全部产品
Search
文档中心

Web 应用防火墙:接入管理概述

更新时间:Sep 23, 2024

如果要使用Web应用防火墙(Web Application Firewall,简称WAF)防护您的Web业务,您必须先将Web业务接入WAF。WAF 3.0支持云产品接入和CNAME接入两种接入方式,您可以根据Web业务的部署特征,选择合适的接入方式。本文通过实现原理、推荐场景、接入对象和接入方式的对比,介绍云产品接入和CNAME接入。

接入方式对比

类型

云产品接入

CNAME接入

SDK集成

反向代理接入

实现原理

  • 通过SDK模块化的方式将WAF集成在云产品的网关中,通过内嵌在网关中的SDK提取流量并进行检测和防护。

  • 该过程中,WAF不参与流量转发,避免因额外引入一层转发而带来各种兼容性和稳定性问题。

  • 通过添加引流端口到WAF的方式,使云产品网关自动改变路由,将Web业务引流到WAF。WAF会拦截攻击请求并将正常业务请求转发回源站服务器。

  • 该过程中,WAF作为反向代理集群,同时参与流量的转发和检测防护。

  • 通过添加域名,并将域名的DNS解析指向WAF的CNAME地址,使域名的Web业务引流到WAF。WAF会拦截攻击请求并将正常业务请求转发回源站服务器。

  • 该过程中,WAF作为反向代理集群,同时参与流量的转发和检测防护。

推荐场景

如果Web业务已启用阿里云应用型负载均衡(Application Load Balancer,简称ALB)、微服务引擎(Microservices Engine,简称MSE)、函数计算(Function Compute,简称FC),建议您选择该接入方式。

如果Web业务已启用阿里云传统型负载均衡(Classic Load Balancer,简称CLB)上、云服务器(Elastic Compute Service,简称ECS),建议您选择该接入方式。

如果Web业务不支持云产品接入场景,可选择CNAME接入方式。

接入对象

  • 部署在ALB或MSE上的实例,包含实例上的所有域名。

  • 部署在FC上的自定义域名。

部署在CLB或ECS上的实例,包含实例上的所有域名。

域名。

接入方式

在WAF控制台,将CLB或ECS实例的引流端口添加到WAF。具体操作,请参见将七层CLB(HTTP/HTTPS)实例接入WAF将四层CLB(TCP)实例接入WAF将ECS实例接入WAF

  1. 接入域名并完成监听配置、转发配置。具体操作,请参见操作步骤

  2. 修改域名的DNS解析记录。具体操作,请参见修改域名DNS解析设置

  3. 放行WAF回源IP。具体操作,请参见放行WAF回源IP段