什麼是混合雲接入,如何部署混合雲接入 - Web Application Firewall

混合雲接入是阿里雲為部署在非阿里雲的業務流量提供的Web應用防護和管理方案。如果您的業務部署在第三方公用雲、私人雲端、線下IDC機房等，您可以通過混合雲接入方式，通過Web Application Firewall（Web Application Firewall，簡稱WAF）統一管控和營運您的雲上雲下Web業務。本文介紹什麼是混合雲接入、如何部署混合雲接入。

什麼是混合雲接入

混合雲接入是將雲上防護組件下沉到其他雲平台或本地IDC的一種產品形態，主要目的是提供本地與雲端相結合的一體化Web應用安全管理方案。

應用情境

業務特殊，流量無法上公用雲的本地Web業務防護。
業務同時部署在阿里雲、其他公用雲、私人雲端、線下IDC、VPC內網，需要統一的Web業務防護方案。
對時延敏感、可靠性要求高，需要跨多網路環境做多活容災的統一防護。

功能優勢

支援雲上、雲下資產和防護策略的統一管控。
本地化部署方案可就近防護客戶業務。
即時同步雲上防護規則和威脅情報。
可同時防護互連網和內網業務。
可在統一接入層引流，旁路檢測。同時支援手動bypass和自動bypass，在WAF叢集發生故障時能及時逃生。

接入模式

接入模式	原理	適用情境
反向 Proxy接入	反向 Proxy接入模式需要將網站網域名稱或IP接入WAF，並將DNS解析指向WAF的防護叢集地址。混合雲WAF叢集對所有代理的訪問請求進行安全檢測。	適用於可變更網路架構，業務流量規模不是特別大的使用者情境。例如互連網、零售、政府、金融、傳媒等行業。
SDK整合	SDK整合模式需要在統一接入網關上部署SDK外掛程式，SDK外掛程式將網關的業務流量複製一份到WAF防護叢集。該模式下，混合雲WAF防護叢集不參與流量轉寄，實現業務轉寄與檢測分離。	適用於存在統一接入層網關（Nginx、APISIX等），具有營運能力，且流量規模大，對延時和穩定性要求極高的使用者。例如，頭部互連網客戶和對轉寄功能有特殊需求的客戶。

在選擇混合雲接入時，應該根據具體網路架構和需求選擇接入模式。以下是一些常見的情境案例，以及如何選擇適合的接入模式：

企業公用服務門戶網站

背景：提供多種線上服務和資訊查詢功能。由於涉及敏感性資料，網站需要嚴格的安全防護。同時，該網站的流量相對穩定，且可以接受一些網路架構的調整。
推薦接入模式：反向 Proxy模式
理由：
- 部署便捷性：反向 Proxy模式涉及的部署步驟相對簡單，主要是通過DNS配置將流量引導至WAF。這種方式不需要對現有內部網路結構做複雜的調整，也無需在每個存取點部署外掛程式或軟體，適合具備基本營運能力的團隊快速實施。
- 簡單的架構調整：該網站流量相對穩定，可以在不影響使用者體驗的情況下調整DNS設定，將流量指向WAF。
- 易於管理和監控：通過反向 Proxy，安全性原則和規則可以在WAF平台上進行集中配置和管理，簡化了安全性原則的實施過程。

大型社交電商平台

背景：基於大規模、高並發的業務需求，以及對系統效能、穩定性和安全性的嚴格要求，希望在不改變現有架構和使用者體驗的情況下，增強應用的安全檢測能力。由於應用的使用者分布廣泛，流量特性複雜，公司需要一種能有效檢測和防護潛在威脅的解決方案。
推薦接入模式：SDK整合
理由：
- 作為一個使用者體驗至上的平台，對訪問延遲和系統穩定性有著極高的要求。SDK整合模式減少額外跳轉避免流量經過額外的代理節點，降低整體訪問延遲。
- SDK整合模式實現了業務流量的轉寄與安全檢測的分離，這對於社交平台來說具有多方面的優勢：
  - 提高系統穩定性：即使WAF防護叢集出現問題，也不會直接影響到業務流量的轉寄和整體系統的可用性。
  - 獨立擴充：可以根據業務增長獨立擴充WAF防護叢集，確保安全防護能力與業務需求同步提升。
- 平台本身已經採用了統一的接入層網關（如Nginx、APISIX等）來管理和分發流量。SDK整合模式尤其適合這種架構：
  - 無縫整合：通過在現有網關上部署WAF SDK外掛程式，能夠更方便地整合和管理安全防護，無需大規模調整現有網路架構。
  - 靈活配置：可以根據需要靈活配置WAF策略和規則，滿足不斷變化的安全需求。

