憑證鏈結存在完整性問題。請檢查認證內容的正確性與完整性後,在數位憑證管理服務控制台重新上傳。具體操作,請參見上傳、同步和共用SSL認證

        3. 如需自訂配置WAF前七層代理設定(如CDN)X-Forwarded-Proto頭欄位控制流量標記,請參見擷取真實用戶端資訊;如需自訂配置回源逾時時間回源長串連,請參見最佳化回源鏈路品質。否則,請單擊確定應用預設配置。

    4. 驗證防護效果

      接入完成後,通過以下方式驗證防護效果:在瀏覽器訪問CLB執行個體上託管的網站,並在其URL後附加Web攻擊測試代碼(例如http://yourdomain.com/alert(xss)),如果返回WAF的405攔截提示頁面,表示攻擊被攔截,WAF防護成功。

    5. 查看並配置防護規則

      完成接入後,WAF將自動建立一個名為執行個體id-連接埠-資產類型的防護對象,並為該防護對象預設啟用Web核心防護規則等模組的防護規則,可以在防护配置 > 防护对象頁面查看。如果預設的防護規則不滿足業務需求(例如需將特定IP地址列入白名單以允許存取其全部請求),可以建立或編輯防護規則。更多資訊,請參見防護配置概述

      image

    重要

    • 認證與執行個體狀態要求:完成接入後,需要確保認證處於有效期間內且執行個體狀態正常。在認證到期,執行個體上的EIP變更等情況下,WAF的防護將失效。更多資訊,請參見更新引流連接埠綁定的認證執行個體變更後重新接入WAF

    • 單CLB執行個體多網域名稱情境:若多個網域名稱解析指向了同一CLB執行個體,並且需要單獨為這些網域名稱配置不同的防護規則,須手動將各網域名稱添加為防護對象,詳細資料,請參見手動添加防護對象

    增強安全防護等級(HTTPS)

