ALB WAF增强版采用WAF 3.0服务化接入,相比之前的WAF 2.0透明化接入,服务化接入方式中WAF不参与流量转发,业务监听与转发由ALB负责,实现转发与防护的完全分离,避免了WAF转发额外带来的各种兼容性和稳定性问题。本文主要介绍ALB WAF增强版的优势及如何开通和管理ALB WAF增强版。WAF 3.0服务化接入

ALB WAF增强版优势

  • 一站式安全防护

    ALB WAF增强版中WAF 3.0与ALB深度集成,WAF 3.0为ALB提供一站式安全防护,可以有效识别Web业务流量的恶意特征。ALB WAF增强版实例可避免网站服务器被恶意入侵导致的性能异常等问题,从而保障业务安全和数据安全。

  • 无转发兼容性问题

    ALB WAF增强版采用WAF 3.0服务化接入的方式,WAF只负责安全防护,不参与请求转发。由ALB负责业务监听与请求转发,实现请求转发与防护的完全分离,避免WAF引入一层转发而额外带来的各种兼容性和稳定性问题。

  • 支持更多的功能特性

    与标准版相比,ALB WAF增强版增加了WAF应用安全防护功能。关于ALB功能特性差异,请参见功能特性

  • 对实例网络类型和协议版本无限制

    ALB WAF增强版对网络类型和协议版本无限制。即公网和私网ALB实例均支持WAF增强版,IPv4和双栈协议版本的ALB实例也均支持WAF增强版。

  • 拥有足够的资源配额

    ALB WAF增强版拥有的资源配额与标准版相同,对比基础版有足够的资源配额。关于资源配额差异,请参见使用限制

  • 可一键开启或关闭WAF防护

    ALB WAF增强版配置简单,可基于ALB实例一键开启或关闭WAF防护。支持在ALB控制台新购ALB WAF增强版实例、升级存量的基础版和标准版实例为WAF增强版。

ALB WAF增强版的使用限制

  • 购买ALB WAF增强版实例前,请先完成实名认证。
  • 目前支持售卖WAF增强版ALB实例的地域:
    区域地域
    中国西南1(成都)、华北1(青岛)、华北2(北京)、华南3(广州)、华东1(杭州)、华北6(乌兰察布)、华东2(上海)、华南1(深圳)、华北3(张家口)、中国香港
    亚太菲律宾(马尼拉)、印度尼西亚(雅加达)、日本(东京)、马来西亚(吉隆坡)、澳大利亚(悉尼)、新加坡、印度(孟买)
    欧洲与美洲德国(法兰克福)、美国(硅谷)、美国(弗吉尼亚)
  • 仅支持状态为运行中ALB基础版、标准版实例升级为WAF增强版。
  • 请确保您的阿里云账号没有开通WAF或者已经开通WAF 3.0。
    • 若您的账号未开通任何版本的WAF实例,您购买ALB WAF增强版后,开通的为按量付费WAF 3.0实例。
    • 若您的阿里云账号下已有WAF 2.0实例,请先释放WAF 2.0实例或者迁移至WAF 3.0(自动迁移暂不支持,如需迁移请加入钉群34657699咨询)。关于释放WAF 2.0实例的操作,请参见关闭WAF

计费说明

创建或升级为ALB WAF增强版实例后,会产生WAF 3.0的防护费用。ALB WAF增强版实例的计费组成及相关说明如下。

ALB WAF增强版计费组成
收费项计费公式相关文档
实例费实例费=实例单价(美元/小时)×计费时长(小时)实例费
LCU费每小时LCU费=max{新建连接数LCU值,并发连接数LCU值,处理数据量LCU值,规则评估数LCU值}×LCU单价性能容量单位LCU费
公网网络费
私网ALB不收取公网网络费用,只有当您购买公网ALB才会收取公网网络费用。公网ALB通过弹性公网IP(Elastic IP Address,简称EIP)或任播弹性公网IP( Anycast Elastic IP Address,简称Anycast EIP)提供公网能力。
  • 新创建的公网ALB默认绑定EIP,ALB将会收取EIP的实例费、带宽或流量费用。更多信息,请参见按量付费
  • ALB实例绑定Anycast EIP后,ALB将会收取Anycast EIP的配置费、公网费和流量传输费。更多信息,请参见计费说明
WAF 3.0费用WAF 3.0支持包年包月和按量付费两种计费方式。更多信息,请参见WAF 3.0包年包月计费说明WAF 3.0按量付费计费说明。若您的当前账号没有WAF实例,您购买ALB WAF增强版后,开通的是按量付费WAF 3.0实例。

