全部产品
Search
文档中心

Web 应用防火墙:防护对象和防护对象组

更新时间:Jul 30, 2024

防护对象和防护对象组都是防护规则的生效单元。您可以将防护对象或防护对象组关联到防护模板,实现Web应用防火墙(Web Application Firewall,简称WAF)防护。本文介绍如何添加、管理防护对象和防护对象组。

背景信息

防护对象

防护对象是接入WAF防护的域名或云产品实例,是防护规则的最小生效单元。

防护对象可通过如下两种方式生成:

  • 自动添加:云产品接入的实例或CNAME接入的域名会自动被添加为防护对象。

  • 手动添加:如果您需要为云产品接入的ALB实例、CLB实例或ECS实例中的某一个或多个域名单独配置防护规则时,您可以手动将域名添加为防护对象。具体操作,请参见手动添加防护对象

不同接入方式自动添加的防护对象、手动添加防护对象的支持情况,以及防护对象规格限制说明,如下表所示。

接入方式

自动添加的防护对象

是否支持手动添加防护对象

规格限制

云产品接入(为ALB实例开启WAF防护

ALB实例

支持将实例中的域名手动添加为防护对象

  • 不同版本支持的防护对象数量不同:

    • 包年包月:

      • 基础版:最多支持300防护对象

      • 高级版:最多支持600防护对象

      • 企业版:最多支持2,500防护对象

      • 旗舰版:最多支持10,000防护对象

    • 按量付费版:最多支持10,000防护对象

    您可以登录Web应用防火墙3.0控制台,在防护对象页面,查看当前版本已添加的防护对象数量、还可以添加的防护对象数量。

  • 针对包年包月实例,WAF会为您预留版本内免费域名和额外扩展域名对应的防护对象规格。

    例如,您已开通包年包月高级版实例(版本内包含5个免费域名、且最多可添加600个防护对象),如果您额外购买2个域名扩展规格,WAF会为您预留7个(5+2)防护对象规格,您最多还可以添加593个(600-7)防护对象。

  • 如果您已用完所有防护对象规格,WAF将不再支持接入任何域名或云产品实例。同时,WAF也不再支持新购域名扩展规格。您可以通过删除防护对象、升级实例版本来增加可用防护对象规格。具体操作,请参见管理防护对象管理防护对象组升级与降配

云产品接入(为MSE实例开启WAF防护

MSE实例(包括实例下的路由)

不支持

云产品接入(为FC自定义域名开启WAF防护

域名

不支持

云产品接入(将七层CLB(HTTP/HTTPS)实例接入WAF将四层CLB(TCP)实例接入WAF将ECS实例接入WAF

CLB实例或ECS实例

支持将实例中的域名手动添加为防护对象

CNAME接入

域名

不支持

混合云接入反向代理模式

混合云接入SDK集成模式

不支持

支持将接入的域名手动添加为防护对象

防护对象组

防护对象组是防护对象的合集,也是防护规则的生效单元。您可以将多个防护对象加入到一个防护对象组,通过为防护对象组配置防护规则,实现为组内所有防护对象批量配置防护规则。

说明

一个防护对象只能归属于一个防护对象组。

前提条件

  • 已开通WAF 3.0服务。具体操作,请参见开通包年包月WAF 3.0开通按量付费WAF 3.0

  • 已在接入管理页面完成Web业务接入。具体操作,请参见接入管理概述

  • 如果您需要手动添加CLB实例、ECS实例中的域名,且域名托管在中国内地服务器上,需完成阿里云ICP备案。

    说明

    在阿里云ICP代备案管理系统提交ICP备案订单时,系统会根据您提交的基本信息自动识别本次提交订单的ICP备案类型,自动为您匹配对应备案类型需进行的ICP备案流程。

手动添加防护对象

如果您需要单独为如下域名配置防护规则,您需要手动将域名添加为防护对象:

  • 通过云产品接入WAF的ALB实例、CLB实例或ECS实例中的域名。

  • 通过混合云SDK集成模式接入WAF的域名。

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。

  2. 在左侧导航栏,选择防护配置 > 防护对象

  3. 防护对象页签,单击添加防护对象

  4. 在添加防护对象对话框,根据防护对象接入类型完成以下配置,单击确定

    云产品

    如果您需要将ALB实例、CLB实例或ECS实例中的域名添加为防护对象,选择防护对象接入类型云产品,并完成如下配置。

    配置项

    说明

    域名

    填写要防护的域名。支持填写精确域名(例如,www.aliyundoc.com)或通配符域名(例如,*.aliyundoc.com)。

    说明
    • 通配符域名不能匹配对应的主域名,例如,*.aliyundoc.com不能匹配aliyundoc.com

    • 通配符域名不能匹配不同级别的子域名,例如,*.aliyundoc.com不能匹配www.example.aliyundoc.com

    • 通配符域名能够匹配所有同级别的子域名,例如,*.aliyundoc.com能够匹配www.aliyundoc.comexample.aliyundoc.com等。

