Web应用防火墙(WAF)支持对部署在混合云的域名进行防护。本文介绍如何将混合云环境下测试部署的域名接入WAF防护。

前提条件

  • 已购买WAF实例,且当前实例支持接入的域名数量未超过限制。
    说明 支持接入的域名数量由WAF的实例规格和扩展域名包数量决定。更多信息,请参见扩展域名包
  • 如果您购买的是中国内地的WAF实例,您必须先对域名完成ICP备案,否则您的网站将无法接入WAF防护。接入WAF操作时,可能会报错并提示您完成备案。
  • 已完成了本地WAF防护节点集群的部署,且本地WAF防护节点能与公网互通。更多信息,请参见部署混合云WAF防护集群

背景信息

Web应用防火墙混合云解决方案,支持在公共云、私有云、线下IDC或者机房构成的多云、跨云和混合云环境中提供统一的Web应用防护管理,打造共享和独享相结合、本地和云端相互融合的弹性、高效的一体化Web应用安全防御体系。接入WAF后,访问受防护域名的流量支持公网和私网回源(即源站服务器部署在公网或私网中)。

混合云网站接入

  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地海外地区)。
  3. 在左侧导航栏,选择资产中心 > 网站接入
  4. 域名列表页签下,单击网站接入
  5. 域名一键接入页面,单击手动添加其他网站
  6. 添加域名页面,输入要添加防护的域名、选择接入模式Cname接入
    域名需要满足以下要求:
    • 支持使用精确域名(例如www.aliyun.com)和泛域名(例如*.aliyun.com)格式。
      • 使用泛域名后,WAF将自动匹配该泛域名对应的所有子域名。
      • 如果同时存在泛域名和精确域名配置,则精确域名的转发规则和防护策略优先生效。
    • 暂不支持添加.edu域名。如果您需要添加.edu域名,请提交工单联系售后技术支持。
  7. 填写需要WAF防护的网站的信息。
    填写下表描述的网站信息并单击下一步填写网站信息
    参数 说明
    防护资源 选择需要WAF防护的资源类型,此处您需要选择混合云静态回源
    协议类型 选择网站使用的网络协议类型。可选值:
    • HTTP
    • HTTPS:如果网站支持HTTPS加密认证,请选择HTTPS协议,并在添加域名后上传域名的证书和私钥文件。更多信息,请参见上传HTTPS证书
      选中HTTPS协议后,将显示高级设置折叠菜单。HTTPS
      高级设置支持以下功能:
      • 开启HTTPS的强制跳转:开启后,网站的HTTP请求都强制转换为HTTPS,且默认跳转到443端口。开启HTTPS强制跳转前必须先取消HTTP协议。

        如果您需要强制客户端使用HTTPS请求访问网站,提高安全性,则可以开启该功能。

        注意 请确保网站支持HTTPS业务再开启该功能。开启该功能后,部分浏览器将被强制设置为使用HTTPS请求访问网站。
      • 开启HTTP回源:开启后,WAF使用HTTP协议发送回源请求,默认回源端口是80。

        开启HTTP回源可以在无需改动源站服务器的前提下,通过WAF实现HTTPS访问,帮助降低网站的负载损耗。如果您的网站不支持HTTPS回源,请务必开启该功能。

    • HTTP2:仅对企业版和旗舰版WAF实例开放,且必须先选中HTTPS协议才支持使用。
    节点设置 选择防护节点名称

    如果您的某个网站部署在了多个防护节点中,您可以单击节点设置右侧的增加防护节点,将多个防护节点同时接入WAF的防护。

    服务器地址 设置域名所在源站服务器的地址,支持IP地址格式和服务器域名格式。完成接入后,WAF将过滤后的访问请求转发到此处设置的源站服务器地址。
    • IP地址格式:填写源站服务器的公网IP地址或私网IP地址。 支持阿里云ECS服务器、第三方厂商的云服务器和IDC机房服务器。