为ALB实例开启WAF

新购一个WAF增强版ALB实例

  1. 登录应用型负载均衡ALB控制台
  2. 在顶部菜单栏,选择实例所属的地域。
  3. 实例页面,单击创建应用型负载均衡
  4. 应用型负载均衡(按量付费)购买页面,完成参数的配置,然后单击立即购买并根据提示完成支付。
    本文仅列出强相关项,其余参数的配置请参见创建应用型负载均衡

    功能版本(实例费):选择WAF增强版

为已创建的ALB实例开启WAF防护

您可以将已创建的基础版或标准版ALB实例升级为WAF增强版。

  1. 登录应用型负载均衡ALB控制台
  2. 在顶部菜单栏,选择实例所属的地域。
  3. 实例页面,找到目标实例,选择以下任意一种方式开启WAF防护。
    • 方式一:将鼠标悬停在目标实例名称后的未开启图标,然后在气泡框中单击Web应用安全防护区域的开启防护
    • 方式二:在操作列选择选择 > 变配功能版本
    • 方式三:单击目标实例ID,在实例详情页签,找到基本信息区域中的WAF安全防护,然后单击开启防护
    • 方式四:单击目标实例ID,在实例详情页签,单击安全防护页签。然后单击开启防护
  4. 应用型负载均衡(按量付费) | 变配页面,选择功能版本(实例费)WAF增强版,单击立即购买并完成支付。

管理WAF

在ALB侧管理WAF防护

  1. 登录应用型负载均衡ALB控制台
  2. 在顶部菜单栏,选择实例所属的地域。
  3. 管理WAF防护。
    操作步骤
    查看实例是否开启WAF防护选择以下任意一种方式查看实例是否开启WAF防护。

    方式一:在实例页面,找到目标实例,将鼠标悬停在实例名称后的未开启图标,在气泡框的Web应用安全防护区域,查看防护状态。

    方式二
    1. 实例页面,找到目标实例,单击实例ID。
    2. 实例详情页签,在基本信息区域查看WAF安全防护的状态。
    方式三
    1. 实例页面,找到目标实例,单击实例ID。
    2. 实例详情页签,单击安全防护页签,在Web应用安全防护区域查看防护状态。
    查看WAF安全报表查看WAF安全报表,请确保您的ALB实例已开启WAF防护。

    方式一:在实例页面,找到目标实例,将鼠标悬停在实例名称后的未开启图标,在气泡框的Web应用安全防护区域,单击查看WAF安全报表进入WAF 3.0控制台的安全报表页面查看。

    方式二
    1. 实例页面,找到目标实例,单击实例ID。
    2. 实例详情页签,在基本信息区域单击安全防护右侧的查看WAF安全报表进入WAF 3.0控制台的安全报表页面查看。
    方式三
    1. 实例页面,找到目标实例,单击实例ID。
    2. 实例详情页签,单击安全防护页签,在Web应用安全防护区域查看防护状态。

    更多信息,请参见安全报表

    关闭WAF防护关闭WAF防护后,ALB实例上的业务流量将不再受WAF防护,安全报表中也不再包含相关业务流量的防护数据。
    重要 ALB实例上的业务流量不受WAF防护后,WAF侧不会产生请求处理费。但您已经配置的防护规则仍会产生对应的功能费。建议您在取消业务接入前,先删除已配置的防护规则,避免产生额外计费。更多信息,请参见计费项防护模块概览
    方式一
    1. 实例页面,找到目标实例,将鼠标悬停在目标实例名称后的未开启图标,在气泡框的Web应用安全防护区域,单击关闭WAF防护
    2. 应用型负载均衡(按量付费)| 变配页面,选择功能版本(实例费)标准版,单击立即购买并完成支付。
    方式二
    1. 实例页面,找到目标实例,在操作列选择选择 > 变配功能版本
    2. 应用型负载均衡(按量付费)| 变配页面,选择功能版本(实例费)标准版,单击立即购买并完成支付。
    方式三
    1. 实例页面,找到目标实例,单击实例ID。
    2. 实例详情页签,在基本信息区域单击WAF安全防护右侧的关闭WAF防护
    3. 应用型负载均衡(按量付费)| 变配页面,选择功能版本(实例费)标准版,单击立即购买并完成支付。
    方式四
    1. 实例页面,找到目标实例,单击实例ID。
    2. 实例详情页签,单击安全防护页签,在Web应用安全防护区域,单击关闭WAF防护
    3. 应用型负载均衡(按量付费)| 变配页面,选择功能版本(实例费)标准版,单击立即购买并完成支付。