    說明

    僅當接入連接埠的協議類型為TCP,且承載的流量為HTTPS時,才支援配置HTTPS相關選項。

    配置項

    功能描述

    HTTP2

    利用HTTP/2協議提升網頁載入速度,降低延遲,改善使用者體驗。若網站支援 HTTP/2,可啟用該功能。啟用後,HTTP/2與HTTPS使用相同連接埠。

    TLS協議版本

    定義用戶端與WAF之間允許的TLS版本。版本越高安全性越強,但對舊用戶端相容性越低。高安全需求情境下,推薦選擇TLS1.2及以上版本。

    加密套件

    定義用戶端與WAF之間允許的密碼編譯演算法。強加密套件安全性高,但對舊用戶端相容性低,高安全需求情境下,建議選擇強加密套件。

    擴充認證

    當CLB執行個體託管多個網域名稱的HTTPS網站,且單張認證無法覆蓋所有網域名稱時,需為每個網域名稱上傳對應的認證。

    • HTTP2

      接入资产頁選中HTTP2啟用。

    • TLS協議版本

      接入资产頁的TLS协议版本地區進行選擇。

      • 支持TLS1.0及以上版本,兼容性最高,安全性较低:支援所有老舊用戶端訪問。

      • 支持TLS1.1及以上版本,兼容性较好,安全性较好:將導致使用TLS 1.0協議的老舊用戶端無法訪問網站。

      • 支持TLS1.2及以上版本,兼容性较好,安全性最高:滿足最新的安全合規要求,但將導致使用TLS 1.0和1.1協議的老舊用戶端無法訪問網站。

      • 開啟支援TLS1.3:如果網站支援TLS 1.3協議,請勾選此項。WAF預設不監聽TLS 1.3協議的用戶端請求。

    • 加密套件

      接入资产頁的加密套件地區進行選擇。

      • 全部加密套件,兼容性较高,安全性较低

      • 协议版本的自定义加密套件、请谨慎选择,避免影响业务:如果網站僅支援特定的加密套件,請選擇此項,並從支援的加密套件列表中進行選擇。

        強加密套件

        弱加密套件

        • ECDHE-ECDSA-AES128-GCM-SHA256

        • ECDHE-ECDSA-AES256-GCM-SHA384

        • ECDHE-ECDSA-AES128-SHA256

        • ECDHE-ECDSA-AES256-SHA384

        • ECDHE-RSA-AES128-GCM-SHA256

        • ECDHE-RSA-AES256-GCM-SHA384

        • ECDHE-RSA-AES128-SHA256

        • ECDHE-RSA-AES256-SHA384

        • ECDHE-ECDSA-AES128-SHA

        • ECDHE-ECDSA-AES256-SHA

        • AES128-GCM-SHA256

        • AES256-GCM-SHA384

        • AES128-SHA256

        • AES256-SHA256

        • ECDHE-RSA-AES128-SHA

        • ECDHE-RSA-AES256-SHA

        • AES128-SHA

        • AES256-SHA

        • DES-CBC3-SHA

        說明

        • 加密套件安全建議ECDHE-RSA-AES128-SHA256ECDHE-RSA-AES256-SHA384 加密套件使用 ECDHE 進行金鑰交換,RSA 用於身份認證,採用 AES-CBC 加密模式。相比採用 AES-GCM 等認證加密模式的套件,其安全性和效能較低。部分安全掃描工具可能將其識別為弱加密套件,如出現該情況,請選擇自訂加密套件並手動排除上述兩個套件。

        • 加密套件命名標準:由於加密套件的命名標準不同,WAF採用OpenSSL格式顯示加密套件,而部分掃描工具可能使用IANA標準。例如,OpenSSL中的ECDHE-ECDSA-AES256-SHA384對應IANA的TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384。如需快速查詢對應關係,可訪問 ciphersuite.info 或使用其他TLS查詢工具。

    • 擴充認證

      接入资产頁的扩展证书地區上傳認證。上傳方式與預設認證相同,具體操作,請參見預設認證

      說明

      添加多個擴充認證時,所有認證必須有效。任一認證到期將導致添加操作失敗。

    擷取真實用戶端資訊

    配置項

    功能描述

    WAF前是否有七層代理(高防/CDN等)

    WAF前存在七層代理(如CDN)時,需設定客户端IP判定方式,確保WAF能夠擷取真實的用戶端IP資訊,以便進行安全分析(例如:安全报表攻击源IP)。

    啟用流量標記

    協助來源站點伺服器區分經過WAF的請求,擷取用戶端真實源IP或源連接埠。

    通過X-Forwarded-Proto頭欄位擷取WAF的監聽協議

    WAF 預設為經過的HTTP請求插入 X-Forwarded-Proto 頭部,用於標識用戶端與最近一跳七層代理建立串連所使用的協議。若網站應用程式需處理此頭部,可按需配置。

    • WAF前是否有七層代理(高防/CDN等)

      接入资产頁的WAF前是否有七層代理(高防/CDN等)地區進行配置,可選項:

      否,無其他代理

      表示WAF收到的業務請求由用戶端直接發起。

      是,有其他代理

      表示WAF收到的業務請求來自其他七層代理服務轉寄,需要進一步設定客户端IP判定方式

      • 取X-Forwarded-For中的第一个IP作为客户端源IP

        選擇此項後,WAF將按照以下順序擷取用戶端IP:

        1. 從要求標頭部讀取 X-Real-IP 作為用戶端 IP。

        2. 若 X-Real-IP 不存在,則使用 X-Forwarded-For(XFF)中的首個 IP 位址作為用戶端 IP。

      • 【推荐】取指定Header字段中的第一个IP作为客户端源IP,避免XFF伪造

        說明

        建議通過其他代理服務配置,將用戶端源 IP 位址寫入指定的 Header 欄位(例如X-Real-IP、X-Client-IP)並選擇此配置,以防止攻擊者通過偽造XFF欄位繞過WAF。