      多个IP地址间使用英文逗号(,)分隔。最多支持添加20个源站IP。不支持换行。

      说明
      • 如果设置了多个IP地址,WAF将在这些地址间自动进行健康检查和负载均衡。
      • 如需考虑混合云WAF容灾的情况,需要在WAF前面的负载均衡中配置混合云WAF的回源地址段。
    • 服务器域名格式:填写服务器回源域名,例如对象存储OSS的CNAME等。服务器回源域名不应和要防护的网站域名相同。
      说明 如果您的源站服务器地址为OSS域名,则完成网站接入后,您必须前往OSS控制台中为该OSS域名绑定自定义域名,具体操作,请参见绑定自定义域名
    服务器端口 添加网站使用的转发服务端口。
    说明 目前仅支持由阿里云技术支持团队配置。

    端口必须在混合云集群已开启的端口范围内。混合云集群默认开启80、8080、443、8443端口,您在创建混合云集群时,可以自定义设置要开启的端口范围。相关操作,请参见混合云集群基本信息配置

    WAF通过此处添加的端口为网站提供流量的接入与转发服务,网站域名的业务流量只通过已添加的服务端口进行转发。对于未添加的端口,WAF不会转发任何该端口的访问请求流量到源站服务器,因此这些端口的启用不会对源站服务器造成任何安全威胁。

    注意 网站信息中设置的协议类型服务器端口必须是源站服务器提供Web业务的协议和端口,不支持端口转换。例如,源站服务器提供Web服务的是80端口HTTP协议,域名配置也必须是一致的,设置其他端口则无法正常转发。
    默认端口:
    • 协议类型选择HTTP协议后,服务器端口默认设置为HTTP 80
    • 协议类型选择HTTPS协议后,服务器端口默认设置为HTTPS 443
      说明 HTTP2.0协议的端口与HTTPS协议的端口保持一致。
    自定义端口:单击自定义,并根据协议类型(HTTPHTTPS)自定义对应的端口,多个端口之间使用英文逗号(,)分隔。自定义端口

    单击查看可选范围可以查询所有支持使用的端口。

    负载均衡算法 设置了多个源站IP地址时,选择多源站IP间的负载均衡算法。可选值:
    • IP hash(默认):将某个IP的请求定向到同一个源站服务器。
      说明 使用IP hash时,如果源站服务器的IP地址不够分散,可能会出现负载不均的情况。
    • 轮询:将所有请求轮流分配给源站服务器。
    • Least time:通过智能DNS解析能力和升级后的Least-time回源算法,保证业务流量从接入防护节点到转发回源站服务器整个链路的时延最短。
      说明 Least time仅在开通智能负载均衡后支持使用。更多信息,请参见智能负载均衡接入能力

    设置生效后,WAF将根据设置的负载均衡算法向多个源站IP分发回源请求,实现负载均衡。

    WAF前是否有七层代理(高防/CDN等) 如果在WAF前需要配置其他七层代理服务进行业务转发,请务必选择,否则WAF将无法获取访问网站的客户端真实IP。更多信息,请参见以下文档:

    如果在WAF前不需要配置其他七层代理服务进行业务转发,请选择

    流量标记 填写一个空闲的Header字段名称和自定义Header字段值,用来标识经过WAF转发到源站的Web请求。

    Web请求经过WAF后,WAF在请求中添加此处指定的字段和字段值,标识经转发的流量,方便您的后端服务统计信息,实现精准的源站保护(访问控制)、防护效果分析等。

    注意 如果Web请求中本身包含此处定义的头部字段,WAF将用此处的设定值覆盖原Web请求中对应字段的内容。
    资源组 从资源组列表中选择域名所属的资源组。
    说明 您可以使用资源管理服务创建资源组,根据业务部门、项目等维度对云资源进行分组管理。更多信息,请参见创建资源组
  8. 将本机host绑定到本地WAF前的负载均衡服务器上,并测试流量是否正常通过WAF。
    说明 目前,暂时仅支持由阿里云技术人员操作。
  9. 修改需要接入域名的DNS解析到本地负载均衡服务器。
  10. 单击完成,返回网站列表
    此时,您已成功将该域名接入混合云WAF的防护。