Web 应用防火墙：智能负载均衡

什么是智能负载均衡

智能负载均衡为WAF实例配置至少三个不同地域的防护节点。通过多个监控节点Ping探测网络可达性，实现异地多节点自动容灾。结合智能DNS解析能力和Least-time回源算法，确保流量从接入防护节点到转发回源站服务器的路径最短、时延最低。

域名通过CNAME接入方式接入WAF后，系统将分配一个独立的虚拟IP（VIP）用于接收业务请求。该VIP不与其他租户共享。阿里云WAF实例提供高可用的防护服务，此VIP并非绑定于某一具体物理设备，而是属于阿里云WAF集群资源。在同一WAF实例下：

• 未开启域名独享IP或智能负载均衡时，所有域名共用一个VIP。

• 配置智能负载均衡后，所有域名共用多个VIP。

为域名开通智能负载均衡功能后：

• 中国内地WAF实例将在华北2（北京）、华东1（杭州）、华南1（深圳）地域各获得一个防护节点实现容灾。

• 非中国内地WAF实例将在主要的地理区域（例如，北美、欧洲、东南亚等）分配多个防护节点以实现容灾。

业务价值

启用智能负载均衡

仅支持在 CNAME接入 方式下为域名启用智能负载均衡，启用步骤如下：

完成以上配置后，WAF在处理域名业务请求时，将自动采用智能DNS解析能力和Least time回源算法。

计费说明

智能负载均衡为计费功能，按 WAF 实例维度计费，与接入域名数量无关。只要为任一域名启用该功能，即对整个实例生效并产生费用。具体计费标准请参见：按量付费计费说明与包年包月计费说明。

WAF的VIP与WAF的回源IP段有什么区别？

• WAF VIP

  • 是WAF的入口IP，是客户端访问网站时实际连接的目标地址。  

  • 所有来自客户端的请求首先到达此 VIP，由 WAF 进行安全检测和过滤。 

• WAF 回源 IP 段

  • 是 WAF 在完成安全检测后，向源站服务器发起回源请求时所使用的 IP 地址段。 

  • 从源站视角看，所有来自 WAF 的请求均源自这些回源 IP。 

  • 源站的安全策略（如防火墙、安全组）必须放行 WAF 的回源 IP 段，否则将导致回源失败。

如何查看WAF VIP的具体IP地址?

开启智能负载均衡后，可以进入资产中心页面。单击WAF页签，查看系统为WAF分配的VIP地址。也可以在客户端使用ping或nslookup命令对已接入WAF的域名进行查询。

ping example.com  #需替换为已接入WAF的域名

是否能将DNS解析修改为WAF的VIP？

不能，通过CNAME方式接入WAF时，必须将DNS解析指向WAF提供的CNAME地址，而非指向WAF的VIP地址。这是因为VIP地址可能会发生变更，例如开启或关闭独享IP或智能负载均衡时，甚至极端情况下的WAF故障时，直接指向VIP可能导致服务中断。使用CNAME可确保后端IP地址自动切换，保障业务连续性。

如何设置默认SSL或TLS策略，使VIP满足合规要求？

为满足合规场景下的HTTPS通信要求，WAF支持为VIP自定义SSL证书及TLS策略。在对WAF的VIP执行合规扫描前，请按照以下步骤上传符合合规要求的HTTPS证书，并启用或禁用指定版本的TLS协议与加密套件。