GA支持开启WAF防护,抵御SQL注入、XSS等Web应用层攻击。WAF采用旁挂模式集成,安全检测与流量转发分离,对网络延迟影响小。什么是Web应用防护?
工作原理
GA集成WAF采用旁挂模式,开启后会在GA加速区域集成服务化WAF,WAF不作为独立的网络节点参与流量转发,仅负责流量提取、检测与防护,提升客户应用安全防护能力。
请求接收:客户端请求到达GA加速节点。
旁路检测:GA通过内部通道将流量送至 WAF 3.0 实例做安全检查。
安全分析:WAF根据配置的防护规则对请求内容进行实时分析,将检测结果(放行或拦截)返回给GA。
决策执行:GA根据检测结果执行最终动作。
放行:将请求正常转发至源站。
拦截:阻断请求并向客户端返回拦截页面,请求不会到达源站。
适用范围
GA集成服务化WAF功能陆续灰度发布中,如需使用,请联系商务经理申请。
仅按量付费GA实例支持开启WAF防护。
GA集成服务化WAF采用 WAF 3.0 服务化接入架构。如果账号下已有 WAF 2.0 实例,需先释放 WAF 2.0 实例或迁移至 WAF 3.0。
开启WAF防护
开启后,GA实例将自动接入 WAF 3.0 服务。未开通WAF时将自动开通按量付费实例。
支持的加速区域:
当实例加速IP类型为弹性公网IP时,支持分别为中国内地和非中国内地加速区域开启WAF防护。
当实例加速IP类型为任播弹性公网IP时,仅支持为非中国内地加速区域开启WAF防护。其中,英国(伦敦)地域暂不支持开启WAF防护。
开启WAF防护后,实例需满足以下条件,WAF防护方可生效:
已配置HTTP或HTTPS监听。
已配置支持WAF防护的加速区域。
创建GA实例时开启WAF防护
在标准型按量付费实例创建页的实例基础配置步骤,展开Web应用安全防护区域,选择对应防护区域下的开启。
完成实例创建。可参考创建标准型按量付费实例。
为已创建的GA实例开启WAF防护
登录标准型实例控制台,找到目标按量付费实例。
将鼠标悬停在目标实例 ID 后的
图标,在Web应用安全防护区域,单击配置。在配置Web应用安全服务对话框中,选择对应防护区域下的开启,单击确定。
了解防护记录
开启WAF防护后,WAF将自动创建防护对象,并默认启用Web核心防护规则。用户可按实际需求配置更多安全防护规则。
防护对象命名规则
加速区域 | 防护对象名称后缀 |
中国内地 |
|
非中国内地 |
|
在标准型实例控制台,找到目标实例。
将鼠标悬停在目标实例 ID 后的
图标,在Web应用安全防护区域,单击对应防护区域的查看WAF安全报表。
关闭WAF防护
关闭WAF防护后,GA实例的业务流量将不再受WAF防护,安全报表不再包含相关业务流量的防护数据,WAF侧不再产生请求处理费。
WAF实例本身及防护规则仍会产生功能费。如需完全停止WAF计费,请关闭WAF。
在标准型实例控制台,找到目标实例。
鼠标悬停在目标实例 ID 后的
图标,在Web应用安全防护区域,单击配置。在配置Web应用安全服务对话框中,选择对应防护区域下的关闭,单击确定。
计费说明
常见问题
开启WAF防护后,是否会增加网络延迟?
GA实例与WAF实例之间通过内部专用通道传输数据,且为同地域传输,时延主要受WAF安全检测耗时影响,一般增加1~2ms。
为什么有些加速区域不支持开启WAF防护?
支持的地域:
区域 | 地域 |
中国 | 华北1(青岛)、华北2(北京)、华北6(乌兰察布)、华南1(深圳)、华南3(广州)、华东1(杭州)、华东2(上海)、西南1(成都) |
亚太 | 中国香港、新加坡、马来西亚(吉隆坡)、日本(东京)、印度尼西亚(雅加达)、菲律宾(马尼拉)、泰国(曼谷) |
欧洲与美洲 | 美国(硅谷)、美国(弗吉尼亚)、德国(法兰克福) |