使用限制

混合雲接入暫不支援網頁防篡改功能。

前提條件

已開通訂用帳戶企業版、旗艦版執行個體。具體操作，請參見購買WAF 3.0訂用帳戶執行個體。
說明
訂用帳戶基礎版或進階版、隨用隨付執行個體暫不支援混合雲接入。
已準備好所需要資源。關於所需準備的資源數量的建議，請參見準備叢集資源。
說明
混合雲叢集由管控、儲存、防護組件組成。為了保證叢集的高穩定性，不同組件建議分開部署。一個組件下包含多個節點時，建議您在節點前部署負載平衡裝置。

步驟一：安裝WAF用戶端

WAF用戶端介紹

混合雲叢集使用您的本機伺服器部署WAF防護節點。在部署混合雲叢集前，您必須在規劃為叢集節點的本機伺服器上安裝WAF用戶端vagent。

vagent的主要用途包括：

與阿里雲WAF服務端通訊，從雲上拉取混合雲WAF安裝鏡像和升級鏡像。
監控並上報混合雲組件的運行狀態，確保WAF服務的可用性。
即時同步雲上配置資訊，包括轉寄配置、防護規則和威脅情報，確保混合雲WAF防護效果的即時性。

vagent目前僅支援通過rpm方式安裝到Linux伺服器系統。Linux伺服器系統僅支援版本有AliOS 3.2104（64位）、Tencent OS 3.1（64位）、Centos7（64位）、Redhat7（64位）、x86麒麟v10，核心要求4.10及以上版本。

說明

CentOS 7已停止維護，阿里雲將同時停止對該作業系統的支援。已經使用CentOS 7的使用者不會受到影響，但不再更新鏡像。

操作步驟

登入您的本機伺服器。
擷取最新版本的vagent，並將vagent下載到本機伺服器。
擷取方法：請提交工單，聯絡產品技術專家進行諮詢。
安裝vagent。
1. 運行以下命令，安裝vagent到本機伺服器。
```
sudo rpm -ivh t-yundun-vagent-xxxxxxx.xxxxx.rpm
```
  說明
  xxxxxxx.xxxxx需要替換成您下載的vagent版本號碼。
2. 安裝完成後，運行以下命令，查看已安裝的vagent版本號碼，確認您已成功安裝最新版本的vagent。
```
rpm -qa|grep vagent
```

修改vagent的接入配置。

成功安裝vagent後，您必鬚根據混合雲WAF的接入模式，修改vagent與阿里雲服務端進行通訊的相關配置。具體操作步驟如下：

運行以下命令，進入vagent設定檔的編輯頁面。
```
sudo vi /home/admin/vagent/conf/vagent.toml
```

按i鍵進入編輯模式，修改或添加以下內容：

domain="wafopenapi.cn-hangzhou.aliyuncs.com" //混合雲WAF服務的接入地址。具體取值說明，請參見混合雲接入。
access_key_id=*****************　//您的阿里雲帳號的AccessKey ID。
access_key_secret=*****************　//您的阿里雲帳號的AccessKey Secret。

表 1. domain取值

WAF服務地區	混合雲WAF接入模式	domain取值
中國內地	公網接入（表示混合雲叢集通過公網串連雲WAF控制台）	`wafopenapi.cn-hangzhou.aliyuncs.com`
中國內地	專線私網接入（表示混合雲叢集通過專線串連雲WAF私網控制台。只有當您已經搭建了Express Connect，才支援使用該模式）說明目前支援華東1（杭州）、華東2（上海）、華北2（北京）地區的VPC執行個體。如果您的VPC執行個體位於中國境內其他地區，請提交工單，聯絡產品技術專家進行諮詢。	`wafopenapi.vpc-proxy.aliyuncs.com`
非中國內地	公網接入（表示混合雲叢集通過公網串連雲WAF控制台）	`wafopenapi.ap-southeast-1.aliyuncs.com`
非中國內地	專線私網接入（表示混合雲叢集通過專線串連雲WAF私網控制台。只有當您已經搭建了Express Connect，才支援使用該模式）說明如果您的VPC執行個體位於中國境外地區，請提交工單，聯絡產品技術專家進行諮詢。	`wafopenapi-intl.vpc-proxy.aliyuncs.com`

