全部產品
Search

搜尋本產品

    Web Application Firewall:接入概述

    文件中心

    Web Application Firewall:接入概述

    更新時間:Jan 20, 2026

    本文介紹了 WAF 3.0 支援的三種接入方式:雲產品接入、CNAME 接入和混合雲接入,並分別說明了各自的接入原理及接入方法。您可以根據 Web 業務的部署特性,選擇適合的接入方式。

    接入方式對比

    對比項

    雲產品接入

    CNAME接入

    混合雲接入

    反向 Proxy

    SDK整合

    適用情境

    • 快速接入本帳號阿里雲產品執行個體。

    • 支援網域名稱或僅有公網IP情境。

    接入網域名稱,適用情境廣泛,支援跨帳號、跨雲情境。

    • 希望通過本地部署WAF進行防護。

    • 希望防護內網業務。

    • 業務流量規模適中。

    • 希望通過本地部署WAF進行防護。

    • 已存在統一接入層網關(Nginx、APISIX等)。

    • 流量規模大,對延時和穩定性要求極高。

    接入對象

    阿里雲雲產品執行個體

    網域名稱

    網域名稱或IP

    網域名稱或IP

    接入限制

    • 未配置多帳號統一管理時僅限接入本帳號的雲產品執行個體。

    • 部分地區的某些雲產品執行個體不支援接入。

    • 不支援接入私網類型與IPv6類型的ECS、CLB、NLB執行個體。

    • 僅支援接入應用型負載平衡ALB、傳統型負載平衡CLB、Elastic Compute Service、網路型負載平衡NLB、Function ComputeFC、微服務引擎MSE執行個體。

    • 需要驗證網域名稱歸屬權、修改DNS解析、允許存取回源IP等。

    • 需具有網域名稱DNS解析操作許可權。

    • 需要開通訂用帳戶企業版、旗艦版執行個體,併購買多雲/混合雲WAF擴充節點

    • 需具有網域名稱DNS解析操作許可權。

    • 需要開通訂用帳戶企業版、旗艦版執行個體,併購買多雲/混合雲WAF擴充節點

    • 需要存在統一接入網關,且有自主營運能力。

    不同的接入方式下,支援的安全防護功能也存在一定差異,具體如下表所示:

    功能

    雲產品接入(NLB、CLB、ECS)

    雲產品接入(ALB、MSE、FC

    CNAME接入

    混合雲反向 Proxy接入

    混合雲SDK整合接入

    Web核心防護規則

    支援

    支援

    支援

    支援

    支援

    白名單

    支援

    支援

    支援

    支援

    支援

    IP黑名單

    支援

    支援

    支援

    支援

    支援

    自訂規則

    支援

    支援

    支援

    支援

    支援

    CC防護

    支援

    支援

    支援

    支援

    支援

    掃描防護

    支援

    支援

    支援

    支援

    支援

    地區封鎖

    支援

    支援

    支援

    支援

    支援

    網頁防篡改

    支援

    僅ALB支援

    支援

    不支援

    不支援

    資訊泄露防護

    支援

    不支援

    支援

    支援

    不支援

    自訂響應

    支援

    支援

    支援

    支援

    支援

    Bot管理-Web SDK自動整合

    支援

    不支援

    支援

    支援

    支援

    重保情境防護

    支援

    不支援

    支援

    不支援

    不支援

    API安全

    支援

    僅ALB支援

    支援

    支援

    支援

    洪峰限流

    支援

    不支援

    支援

    不支援

    支援

    如何接入

    接入原理

    雲產品接入

    雲產品接入ALB、FC、MSE執行個體時,通過 SDK 整合的方式。SDK 內嵌於雲產品,負責流量提取、檢測與防護。WAF 不參與流量轉寄,避免引入額外轉寄層導致的相容性與穩定性問題。