在WAF侧管理WAF防护

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。
  2. 在左侧导航栏,单击接入管理
  3. 管理WAF防护。
    • 查看已接入的ALB实例

      选择云产品接入页签,从左侧云产品类型列表中选择ALB

    • 设置防护对象和防护规则
      单击目标ALB实例ID,前往防护对象页面,查看ALB实例的防护对象及其防护规则。更多信息,请参见防护配置
      说明 通过云产品接入自动添加的防护对象,资产类型为对应云产品的简称(例如ALB)且域名为空。
    • 取消接入
      取消接入后,ALB实例上的业务流量将不再受WAF防护,安全报表中也不再包含相关业务流量的防护数据。
      重要 ALB实例上的业务流量不受WAF防护后,WAF侧不会产生请求处理费。但您已经配置的防护规则仍会产生对应的功能费。建议您在取消业务接入前,先删除已配置的防护规则,避免产生额外计费。更多信息,请参见计费项防护模块概览
      1. 选择云产品接入页签,找到目标实例,在操作列单击取消接入
      2. 在弹出的对话框中,查看提示信息并单击取消接入
      3. 取消接入面板,选择功能版本(实例费)标准版,单击立即购买并完成支付。

常见问题

  1. WAF 2.0透明化接入和WAF 3.0服务化接入的区别?区别
    简单总结两者的区别:
    • WAF 2.0透明化接入:客户端请求需先经过WAF检测后,再去往ALB或CLB。WAF 2.0透明化接入时请求需经过两道网关,因此WAF侧与负载均衡侧都需维护超时时间和证书等配置。
    • WAF 3.0服务化接入:WAF旁路接入,客户端请求直接前往ALB,请求在转发至后端服务器之前,ALB会提取并发送请求内容至WAF侧进行检测。WAF 3.0服务化接入时请求只经过一道网关,省去了网关间证书和配置同步的步骤,不会出现证书和配置不同步等问题。

    更多信息,请参见WAF 3.0与WAF 2.0对比

  2. ALB接入WAF的使用说明?

    ALB支持WAF 3.0服务化接入,即开通ALB WAF增强版。ALB接入WAF防护时,请注意:

    • 阿里云账号没有WAF 2.0实例或未开启WAF:公网和私网ALB实例均支持通过服务化接入的方式开启WAF 3.0防护,即开通WAF增强版。目前支持售卖WAF增强版ALB实例的地域,请参见ALB WAF增强版的使用限制
    • 阿里云账号已有WAF 2.0实例:公网基础版ALB实例和公网标准版ALB实例支持通过透明化接入的方式开启WAF 2.0防护,私网ALB实例不支持开启WAF 2.0防护。

      仅华东1(杭州)、华东2(上海)、华南1(深圳)、西南1(成都)、华北2(北京)、华北3(张家口)地域的ALB实例支持WAF 2.0透明化接入。

      说明 如果您需要为ALB接入WAF 3.0防护,请先释放WAF 2.0实例或者迁移至WAF 3.0(自动迁移暂不支持,如需迁移请加入钉群34657699咨询)。关于释放WAF 2.0实例的操作,请参见关闭WAF
  3. CLB和ALB对透明化接入WAF 2.0和服务化接入WAF 3.0的支持情况?
    产品透明化接入WAF 2.0服务化接入WAF 3.0
    CLB支持
    关于CLB如何透明化接入WAF 2.0的相关指导,请参见:
    		不支持
    ALB
    • 阿里云账号已有WAF 2.0实例,ALB支持透明化接入WAF 2.0。具体操作,请参见ALB实例端口引流
    • 阿里云账号没有WAF 2.0实例或未开启WAF时,ALB仅支持服务化接入WAF 3.0,即购买ALB WAF增强版。
    		支持

    支持的地域及相关操作,请参见开通和管理ALB WAF增强版

  4. WAF 2.0透明化接入出现超时时间和证书不同步等配置问题的原因?

    WAF 2.0透明化接入时,客户端请求需先经过WAF检测后,再去往ALB或CLB,客户端请求需经过两道网关,导致WAF侧和负载均衡侧需要同步多个配置,尤其超时时间和证书变更操作容易引发配置同步的延时问题。

    在使用WAF 2.0透明化接入时,如遇证书更新不及时,或调整超时时间不生效等问题,请加入钉群(钉群号:21715946),联系产品技术专家进行咨询。

相关文档