        指定Header字段框中填寫對應的欄位。支援輸入多個Header欄位。輸入後斷行符號確認。WAF將按照以下順序擷取用戶端IP:

        1. 按序匹配配置的指定Header字段

        2. 若所有指定Header都不存在,嘗試讀取X-Real-IP欄位。

        3. 若仍無結果,則採用XFF中的首個IP地址作為用戶端IP。

    • 接入资产頁展開高级设置,勾選启用流量标记後配置如下類型的標記欄位:

      • 自定义Header:通過配置Header名Header值,使WAF在回源請求中添加該Header資訊,標識經過WAF的請求。例如,可配置WAF-TAG: Yes標記,其中WAF-TAG為Header名,Yes為Header值。配置後,伺服器可基於該欄位建立校正或存取控制策略,增強安全防護與請求識別能力。

        重要

        請勿填寫標準的HTTP Header欄位(例如User-Agent等),否則將導致標準Header欄位內容被自訂的欄位值覆蓋。

      • 客户端真实源IP:通過配置真實用戶端源IP所在的Header欄位名,WAF可記錄該Header欄位並將其傳遞至來源站點伺服器。關於WAF判定用戶端真實源IP的具體規則,請參見WAF前是否有七層代理(高防/CDN等)參數的描述。

      • 客户端真实源端口:通過配置真實用戶端源連接埠所在的Header欄位名,WAF可記錄該Header欄位並將其傳遞至來源站點伺服器。

    • 接入资产頁展開高级设置,按需勾選通過X-Forwarded-Proto頭欄位擷取WAF的監聽協議

    最佳化回源鏈路品質

    配置項

    功能描述

    設定讀寫連線逾時時間

    當來源站點伺服器處理時間較長導致可能的逾時問題時,可配置WAF讀寫連線逾時時間。

    回源長串連

    配置WAF 與來源站點伺服器之間保持長時間串連的能力。若接入後出現偶發502錯誤,請檢查來源站點相關參數。建議將WAF的長串連參數值設定為小於或等於來源站點對應的參數值。

    • 設定讀寫連線逾時時間

      接入资产頁展開高级设置,設定以下專案:

      • 设置读连接超时时间:等待來源站點伺服器響應的逾時時間。對於響應耗時較長的介面(如報表匯出、批量資料處理),需調高此參數。預設值為120s,可配置範圍為1s~3600s。

      • 设置写连接超时时间:WAF向來源站點伺服器發送請求的逾時時間。一般情況下無需調整,僅當來源站點負載極高導致處理請求慢時,才應適當調高此參數。預設值為120s,可配置範圍為1s~3600s。

    • 重要

      關閉該功能後,回源長串連將不支援WebSocket協議。

      接入资产頁展開高级设置,在回源长连接地區啟用該功能並進行如下設定:

      • 复用长连接的请求个数:預設值為1,000個,可配置範圍為60個~1,000個。例如,當來源站點使用Nginx時,此參數對應Nginx參數keepalive_requests,更多資訊,請參見Nginx文檔

      • 空闲长连接超时时间:預設值為3600s,可配置範圍為10s~3600s。例如,當來源站點使用Nginx時,此參數對應Nginx參數keepalive_timeout

    提高資源管理效率

    资源组

    • 功能描述:用於簡化資源管理和許可權配置,提升管理效率。未指定資源群組時,執行個體將加入預設資源群組。更多資訊,請參見資源群組

    • 操作步驟:在接入资产资源组地區,從資源群組下拉式清單中選擇該執行個體所屬資源群組。

    日常營運

    更新引流連接埠綁定的認證

    如果認證即將到期或其他原因導致認證發生變更(例如認證被吊銷)時,需要更新引流連接埠綁定的認證。

    步驟一:準備新認證

    在阿里雲購買新認證

    Certificate Management Service (Original SSL Certificate)控制台續約SSL認證,具體操作,請參見續約SSL認證