    雲產品接入ECS、CLB、NLB執行個體時,採用透明代理的方式,通過配置引流連接埠,雲產品網關自動改變路由,將Web業務引流到 WAF。WAF 攔截攻擊流量,轉寄正常請求至來源站點,同時參與流量的轉寄和檢測防護。

    image

    CNAME接入

    採用反向 Proxy的方式,通過添加網域名稱並將網域名稱的DNS解析指向WAF的CNAME地址,使網域名稱的Web業務引流到WAF。WAF 攔截攻擊流量,轉寄正常請求至來源站點,同時參與流量的轉寄和檢測防護。

    image

    混合雲接入

    混合雲接入方式下,提供反向 ProxySDK整合兩種模式:

    • 反向 Proxy模式:將網站網域名稱或IP接入WAF,並通過DNS解析指向WAF防護叢集,所有流量經叢集進行安全檢測。

    • SDK整合模式:在統一接入網關部署SDK外掛程式,複製業務流量至WAF防護叢集,WAF僅檢測不轉寄,實現檢測與轉寄分離。

    image

    常見問題

    其他阿里雲帳號或非阿里雲的雲資源能接入WAF嗎?

    如果您擁有網站網域名稱並且能夠操作該網域名稱的DNS解析,即可通過CNAME接入方式進行接入,CNAME接入方式不限制來源站點的位置。

    沒有網域名稱,只有公網IP能接入WAF嗎?

    可以使用雲產品接入方式,雲產品接入無需擁有網域名稱。

    IPv6網站能接入WAF嗎?

    雲產品接入ECS、CLB、NLB執行個體時不支援IPv6網站,需要使用CNAME接入方式,您需要開通訂用帳戶企業版/旗艦版或隨用隨付版WAF後,在更多配置开启IPV6即可,具體操作請參見通過CNAME接入為網站開啟WAF防護

    非中國內地WAF不支援接入IPv6網站。

    同一個網域名稱能否同時使用雲產品接入和CNAME接入?

    不推薦。每個網域名稱只能使用雲產品接入或CNAME接入兩種模式之一,重複接入會導致轉寄衝突防護失效。如果您已通過CNAME接入開啟WAF防護的網域名稱,需要切換為雲產品接入,您必須先將DNS解析切換回來源站點,待DNS解析收斂後,刪除該網域名稱的CNAME接入配置然後在雲產品接入模式下重新接入該網域名稱。

    為什麼接入配置頁面找不到需要接入的CLB執行個體、NLB執行個體或ECS執行個體?

    可能原因

    相關操作

    要接入的CLB執行個體、NLB執行個體或ECS執行個體不滿足限制條件

    參考執行個體接入限制條件,排查執行個體。具體限制條件,請參見CLB執行個體接入限制NLB執行個體接入限制ECS執行個體接入限制

    要接入的CLB執行個體未添加對應監聽

    WAF未同步CLB、NLB或ECS執行個體

    同步資產的具體步驟請參見手動同步資產

    如何查看資產接入情況與手動同步資產?

    您可以通過以下步驟查看您的資產接入情況。

    1. 登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地非中国内地

    2. 在左側導覽列,單擊接入管理

    3. 在頁面頂部,可查看所有已接入網域名稱資產數與已接入雲產品資產數,也包括您已擁有的各雲產品執行個體總數。如果您對雲產品執行個體進行過新增、變更,可以點擊右上方同步资产,立即將變更同步至WAF。image

    同一個網域名稱解析指向了多個雲產品執行個體,該如何接入?

    使用雲產品接入:需要同時接入這些雲產品執行個體(例如CLB執行個體的服務連接埠),實現WAF對這幾個執行個體同時引流。

    使用CNAME接入:CNAME接入此網域名稱並配置來源站點為多個雲產品執行個體的IP/CNAME地址。

    多個網域名稱解析指向了同一個雲產品執行個體,該如何接入?

    使用雲產品接入:您接入此雲產品執行個體後,執行個體上的所有網域名稱都將受到WAF預設防護策略的防護。但如果您希望單獨為這些網域名稱配置不同的防護規則,則需要手動將網域名稱添加為防護對象,詳細資料,請參見手動添加防護對象

    使用CNAME接入:逐一接入多個網域名稱。