按Esc鍵退出編輯模式。
輸入:wq並按Enter鍵，儲存已修改內容並結束編輯。

啟動vagent。
1. 運行以下命令，啟動vagent。
```
sudo systemctl start vagent
```
2. 運行以下命令，設定開機自動啟動vagent。
```
sudo systemctl enable vagent
```
  設定開機自動啟動vagent後，您將會收到以下提示，表示已經設定成功：
```
Created symlink from /etc/systemd/system/multi-user.target.wants/vagent.service 
to /usr/lib/systemd/system/vagent.service.
```
如果啟動失敗，您可以使用以下方法查詢vagent的日誌資訊進行分析：
- 通過systemd工具查詢。查詢命令如下：
```
sudo journalctl -u vagent
```
- 通過vagent記錄檔查詢。查詢命令如下：
```
tail /home/admin/vagent/logs/vagent.log
```
您也可以運行以下命令，停止或查看vagent：
- 運行以下命令，停止vagent。
  sudo systemctl stop vagent
- 運行以下命令，查看vagent狀態。
  sudo systemctl status vagent
驗證安裝vagent是否成功。
在Linux系統中，您可以運行以下命令，驗證是否已經成功安裝vagent。
```
ps aux | grep AliYunDunWaf
```
- 如果輸出結果中有AliYunDunWaf進程，表示本機伺服器上已經成功安裝了vagent，且vagent正在運行，可以與阿里雲WAF服務端進行通訊。這時，您才可以通過部署叢集配置，將該伺服器添加為WAF的本地防護節點。
- 如果輸出結果中沒有AliYunDunWaf進程，建議您檢查是否已正確執行了安裝步驟，並重新嘗試安裝和啟動vagent。如果重試後仍然不能成功安裝vagent，請提交工單，聯絡產品技術專家進行諮詢。

步驟二：部署混合雲叢集

訪問Web Application Firewall購買頁，開啟多雲/混合雲防護，並配置多雲/混合雲防護擴充節點。
說明
- 僅訂用帳戶企業版和旗艦版執行個體支援混合雲接入。訂用帳戶基礎版和進階版執行個體、隨用隨付執行個體，暫不支援該接入方式。
- 單一叢集至少部署2個防護節點，單一防護節點最大支援防護不超過5,000 QPS的HTTP業務流量，或者不超過3,000 QPS的HTTPS業務流量。您可以根據叢集要防護的網站業務的QPS來選擇叢集節點數，並通過疊加防護節點，實現效能擴容。
登入Web Application Firewall3.0控制台。在頂部功能表列，選擇WAF執行個體的資源群組和地區（中国内地、非中国内地）。
在左側導覽列，單擊混合云管理。
在混合云管理頁面，單擊添加集群。

在基本資料配置嚮導，完成如下配置，單擊下一步。

配置項	說明
叢集名稱	為混合雲叢集設定一個名稱。
叢集類型	選擇要建立的混合雲叢集類型，可選項：反向 Proxy模式：選擇該模式後，WAF將作為反向 Proxy叢集參與業務轉寄和防護。 SDK整合模式：選擇該模式後，您需要在統一接入層網關上部署SDK外掛程式，SDK外掛程式將複製一份流量轉寄到WAF防護叢集。該模式下WAF防護叢集不參與流量轉寄。您可以在WAF叢集異常情況下，開啟手動bypass。開啟手動bypass後，WAF防護叢集即刻進入bypass狀態，對應該叢集的SDK不再繼續給WAF叢集轉寄流量，您的業務將跳過WAF防護。重要選擇叢集類型後，不支援修改，建議您規劃好要建立的混合雲叢集後，再進行配置。
防護節點數	選擇混合雲叢集包含的防護節點的數量。說明您在所有自訂混合雲叢集中添加的節點個數，不能超過已購買的多雲/混合雲防護擴充節點規格。
服務連接埠設定	設定混合雲叢集使用的防護連接埠。叢集防護連接埠必須包含所有要防護的網站業務所使用的協議連接埠。後續接入網站業務到混合雲叢集進行防護時，您只能從叢集防護連接埠中選擇網站業務的協議連接埠。混合雲叢集預設開啟80、8080、443、8443連接埠。如果沒有特殊需求，無需修改。如果需要添加其他連接埠，可手動輸入。每輸入一個連接埠，按斷行符號確認。重要混合雲叢集不支援22、53、9100、4431、4646、8301、6060、8600、56688、15001、4985、4986、4987連接埠。您可以單擊查看不可選連接埠範圍，查看混合雲叢集的不可選連接埠範圍。建議您僅添加必須用到的防護連接埠，不要添加與業務無關的連接埠，避免引入安全風險。
叢集接入模式	設定混合雲叢集的網路接入模式。可選值：公網接入：表示混合雲叢集通過公網串連雲WAF控制台。專線私網接入：表示混合雲叢集通過專線串連雲WAF私網控制台。重要只有搭建Express Connect後，才支援使用專線私網接入模式。具體操作，請參見Express Connect。
備忘	為混合雲叢集添加備忘說明。