    已在其他平台購買新認證,將其上傳至阿里雲

    1. 從原購買平台下載認證檔案。

    2. 進入上傳認證頁面並單擊上傳認證,上傳PEM格式的認證。具體操作,請參見上傳本地認證

    步驟二:替換舊認證

    原CLB協議為HTTP/HTTPS

    1. 在CLB控制台建立認證,並選擇認證來源為阿里雲簽發認證不能選擇非阿里雲簽發認證。具體操作,請參見建立認證

    2. 在CLB控制台,修改監聽配置,將伺服器憑證替換為新上傳的認證。具體操作,請參見步驟二:配置SSL認證

    原CLB協議為TCP

    1. 云产品接入頁簽,選擇傳統型負載平衡CLB分頁,定位到目標執行個體,單擊image.png表徵圖,選擇目標連接埠操作列的编辑证书image

    2. 默认证书地區,選中选择已有证书,並重新選擇更換後的認證。

    說明

    • 認證剩餘有效期間不足30個自然日時,WAF會在接入列表中通過image.png表徵圖,提示認證即將到期,建議及時更新,以免影響業務正常運行。

    • 可以設定SSL認證訊息提醒,在認證到期前通過郵件、簡訊等方式接收通知。具體操作,請參見設定SSL認證訊息提醒

    • 為避免因認證到期而導致業務中斷,建議開通阿里雲Certificate Management Service (Original SSL Certificate)的認證託管服務,在認證即將到期時自動申請認證。更多資訊,請參見什麼是託管服務

    接入復原(取消接入)

    • 臨時關閉WAF防護:若在接入後出現問題,例如出現大量誤攔截,需要臨時關閉WAF防護時,可以在WAF控制台的防護對象頁面中,關閉WAF防护状态開關。更多資訊,請參見一鍵關閉WAF防護功能

    • 取消接入:若不再希望使用WAF對CLB執行個體進行防護,可以按照以下步驟取消接入。

      云产品接入頁簽,選擇傳統型負載平衡CLB分頁,定位到目標執行個體,單擊image.png表徵圖,單擊取消接入,在取消接入對話方塊,單擊确定image

    重要

    • 業務影響:取消接入WAF時,Web業務可能出現短暫的秒級串連中斷。建議選擇業務低峰期執行取消接入操作,並在取消完成後關注業務狀態。若用戶端或服務具備有效重連機制,此中斷將自動回復,不會對業務運行造成影響。

    • 重新接入:取消接入後,資產上的流量將不再受到WAF保護,可以單擊立即接入,重新設定引流連接埠。

    • 計費提示:當 WAF 執行個體為隨用隨付時,除請求處理費用外,還收取功能費用(包括執行個體本身及防護規則等)。如需終止使用 WAF 並停止計費,請參見關閉WAF

    執行個體變更後重新接入WAF

    WAF 通過 CLB 執行個體的引流連接埠對業務流量進行防護。當CLB執行個體因以下任一操作而發生變更時,原有的引流連接埠配置將會失效,導致業務流量繞過 WAF,直接暴露於公網風險之中:

    • 釋放CLB執行個體。

    • 刪除已接入WAF的監聽連接埠。

    • 更換CLB執行個體綁定的 EIP。

    為恢複安全防護,此時必須在 WAF 控制台為變更後的CLB執行個體重新執行接入操作。

    應用於生產環境

    為確保在生產環境中的安全性和穩定性,在接入生產環境CLB執行個體時,建議遵循以下最佳實務。

    • HTTPS配置:建議配置HTTPS類型的引流連接埠,並關注以下配置,以便高效管理憑證。

      • 將認證檔案上傳至Certificate Management Service (Original SSL Certificate)