    • 如果防护对象中同时存在精确域名和能够匹配该精确域名的通配符域名,精确域名的防护规则优先生效。

    云产品

    选择域名服务器对应的云产品类型。可选项:

    • ALB:表示应用负载均衡ALB服务。

    • CLB4:表示四层传统型负载均衡CLB服务。

    • CLB7:表示七层传统型负载均衡CLB服务。

    • ECS:表示云服务器ECS服务。

    实例

    选择域名服务器对应的实例ID。仅云产品类型为ALB时,需配置该项。

    说明

    如果ALB实例不在列表中,请先完成云产品接入。具体操作,请参见为ALB实例开启WAF防护

    加入防护对象组

    根据需要,将防护对象加入到指定的防护对象组,方便为多个防护对象批量配置防护规则。

    防护对象加入对象组后,只支持通过防护对象组来配置防护规则,不再支持单独为防护对象配置防护规则。如果您希望单独为防护对象配置防护规则,可跳过该设置。

    说明

    如果要加入的防护对象组不存在,您可以跳过该设置,在创建防护对象组后,再将防护对象加入到防护对象组。关于创建防护对象组的具体操作,请参见创建防护对象组

    混合云SDK集成

    如果需要将通过混合云SDK集成模式接入WAF 3.0的域名添加为防护对象,选择防护对象接入类型混合云SDK集成,并完成如下配置。

    配置项

    说明

    防护对象名称

    填写要添加的防护对象名称。

    域名/IP

    填写要防护的域名。支持填写精确域名(例如,www.aliyundoc.com)或通配符域名(例如,*.aliyundoc.com)。

    说明
    • 通配符域名不能匹配对应的主域名,例如,*.aliyundoc.com不能匹配aliyundoc.com

    • 通配符域名不能匹配不同级别的子域名,例如,*.aliyundoc.com不能匹配www.example.aliyundoc.com

    • 通配符域名能够匹配所有同级别的子域名,例如,*.aliyundoc.com能够匹配www.aliyundoc.comexample.aliyundoc.com等。

    • 如果防护对象中同时存在精确域名和能够匹配该精确域名的通配符域名,精确域名的防护规则优先生效。

    URL

    填写要防护的URL路径。

    加入防护对象组

    根据需要,将防护对象加入到指定的防护对象组,方便为多个防护对象批量配置防护规则。

    防护对象加入对象组后,只支持通过防护对象组来配置防护规则,不再支持单独为防护对象配置防护规则。如果您希望单独为防护对象配置防护规则,可跳过该设置。

    说明

    如果要加入的防护对象组不存在,您可以跳过该设置,在创建防护对象组后,再将防护对象加入到防护对象组。关于创建防护对象组的具体操作,请参见创建防护对象组

    成功添加防护对象后,您可以防护对象列表,查看并管理防护对象。具体操作,请参见管理防护对象

创建防护对象组

您可以创建防护对象组,并关联防护对象,批量为防护对象配置防护规则。

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。

  2. 在左侧导航栏,选择防护配置 > 防护对象

  3. 防护对象组页签,单击新建对象组

  4. 新建防护对象组对话框,填写防护对象组名称、选择关联防护对象、添加备注信息后,单击确定

    说明
    • 关联防护对象中的待选择对象列表只包含当前未加入任何防护对象组,并且只应用了默认防护规则模板的防护对象。

    • 如果防护对象已经归属于其他防护对象组,您必须先将该防护对象从原有防护对象组中移出,然后才能将该防护对象加入到当前防护对象组。具体操作,请参见编辑防护对象组

    成功添加防护对象组后,您可以在防护对象组页签,管理防护对象组。具体操作,请参见管理防护对象组

管理防护对象

您可以在防护对象页签,查看和管理防护对象。

功能

说明

设置

客户端IP设置

如果WAF前存在高防或CDN等反向代理设备,您可以设置客户端IP判定方式,指定字段识别真实的客户端IP,以供WAF识别并进行防护规则匹配(如IP黑名单)和报表展示(如攻击源IP)。