在節點群組配置嚮導，單擊添加節點群組，按照節點群組添加順序，添加節點群組後，單擊下一步。

說明

您必須先在混合雲叢集下添加多個節點群組，再在節點群組中添加節點。每個節點群組需要使用一台負載平衡伺服器，確保業務的負載平衡和容災能力。如果您沒有負載平衡裝置，請提交工單，聯絡產品技術專家進行諮詢。

配置項	說明
節點群組名稱	為節點群組設定一個名稱。
負載平衡（伺服器）IP	設定與該節點群組綁定的負載平衡伺服器的公網IP地址。
節點群組類型	選擇該節點群組的類型。可選項：防護：對應防護組件，一個叢集中可以添加多個，進行容災。管控：對應管控組件，一個叢集中可以添加多個，進行容災。儲存：對應儲存群組件，一個叢集中僅支援添加1個。管控和儲存：對應管控和儲存群組件，一個叢集中僅支援添加1個。您必須按照以下順序依次添加對應的節點群組：方式一：至少添加3個節點群組先添加1個儲存節點群組，再添加至少1個管控節點群組，最後添加至少1個防護節點群組。方式二：至少添加2個節點群組先添加1個管控和儲存節點群組，再添加至少1個防護節點群組。
所在地區	當節點群組類型為防護時，需要選擇節點群組所在地區。其他類型的節點群組，無需設定該參數。
備忘	為節點群組添加備忘說明。

在節點初始化配置導航，單擊添加節點，完成如下配置，單擊儲存。

配置項	說明
伺服器IP地址	設定本機伺服器的公網IP地址。
節點名稱	為節點設定一個名稱。
所在地區	選擇節點所在地區資訊。
伺服器配置	預設顯示該伺服器的配置資訊。
防護節點群組	選擇要加入的防護節點群組。您在當前叢集中添加的節點個數不能超過該叢集的防護節點數規格。建議您在防護節點群組下添加至少2個節點，保證線上雙活容災。

成功建立叢集後，您可以單擊切換叢集，選擇要查詢的叢集後，執行如下操作：

在基本資料地區，查看叢集基本資料。您也可以單擊編輯，修改叢集名稱、防護節點數、服務連接埠或備忘資訊。
單擊節點群組配置，添加或修改節點群組。具體操作，請參見步驟 6。
單擊添加節點，添加節點。具體操作，請參見步驟 7。
檢查節點運行狀態。
- 節點狀態表示伺服器是否正常運行。正常狀態表示正在運行，已停止狀態表示伺服器已關機。
  如果伺服器已關機，則該節點將無法提供WAF防護服務，請您及時檢查伺服器關機原因，儘快修複異常。
- 應用狀態表示節點上的WAF用戶端應用程式vagent是否正常運行。正常狀態表示運行正常，已停止狀態表示vagent已停止運行。
  如果vagent已停止運行，則該節點可能無法正常提供WAF防護服務，建議您登入本機伺服器，檢查vagent的安裝和運行狀態，儘快修複異常。具體操作，請參見步驟一：安裝WAF用戶端。

重要

為避免節點健全狀態檢查失效，部署時使用的子帳號及許可權不可刪除。如您誤刪了該子帳號，請提交工單，聯絡產品技術專家進行諮詢。

準備叢集資源

您可以根據防護情境，選擇對應的叢集部署方案，不同方案所需要的叢集資源數量不同。

反向 Proxy

防護情境與目標	業務QPS範圍	推薦資源配置	部署說明
高穩定性業務上線防護（容災高可用）	500 QPS以下的HTTP業務防護量或300 QPS以下的HTTPS業務防護量。	3台伺服器（8c16g配置）+1個負載平衡裝置。	管控和儲存群組件：1台伺服器。防護組件：2台（及以上）伺服器+1個負載平衡裝置。
	500-2000 QPS的HTTP業務防護量或300-1000 QPS的HTTPS業務防護量。	2台伺服器（8c16g配置）+1台伺服器（16c32g配置）+1個負載平衡裝置。
	2000-5000 QPS的HTTP業務防護量或1000-3000 QPS的HTTPS業務防護量。	3台伺服器（16c32g配置）+1個負載平衡裝置。
	1萬QPS以內的HTTP業務防護量或6000 QPS以內的HTTPS業務防護量。	3台伺服器（32c64g配置）+1個負載平衡裝置。
	超出以上範圍。	按需擴容防護節點。一個防護節點最大支援處理5000 QPS的HTTP業務或3000 QPS的HTTPS業務。
PoC 測試（最小化驗證）	500 QPS以下的HTTP業務防護量或300 QPS以下的HTTPS業務防護量。	2台伺服器（8c16g配置）。	管控和儲存群組件：1台伺服器。防護組件：1台伺服器。