      • 建議配置TLS協議版本為TLS1.2及以上版本。

      • 設定SSL認證訊息提醒,在認證即將到期時及時更新。

    • 灰階策略:優先在業務低峰期接入非生產環境的CLB執行個體,運行一段時間以確認業務正常後,再接入生產環境的CLB執行個體。

    • 檢查業務:接入完成後,可以通過如下方式確認業務是否正常。

      • 查看日誌:查看日誌中狀態代碼200的佔比是否有明顯波動、QPS是否有明顯突增突降等。若已啟用WAFLog Service,可以參考WAF日誌進行檢查。

      • 業務監控:檢查業務側功能是否正常,例如使用者訪問、交易等功能。

    • 後續營運:生產環境接入完成後,需進行持續的營運工作,監控攻擊與誤攔截事件。

      • 事件處置:建議關注安全報表,並配置CloudMonitor通知,及時瞭解攻擊事件與安全事件。

      • 調整規則:持續關注攻擊日誌,分析是否存在業務請求被誤攔截的情況,針對性最佳化防護規則。

    配額與限制

    • 接入的連接埠數量:配置的引流連接埠總數未超過 WAF 執行個體規格的上限。

      • WAF訂用帳戶執行個體:基礎版最多300個;進階版最多600個;企業版最多2,500個;旗艦版最多10,000個。

      • WAF隨用隨付執行個體:最多10,000個。

    • 監聽協議為HTTPS的CLB執行個體要求:

      • 認證不能到期。

      • 僅支援CLB內建的TLS安全性原則。

      • 不支援手動上傳至CLB控制台的認證。

      • 不支援啟用雙向認證。

    • 認證要求:不支援上傳國密認證。

    常見問題

    “立即接入”按鈕是灰色無法接入,或顯示防護異常怎麼辦?

    協議為TCP

    請定位到目標CLB執行個體,單擊image.png展開詳情後再進行接入,暫不支援在未展開時單擊立即接入image

    協議為HTTPS

    • 可能原因

      • 認證到期。

      • 開啟了雙向認證。

      • 認證僅通過手動上傳至CLB控制台。

    • 解決方案

      • 若認證到期,請參見更新引流連接埠綁定的認證進行更新。

      • 若開啟了雙向認證,請關閉雙向認證後再進行接入,具體操作,請參見配置雙向認證

      • 若認證僅通過手動上傳至CLB控制台,請進行以下操作:

        1. 將認證上傳到Certificate Management Service (Original SSL Certificate)。具體操作,請參見上傳SSL認證

        2. 在CLB控制台建立認證,並選擇認證來源為阿里雲簽發認證。具體操作,請參見建立認證

        3. 在CLB控制台,配置監聽,將伺服器憑證替換為新上傳的認證。具體操作,請參見步驟二:配置SSL認證

        說明

        在通過手動方式將認證上傳至CLB控制台時,認證資訊不會自動同步至數位憑證管理服務。由於WAF僅從數位憑證管理服務中擷取認證資訊,便導致此問題的產生。

    為什麼找不到要接入的CLB執行個體?

    請優先單擊接入管理頁面右上方同步資產image

    若仍無法找到,說明執行個體不滿足適用範圍。例如非中國內地地區的CLB執行個體需要通過購買非中國內地WAF進行雲產品接入,或使用CNAME接入

    image

    同一個網域名稱解析指向了多個CLB執行個體,該如何接入?

    • 使用雲產品接入:需要逐一接入這些CLB執行個體,確保WAF將流量引導至所有目標執行個體。

    • 使用CNAME接入:CNAME接入此網域名稱並配置來源站點地址為多個CLB執行個體的公網IP。

    多個網域名稱解析指向了同一個CLB執行個體,該如何接入?

    • 使用雲產品接入:接入此CLB執行個體後,執行個體上的所有網域名稱都將受到WAF預設防護策略的防護。但如果需要單獨為這些網域名稱配置不同的防護規則,須手動將各網域名稱添加為防護對象,詳細資料,請參見手動添加防護對象

    • 使用CNAME接入:逐一接入多個網域名稱。