Web Application Firewall：網域名稱獨享IP

什麼是共用IP、獨享IP

在CNAME接入方式下，網域名稱接入WAF後，系統將分配一個獨立的虛擬IP（VIP）用於接收業務請求。該VIP不與其他租戶共用。阿里雲WAF執行個體提供高可用的防護服務，此VIP並非綁定於某一具體物理裝置，而是屬於阿里雲WAF叢集資源。在同一WAF執行個體下：

• 未開啟網域名稱獨享IP或智能負載平衡功能時，所有網域名稱共用一個VIP。

• 開啟網域名稱獨享IP後，每個網域名稱分配獨立的VIP。

然而，此IP地址並不固定，為最大程度保證業務的穩定運行，請嚴格按照CNAME接入的步驟修改網域名稱DNS解析設定。更多資訊，請參見是否能將DNS解析修改為WAF的VIP？

獨享IP的價值

啟用網域名稱獨享 IP 可有效隔離 DDoS 攻擊風險。當某一網域名稱遭受大流量 DDoS 攻擊導致WAF 的 VIP 進入黑洞狀態時，若其他網域名稱共用該 VIP，則同樣無法訪問。通過為關鍵網域名稱啟用獨享 IP，可避免因共用 IP 被黑洞而影響重要業務的可用性。

啟用獨享IP

僅支援在 CNAME接入 方式下為網域名稱啟用獨享 IP，啟用獨享IP的操作步驟如下：

計費說明

獨享 IP 為計費功能，按啟用該功能的網域名稱數量計費：

• 啟用獨享 IP 的網域名稱越多，費用越高。

• 具體計費標準請參見：隨用隨付計費說明與訂用帳戶計費說明。

WAF的VIP（獨享IP或共用IP）與WAF的回源IP段有什麼區別？

• WAF VIP

  • 是WAF的入口IP，是用戶端訪問網站時實際串連的目標地址。  

  • 所有來自用戶端的請求首先到達此 VIP，由 WAF 進行安全檢測和過濾。 

  • 分為 共用 IP（多個網域名稱共用）和 獨享 IP（單個網域名稱專用）。

• WAF 回源 IP 段

  • 是 WAF 在完成安全檢測後，向來源站點伺服器發起回源請求時所使用的 IP 位址段。 

  • 從來源站點視角看，所有來自 WAF 的請求均源自這些回源 IP。 

  • 來源站點的安全性原則（如防火牆、安全性群組）必須允許存取 WAF 的回源 IP 段，否則將導致回源失敗。

如何查看WAF VIP的具體IP地址?

WAF的VIP（即獨享IP或共用IP）無法在控制台上直接查看，需要在用戶端使用ping或nslookup命令對已接入WAF的網域名稱進行查詢。

ping example.com  #需替換為已接入WAF的網域名稱

是否能將DNS解析修改為WAF的VIP？

不能，通過CNAME方式接入WAF時，必須將DNS解析指向WAF提供的CNAME地址，而非指向WAF的VIP地址。這是因為VIP地址可能會發生變更，例如開啟或關閉獨享IP或智能負載平衡時，甚至極端情況下的WAF故障時，直接指向VIP可能導致服務中斷。使用CNAME可確保後端IP地址自動切換，保障商務持續性。

對網域名稱做連接埠掃描，為什麼顯示並未開放的高危連接埠？有無風險？

使用Nmap等工具掃描CNAME接入WAF的網域名稱時，可能會掃描出來源站點伺服器未開放的連接埠。這是因為網域名稱解析指向WAF的VIP，實際掃描目標為VIP連接埠，屬正常情況。

WAF僅轉寄控制台已配置連接埠的流量。對於未配置連接埠，WAF在完成TCP三向交握後立即發送RST包終止串連，不轉寄任何資料。因此，未配置連接埠無安全風險，且VIP連接埠不支援手動關閉。更多資訊，請參見WAF非標連接埠開放說明。

如何設定預設SSL或TLS策略，使VIP滿足合規要求？

為滿足合規情境下的HTTPS通訊要求，WAF支援為VIP自訂SSL認證及TLS策略。在對WAF的VIP執行合規掃描前，請按照以下步驟上傳符合合規要求的HTTPS認證，並啟用或禁用指定版本的TLS協議與加密套件。