SDK整合

防護情境與目標	業務QPS範圍	推薦資源配置	部署說明
高穩定性業務上線防護（容災高可用）	15000 QPS以下的業務防護量。	3台伺服器（32c64g配置）。	儲存和管控組件：1台（及以上）伺服器。防護組件：2台（及以上）伺服器。
高穩定性業務上線防護（容災高可用）	超出15000 QPS。	按需擴容防護節點。一個防護節點最大支援處理15000 QPS的業務。	儲存和管控組件：1台（及以上）伺服器。防護組件：2台（及以上）伺服器。
PoC 測試（最小化驗證）	5000 QPS以下的業務防護量。	2台伺服器（16c32g配置）。	儲存和管控組件：1台伺服器。防護組件：1台（及以上）伺服器。

步驟三：接入WAF

反向 Proxy和SDK整合兩種接入模式的接入操作步驟不同，請根據您在部署混合雲叢集中選擇的叢集類型，查看對應的接入操作步驟。

反向 Proxy模式

登入Web Application Firewall3.0控制台。在頂部功能表列，選擇WAF執行個體的資源群組和地區（中国内地、非中国内地）。
在左側導覽列，單擊接入管理。
在混合雲接入頁簽，單擊反向 Proxy後，單擊接入。

在配置監聽嚮導頁面，完成如下配置，單擊下一步。

配置項	配置說明
網域名稱/IP	填寫要防護的網域名稱或IP。配置說明：支援填寫精確網域名稱（例如`www.aliyundoc.com`）；或萬用字元網域名稱（例如`.aliyundoc.com`）。說明萬用字元網域名稱不能匹配對應的主網域名稱，例如，`.aliyundoc.com`不能匹配`aliyundoc.com`。萬用字元網域名稱不能匹配不同層級的子網域名稱，例如，`.aliyundoc.com`不能匹配`www.example.aliyundoc.com`。萬用字元網域名稱能夠匹配所有同層級的子網域名稱，例如，`.aliyundoc.com`能夠匹配`www.aliyundoc.com`、`example.aliyundoc.com`等。如果防護對象中同時存在精確網域名稱和能夠匹配該精確網域名稱的萬用字元網域名稱，精確網域名稱的防護規則優先生效。支援填寫IP，例如192.168.XX.XX。
協議類型	網站使用的協議類型及連接埠資訊。選中HTTP或HTTPS，並填寫對應的連接埠號碼。每輸入一個連接埠，按斷行符號確認。說明您輸入的連接埠必須在混合雲叢集配置的叢集監聽連接埠範圍內。如果您的網域名稱或IP需要監聽的連接埠不在該範圍內，請先在混合雲叢集添加新的監聽連接埠。具體操作，請參見步驟二：部署混合雲叢集。如果選中HTTP，您無需配置其他資訊。如果選中HTTPS，您需要將關聯的SSL認證上傳到WAF，使WAF監聽和防護網站的HTTPS業務流量。手动上传選中手动上传，並填寫证书名称、证书文件（格式樣本：`-----BEGIN CERTIFICATE-----......-----END CERTIFICATE-----`）、私钥文件（格式樣本：`-----BEGIN RSA PRIVATE KEY-----......-----END RSA PRIVATE KEY-----`）。重要如果認證是PEM、CER、CRT格式，您可以使用文字編輯器直接開啟認證檔案，並複製其中的常值內容；如果是其他格式（例如PFX、P7B等），您必須將認證檔案轉換成PEM格式後，才可以使用文字編輯器擷取其中的常值內容。您可以登入數位憑證管理服務控制台，使用認證格式轉換工具進行轉換。具體操作，請參見認證格式轉換。如果網域名稱關聯了多個SSL認證（例如，存在憑證鏈結），您必須將認證檔案中的常值內容拼接後，再上傳到WAF。选择已有证书如果您的認證為如下兩種情況，您可以選中选择已有证书，從認證下拉式清單中選擇要上傳到WAF的認證。認證已通過阿里雲數位憑證管理服務簽發。認證為第三方認證，且已上傳到數位憑證管理服務。重要選擇上傳到數位憑證管理服務的第三方認證時，WAF控制台提示证书链完整性校验失败，使用该证书可能会影响您的业务访问，可能是選擇的認證存在問題。您可以單擊Apsara Stack Security-認證服務，在數位憑證管理服務控制台重新上傳新的認證。具體操作，請參見上傳、同步和共用SSL認證。申請新認證單擊立即申請，跳轉到SSL認證申請頁面，快速申請一張認證。按照頁面提示配置認證後，認證將自動上傳到WAF。