Web Application Firewall：智能負載平衡

什麼是智能負載平衡

智能負載平衡為WAF執行個體配置至少三個不同地區的防護節點。通過多個監控節點Ping探測網路可達性，實現異地多節點自動容災。結合智能DNS解析能力和Least-time回源演算法，確保流量從接入防護節點到轉寄回來源站點伺服器的路徑最短、時延最低。

網域名稱通過CNAME接入方式接入WAF後，系統將分配一個獨立的虛擬IP（VIP）用於接收業務請求。該VIP不與其他租戶共用。阿里雲WAF執行個體提供高可用的防護服務，此VIP並非綁定於某一具體物理裝置，而是屬於阿里雲WAF叢集資源。在同一WAF執行個體下：

• 未開啟網域名稱獨享IP或智能負載平衡時，所有網域名稱共用一個VIP。

• 配置智能負載平衡後，所有網域名稱共用多個VIP。

為網域名稱開通智能負載平衡功能後：

• 中國內地WAF執行個體將在華北2（北京）、華東1（杭州）、華南1（深圳）地區各獲得一個防護節點實現容災。

• 非中國內地WAF執行個體將在主要的地理地區（例如，北美、歐洲、東南亞等）分配多個防護節點以實現容災。

業務價值

啟用智能負載平衡

僅支援在 CNAME接入 方式下為網域名稱啟用智能負載平衡，啟用步驟如下：

完成以上配置後，WAF在處理網域名稱業務請求時，將自動採用智能DNS解析能力和Least time回源演算法。

計費說明

智能負載平衡為計費功能，按 WAF 執行個體維度計費，與接入網域名稱數量無關。只要為任一網域名稱啟用該功能，即對整個執行個體生效併產生費用。具體計費標準請參見：隨用隨付計費說明與訂用帳戶計費說明。

WAF的VIP與WAF的回源IP段有什麼區別？

• WAF VIP

  • 是WAF的入口IP，是用戶端訪問網站時實際串連的目標地址。  

  • 所有來自用戶端的請求首先到達此 VIP，由 WAF 進行安全檢測和過濾。 

• WAF 回源 IP 段

  • 是 WAF 在完成安全檢測後，向來源站點伺服器發起回源請求時所使用的 IP 位址段。 

  • 從來源站點視角看，所有來自 WAF 的請求均源自這些回源 IP。 

  • 來源站點的安全性原則（如防火牆、安全性群組）必須允許存取 WAF 的回源 IP 段，否則將導致回源失敗。

如何查看WAF VIP的具體IP地址?

開啟智能負載平衡後，可以進入資產中心頁面。單擊WAF頁簽，查看系統為WAF分配的VIP地址。也可以在用戶端使用ping或nslookup命令對已接入WAF的網域名稱進行查詢。

ping example.com  #需替換為已接入WAF的網域名稱

是否能將DNS解析修改為WAF的VIP？

不能，通過CNAME方式接入WAF時，必須將DNS解析指向WAF提供的CNAME地址，而非指向WAF的VIP地址。這是因為VIP地址可能會發生變更，例如開啟或關閉獨享IP或智能負載平衡時，甚至極端情況下的WAF故障時，直接指向VIP可能導致服務中斷。使用CNAME可確保後端IP地址自動切換，保障商務持續性。

如何設定預設SSL或TLS策略，使VIP滿足合規要求？

為滿足合規情境下的HTTPS通訊要求，WAF支援為VIP自訂SSL認證及TLS策略。在對WAF的VIP執行合規掃描前，請按照以下步驟上傳符合合規要求的HTTPS認證，並啟用或禁用指定版本的TLS協議與加密套件。