单击目标防护对象操作列的设置,配置WAF前是否有七层代理(高防/CDN等)客户端IP判定方式。更多信息,请参见WAF前是否有七层代理配置信息

说明
  • CNAME接入的域名、CLB实例、ECS实例:如果在接入时已完成该配置,则无需重复配置。

  • ALB实例、MSE实例、FC自定义域名、混合云SDK集成模式接入的域名:可根据业务需要进行该配置。

cookie设置

使用CC防护、扫描防护等功能时,Cookie中不包含acw_tc的请求,WAF默认会在响应中插入acw_tc来识别和统计不同的客户端访问,通过分析客户端携带的Cookie信息,结合您配置的CC防护规则、统计对象为session的扫描防护规则、统计对象为session的自定义频率设置规则和统计结果判断业务流量中是否存在CC攻击行为。

  • 您可以通过下发状态开关,开启或关闭跟踪cookie。如果您只允许该cookie被下发到HTTPS请求中,您可以开启cookie的secure属性

    重要
    • 建议您开启跟踪cookie的下发状态开关。否则,将影响CC防护、扫描防护等功能的使用。

    • 加入某个防护对象组的防护对象默认开启跟踪cookie,且不支持关闭跟踪cookie、开启secure属性

    • MSE实例、FC自定义域名不支持设置secure属性

  • 生效规则:如果请求命中多个防护对象时,任意一个防护对象开启跟踪cookiesecure属性,所有被命中的防护对象都会同步开启相同的功能。

滑块cookie

滑块验证通过后,WAF会默认下发滑块cookie acw_sc__v3,标记该验证动作。如果您只允许该cookie被下发到HTTPS站点,您可以开启cookie的secure属性

重要
  • 开启secure属性后,将影响HTTP站点滑块功能的正常使用。

  • 加入某个防护对象组的防护对象默认关闭secure属性,且不支持开启。

  • MSE实例、FC自定义域名不支持设置secure属性

查看并配置防护规则

单击目标防护对象操作列的查看防护规则,在防护规则页面,为防护对象配置防护规则。

说明
  • 防护对象加入某个防护对象组后,自动应用防护对象组的防护规则;否则,统一应用默认防护规则。更多信息,请参见默认防护规则模板

  • 您也可以在防护规则页面,为防护对象配置更多的防护规则。具体操作,请参见防护规则

加入防护对象组

定位到目标防护对象,选择操作列的更多图标 > 加入对象组

如需将多个防护对象加入到同一个对象组,可以选中多个防护对象,单击列表下方的加入防护组

查看防护日志

选择目标防护对象操作列的更多图标 > 查看防护日志 ,为防护对象开启日志采集、查询相关日志数据。具体操作,请参见开启或关闭日志服务

删除防护对象

定位到目标防护对象,选择操作列的更多图标 > 删除

说明
  • 只有手动添加的域名防护对象支持删除操作。

  • 如果您需要删除CLB实例、ECS实例,您需要访问接入管理页面,定位到目标实例或引流端口,单击操作列的取消接入,取消端口引流后,再删除防护对象。

为防护对象绑定或解除标签

通过绑定的标签,您可以在控制台快速查找指定资源。

  1. 定位到目标防护对象,将鼠标悬停在标签列的编辑图标上,单击编辑

  2. 编辑标签对话框,选择或输入标签键,并填写标签值

    说明
    • 一次最多绑定20个标签键,允许标签值为空。

    • 输入标签键标签值时,最多支持128个字符,不支持以aliyunacs:开头,且不能包含http://https://

    • 您可以分别在防护对象列表或接入列表为防护对象绑定或修改标签,且通过任意一种方式修改标签都会在防护对象列表和接入列表同步生效。

    • 您也可以选中多个防护对象,批量增加或删除标签。

管理防护对象组

您可以在防护对象组页签,查看和管理防护对象组。

功能

说明

编辑防护对象组

单击目标防护对象组操作列的编辑,将防护对象从待选择对象移入已选择对象组,或将防护对象移出已选择对象组

说明
  • 防护对象被移出当前对象组后,将自动应用默认防护规则模板。更多信息,请参见默认防护规则模板

  • 如果防护对象已经加入到某个对象组,则不支持加入其他对象组。您需要先将其从当前防护对象组中移除,然后再加入其他对象组。

查看并配置防护规则

单击目标防护对象操作列的配置规则,在防护规则页面,为防护对象组配置防护规则。为防护对象组配置的规则将对对象组中的所有防护对象生效。

删除防护对象组

定位到目标防护对象组,单击操作列的删除

说明

删除防护对象组即取消当前对象组内所有防护对象的关联,所有防护对象将自动应用默认防护规则模板。