說明快速申請認證僅支援申請付費DV（Domain Validation）型認證。如果您需要申請其他類型的認證，請通過SSL認證服務購買。更多資訊，請參見購買正式認證。選中HTTPS並配置認證後，您也可以根據業務需要，進行如下操作： HTTP2 如果您的網站支援HTTP 2.0協議，您可以選中HTTP2，開啟HTTP 2.0業務防護。說明 HTTP 2.0協議的連接埠與HTTPS協議連接埠一致。進階配置開啟HTTPS的強制跳轉（進階配置）該功能預設不開啟。如果您希望將用戶端的HTTP請求強制轉換為HTTPS請求（預設跳轉到443連接埠），以提高安全性，可開啟該功能。開啟該功能後會預設開啟HTTP嚴格傳輸安全（HTTP Strict Transport Security，HSTS），配置HSTS回應標頭，確保始終使用HTTPS請求串連。重要只有在未選中HTTP協議時，支援開啟該功能。 TLS协议版本自訂HTTPS通訊中允許使用的TLS協議版本。如果用戶端使用不符合要求的協議版本，WAF會丟棄其請求流量。此處設定的協議版本越高，通訊安全性越好，但相容性會有所降低。建議您根據網站本身的HTTPS配置，選擇允許WAF監聽的TLS協議版本。如果您不清楚網站的HTTPS配置，建議使用預設選項。可選項：支持TLS1.0及以上版本，兼容性最高，安全性较低（預設）支持TLS1.1及以上版本，兼容性较好，安全性较好使用該選項後，如果用戶端使用TLS 1.0版本，將無法訪問網站。支持TLS1.2及以上版本，兼容性较好，安全性最高使用該選項後，如果用戶端使用TLS 1.0和1.1版本，將無法訪問網站。如果您的網站支援TLS 1.3協議，請選中开启支持TLS1.3。WAF預設不監聽TLS 1.3協議的用戶端請求。加密套件自訂HTTPS通訊中允許使用的加密套件。如果用戶端使用不符合要求的加密套件，WAF會丟棄其請求流量。預設已選擇WAF支援的全部加密套件。建議您只在網站只支援特定加密套件的前提下，再修改該配置。可選項：全部加密套件，兼容性较高，安全性较低（預設）协议版本的自定义加密套件、请谨慎选择，避免影响业务：如果您的網站本身只支援特定的加密套件，請選擇該選項，並從WAF支援的加密套件中選擇網站支援的加密套件。如果用戶端使用其他加密套件，將無法訪問網站。
WAF前是否有七層代理（高防/CDN等）	無其他代理服務，選擇否表示WAF收到的業務請求由用戶端直接發起，而非通過其他代理服務轉寄。該情境下，WAF會直接擷取與WAF建立串連的IP（來自請求的`REMOTE_ADDR`欄位）作為用戶端IP。有其他代理服務，選擇是表示WAF收到的業務請求來自其他七層代理服務轉寄，而非用戶端直接發起。為保證WAF可以擷取真實的用戶端IP進行安全分析，您需要進一步設定客户端IP判定方式。可選項：（預設）取X-Forwarded-For中的第一个IP作为客户端源IP WAF預設優先讀取請求Header欄位X-Real-IP作為用戶端IP，如果X-Real-IP不存在，則讀取欄位X-Forwarded-For（XFF）中的第一個IP地址作為用戶端IP。【推荐】取指定Header字段中的第一个IP作为客户端源IP，避免XFF伪造如果您的網站業務已通過其他代理服務的設定，規定將用戶端源IP放置在某個自訂的Header欄位（例如，X-Real-IP、X-Client-IP），則您需要選擇該選項，並在指定Header字段框中輸入對應的Header欄位。說明推薦您在業務中使用自訂Header存放用戶端IP，並在WAF中配置對應Header欄位。該方式可以避免攻擊者偽造XFF欄位，躲避WAF的檢測規則，提高業務的安全性。支援輸入多個Header欄位。每輸入完一個Header欄位，按斷行符號進行確認。如果設定了多個Header，WAF將按順序嘗試讀取用戶端IP。如果第一個Header不存在，則讀取第二個，以此類推。如果所有指定Header都不存在，優先嘗試讀取X-Real-IP欄位，若仍無結果則採用X-Forwarded-For（XFF）頭部中的首個IP地址作為用戶端IP。
資源群組	從資源群組列表中選擇該網域名稱所屬資源群組。如果不選擇，則預設加入預設資源群組。說明您可以使用資源管理服務建立資源群組，根據業務部門、專案等維度對雲資源進行分組管理。更多資訊，請參見建立資源群組。

