全部產品
Search

搜尋本產品

    Web Application Firewall:為MSE雲原生網關執行個體開啟WAF防護

    文件中心

    Web Application Firewall:為MSE雲原生網關執行個體開啟WAF防護

    更新時間:Mar 05, 2026

    為保護微服務引擎(Microservices Engine,簡稱MSE)的雲原生網關執行個體免受Web攻擊,可為其開啟Web Application Firewall(Web Application Firewall,簡稱WAF)防護。該方案在不變更現有網路架構與DNS配置的前提下,為應用提供低延遲、高可用的Web安全防護能力。

    接入原理

    image

    雲產品接入MSE雲原生網關執行個體時,通過 SDK 整合的方式。SDK 內嵌於雲產品,負責流量提取、檢測與防護。WAF 不參與流量轉寄,避免引入額外轉寄層導致的相容性與穩定性問題。

    適用範圍

    若MSE網關執行個體不滿足以下要求,請使用CNAME接入

    • 帳號要求:MSE網關與WAF執行個體必須屬於同一阿里雲帳號(已配置企業多帳號統一管理除外)。

    • 地區要求:僅支援為華東1(杭州)華東2(上海)華北2(北京)華北6(烏蘭察布)中國香港新加坡、馬來西亞(吉隆坡)華北3(張家口)華南1(深圳)日本(東京)德國(法蘭克福)美國(矽谷)、美國(維吉尼亞)地區的MSE網關開啟WAF防護。

    操作步驟

    重要

    以下操作可能觸發網關服務自動重啟,導致長串連中斷,進而引發業務中斷或服務效能下降。建議在業務低峰期執行此操作。

    1. 進入控制台

      登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中國內地)。在左側導覽列,單擊接入管理。選擇雲產品接入頁簽,在左側雲產品類型列表,選擇云原生网关 MSE

    2. 雲產品授權(僅限未完成授權使用者)

      根據頁面提示,單擊立即授權,完成雲產品授權。可以在RAM控制台身份管理 > 角色頁面,查看建立的服務關聯角色AliyunServiceRoleForWAF

    3. 接入云原生网关 MSE執行個體

      1. 單擊接入,頁面跳轉至微服務引擎MSE控制台

      2. 在頂部功能表列,選擇地區,然後在左側導覽列,選擇云原生网关 > 网关列表,定位至已建立的執行個體。

        開啟執行個體層級防護

        單擊目標執行個體WAF安全防护列的未開啟表徵圖後,單擊开启网关实例防护,單擊确定

        開啟路由層級防護

        1. 單擊目標執行個體ID ,在基本信息頁面的左側導覽列,選擇路由管理

        2. 單擊目標路由WAF列的image表徵圖,然後單擊开启路由级 WAF 防护(推荐),在彈出的頁面單擊确定

    4. 驗證防護效果

      當目標執行個體WAF安全防护列或目標路由WAF列顯示已开启時,表示接入成功。此時在瀏覽器輸入您的網域名稱和Web攻擊代碼進行驗證(例如<您的網域名稱>/alert(xss)alert(xss)為用作測試的跨站指令碼攻擊代碼),如果返回405攔截提示頁面,表示攻擊已被成功攔截,WAF防護已生效。

    後續步驟

    查看並配置防護規則

    完成接入後,WAF將自動建立一個尾碼為-mse的防護對象,並為該防護對象預設啟用Web核心防護規則等模組的防護規則,可以在WAF控制台的防護配置 > 防護對象頁面查看。如果預設的防護規則不滿足您的業務需求,可以建立或編輯防護規則。更多資訊,請參見防護配置概述

    防護對象

    接入復原(取消接入)

    • 臨時關閉WAF防護:若在接入後出現問題,例如出現大量誤攔截,需要臨時關閉WAF防護時,可以在WAF控制台的防護對象頁面中,關閉WAF防護狀態開關。更多資訊,請參見一鍵關閉WAF防護功能

    • 取消接入:若不再希望使用WAF對MSE網關執行個體進行防護,可以前往微服務引擎MSE控制台選擇云原生网关 > 网关列表,定位至目標執行個體。

      關閉執行個體層級防護

      單擊目標執行個體WAF安全防护列的已開啟表徵圖後,單擊关闭网关实例防护,單擊确定

      關閉路由層級防護

      1. 單擊目標執行個體ID ,在基本信息頁面的左側導覽列,選擇路由管理

      2. 單擊目標路由操作列的策略配置,然後在WAF頁簽單擊关闭路由级 WAF 防护(不推荐),在彈出的頁面單擊确定

      重要

      • 取消接入後,業務流量將不再受WAF防護,安全報表中也不再包含相關業務流量的防護資料。

      • 若您的WAF執行個體為隨用隨付,取消接入後不會產生請求處理費,但由於WAF執行個體本身及其他防護規則的存在,仍會產生功能費。若不再希望繼續使用WAF並停止WAF計費,請參見關閉WAF

    配額與限制

    • 接入的執行個體數量:未超過 WAF 執行個體規格的上限。

      • WAF訂用帳戶執行個體:基礎版最多300個;進階版最多600個;企業版最多2,500個;旗艦版最多10,000個。

      • WAF隨用隨付執行個體:最多10,000個。

    • 不支援的功能

      • 網頁防篡改

      • 資訊泄露防護

      • Bot管理網頁防爬情境化防護中的自動整合Web SDK和合法Bot管理

      • Bot威脅情報

    常見問題

    WAF的雲產品接入和CNAME接入有什麼區別?能否一起使用?

    WAF 支援兩種接入方式:雲產品接入和 CNAME 接入。

    • 雲產品接入(本文所述方式):快速接入本帳號阿里雲雲產品執行個體。

    • CNAME接入:接入網域名稱,適用情境廣泛,支援跨帳號、跨雲情境。

    兩種方式不可同時使用。每個網域名稱僅可選擇其中一種接入方式,重複配置將導致流量轉寄衝突,使防護功能失效。詳細區別請參見接入概述文檔。