在配置转发嚮導頁面，完成如下配置，單擊提交。

配置項	說明
節點設定	選擇防護節點群組，並添加要加入到防護節點群組中的伺服器位址。該地址為網站對應的來源站點IP地址，用於接收WAF轉寄回源的正常業務請求（回源請求）。多個防護節點群組之間相互容災兜底，即A節點群組對應的來源站點不通，會自動將流量切到B節點群組來源站點。可選項： IP 支援填寫多個IP地址。每填寫一個IP地址，按斷行符號進行確認。最多支援添加20個來源站點IP。說明如果設定了多個來源站點IP地址，WAF會在多個來源站點IP間自動進行負載平衡。支援同時配置IPv4和IPv6地址，或者只配置IPv4地址，或者只配置IPv6地址。同時配置IPv4和IPv6地址時，來自IPv6用戶端的請求將被轉寄到IPv6來源站點，來自IPv4用戶端的請求將被轉寄到IPv4來源站點。只配置IPv4地址時，IPv4和IPv6請求都將通過IPv4回源，即WAF將請求轉寄到您設定的IPv4來源站點地址。只配置IPv6地址時，IPv4和IPv6請求都將通過IPv6回源，即WAF將請求轉寄到您設定的IPv6來源站點地址。網域名稱（如CNAME）填寫回源網域名稱時，只支援IPv4回源（暫不支援IPv6回源），即WAF只會將用戶端請求轉寄到回源網域名稱解析出來的IPv4地址（WAF不解析回源網域名稱的IPv6地址）。开启备链路回源開啟備鏈路回源，當主鏈路所有回源地址不通時，WAF叢集會自動將流量轉寄到備鏈路來源站點IP，實現鏈路高可用。當主鏈路來源站點IP恢複，WAF叢集會自動將流量再轉寄到主鏈路來源站點IP。只有開啟了回源重試，才可配置備鏈路回源。如果您的某個網站部署在了多個防護節點中，您可以單擊添加防護節點，將多個防護節點同時接入WAF的防護。
公用雲容災	開啟該功能後，業務可切換到公用雲鏈路容災。混合雲鏈路故障時，可將網域名稱對應的DNS解析指向公用雲容災鏈路分配的CNAME地址，流量經過公用雲叢集防護後再回源到伺服器位址。您需要添加要進行容災的伺服器位址。具體配置要求與節點設定中的伺服器位址相同。更多資訊，請參見伺服器位址配置要求。
負載平衡演算法	如果來源站點有多個伺服器位址，您可以選擇WAF轉寄回源請求到來源站點時，在多個伺服器位址間進行負載平衡的演算法。可選項： IP hash 將來自同一個用戶端的請求經過負載平衡轉寄到同一個來源站點伺服器，適用於需要保持使用者會話一致性的情境，可能存在負載不均衡。轮询按順序依次將用戶端請求轉寄至來源站點伺服器位址列表中的各伺服器。適用於多來源站點伺服器且對來源站點伺服器負載均勻要求較高的情境。
HTTPS進階設定	开启HTTP回源：當來源站點不支援HTTPS時，允許WAF通過HTTP協議回源。若來源站點未配置SSL認證，必須啟用此功能，否則網站無法訪問。預設回源連接埠為80，可根據需要自訂。启用回源SNI：當來源站點伺服器在同一IP地址上託管多個網域名稱的HTTPS服務時，必須啟用此功能以確保正確路由。選中启用回源SNI後，可進一步設定SNI擴充欄位的值。可選項：與實際請求host保持一致回源請求的SNI值等於HTTP要求標頭中的Host欄位值。例如接入的網域名稱為 `*.aliyundoc.com`，用戶端請求Host為 `www.aliyundoc.com`，則回源SNI為 `www.aliyundoc.com`。自訂指定固定的SNI值，該值可與Host欄位不同。僅在來源站點有特殊配置需求時使用，例如需將多個網域名稱請求統一指向特定後端服務。
其它進階設定	通過X-Forwarded-Proto頭欄位擷取WAF的監聽協議 WAF 3.0 會預設為經過的 HTTP 要求自動插入 `X-Forwarded-Proto` 頭部，用於標識與 WAF 之間的通訊協定使用的是HTTP還是HTTPS協議訪問Proxy 伺服器。如果您的網站應用程式程式無法正確處理該頭部，可能會導致一些相容性問題，影響業務正常運行。您可以選擇關閉 WAF 自動插入該頭部的功能，避免此類問題發生。启用流量标记啟用流量標記可以協助來源站點區分經過WAF的請求，擷取客戶真實源IP或源連接埠。例如，如果攻擊者在網域名稱接入WAF前，已擷取來源站點IP資訊，並通過購買其他WAF執行個體，將請求回源到目標來源站點時，您可以在來源站點對啟用流量標記的欄位進行校正。如果請求中存在指定標記欄位，則為WAF檢測後的正常請求，允許存取該請求；如果請求中不存在指定標記欄位，則為攻擊者請求，攔截該請求。您可以配置如下類型的標記欄位：自定义Header 通過配置Header名和Header值，使WAF在回源請求中添加該Header資訊，標記經過WAF的請求（區分沒有經過WAF的請求，便於您的後端服務統計分析）。例如，您可以使用`ALIWAF-TAG: Yes`標記經過WAF的請求，其中，`ALIWAF-TAG`為Header名，`Yes`為Header值。客户端真实源IP 通過配置真實用戶端源IP所在的頭部欄位名，WAF可記錄該頭部欄位並將該頭部欄位傳遞迴來源站點。關於WAF判定用戶端真實源IP的具體規則，請參見WAF前是否有七層代理（高防/CDN等）參數的描述。客户端真实源端口通過配置真實用戶端源連接埠所在的頭部欄位名，WAF可記錄該頭部欄位並將該頭部欄位傳遞迴來源站點。重要請不要填寫標準的HTTP頭部欄位（例如User-Agent等），否則會導致標準頭部欄位內容被自訂的欄位值覆蓋。單擊新增标记，可以增加標記欄位。最多支援設定5個標記欄位。設定WAF回源到來源站點的逾時時間设置新建连接超时时间：WAF與來源站點建立串連的逾時時間，預設值為5s，可配置範圍為1s~3600s。设置读连接超时时间：等待來源站點響應的逾時時間，預設值為120s，可配置範圍為1s~3600s。设置写连接超时时间：WAF向來源站點發送請求的逾時時間，預設值為120s，可配置範圍為1s~3600s。回源重试開啟該功能後，如果回源失敗，WAF會預設為每個來源站點嘗試回源三次。關閉該功能後，如果回源失敗，WAF將不再進行重試。回源长连接開啟該功能後，您還需要進行如下設定：复用长连接的请求个数：預設值為1,000個，可配置範圍為60個~1,000個。空闲长连接超时时间：預設值為15s，可配置範圍為10s~3600s。說明關閉該功能後，回源長串連將不支援WebSocket協議。

修改網域名稱DNS解析設定。
重要
- 在修改網域名稱DNS解析設定前，請確認已通過本地驗證保證式轉送配置生效。如果在WAF的網站轉寄配置未生效時修改網域名稱DNS，可能導致業務中斷。更多資訊，請參見本地驗證。
- 僅接入網域名稱時，需要修改DNS解析設定。接入IP時，可跳過該步驟。
1. 修改網域名稱對應的DNS A記錄，將網域名稱解析到防護節點群組IP。
2. 如果您在步驟 5開啟公用雲容災，在切換到容災鏈路前，修改網域名稱對應的DNS CNAME記錄，並將網域名稱解析到公用雲CNAME。
  說明
  如果您使用的是阿里雲的Alibaba Cloud DNS，可登入Alibaba Cloud DNS控制台，修改網域名稱DNS的A記錄和CNAME記錄。具體操作，請參見修改網域名稱DNS解析設定。
完成接入後，WAF會自動產生一個防護對象，並為該防護對象預設開啟Web核心防護規則。您可以在防護配置 > 防護對象頁面，查看自動添加的防護對象，並為其配置防護規則。具體操作，請參見防護配置概述。

SDK整合模式

混合雲SDK整合模式，通過在您的統一接入網關上部署SDK，將網關的業務流量複製一份給旁路WAF叢集做檢測，實現業務轉寄與檢測分離。如果您希望通過SDK整合模式接入WAF，請提交工單，聯絡產品技術專家進行諮詢。

SDK和混合雲WAF叢集部署完成後，您可以執行如下操作：

查看SDK所在的轉寄節點IP與混合雲叢集和防護節點群組的映射關係、SDK所在轉寄節點狀態
1. 登入Web Application Firewall3.0控制台
2. 在左側導覽列，單擊接入管理。
3. 混合雲接入頁簽，單擊SDK整合。
  您可以在接入列表，查看轉寄節點IP的映射關係和狀態。
添加防護對象
完成接入後，WAF不會自動將接入的網站網域名稱添加為防護對象，您需要在WAF控制台的防護對象頁面，將通過SDK整合模式接入WAF的網域名稱或URL添加為防護對象。具體操作，請參見配置防護對象和防護對象組。
為防護對象配置防護規則
完成防護對象添加後，您需要為防護對象配置防護規則。具體操作，請參見防護配置概述。