使用Web应用防火墙(Web Application Firewall,简称WAF)防护您的Web业务前,您必须将要防护的网站接入WAF。本文介绍如何接入WAF。

接入方式

WAF支持使用CNAME接入和透明接入两种方式,默认支持HTTP 1.0、HTTP 1.1和HTTP 2.0。您可以根据实际业务场景,选择适当的接入方式。

差异 CNAME接入 透明接入
概念 通过将需要防护的网站信息添加到WAF,并修改网站域名的DNS解析设置,将源站的Web请求转发到WAF进行防护。 通过将需要防护的网站信息添加到WAF,无需修改域名的DNS解析设置,即可将源站的Web请求转发到WAF进行防护。
支持的源站 部署在阿里云上或云下的所有源站。 部署在ECS服务器或阿里云公网SLB上。
接入域名维度 一次只能接入一个域名。 可以按实例维度接入该实例下的所有域名。
是否需要设置回源 需要设置回源。 无需设置回源。
是否需要修改DNS解析 需要修改DNS解析。 无需修改DNS解析。
是否需要设置源站保护 源站存在直接被攻击的风险,需要设置源站保护。 无需设置源站保护。
使用限制 无。
  • 由于网络底层架构限制,仅部分地区支持透明接入。
  • 透明接入不支持私网SLB实例。
  • 透明接入不支持IPv6,引流端口配置的数量也存在一定限制。
  • 透明接入存在默认防护且无法修改,必须要配置域名后才能编辑域名级别的防护规则。

关于透明接入使用限制的更多信息,请参见使用限制

CNAME接入

  1. 访问Web应用防火墙控制台的添加域名页面
  2. 添加域名。您需要将网站域名等信息添加到WAF,并设置回源等信息。
    配置项 说明
    域名 填写要防护的网站域名。
    防护资源 按实际情况选择要使用的防护资源类型。
    协议类型 按实际情况选择网站支持的协议类型。支持设置开启HTTPS的强制跳转开启HTTP回源启用回源SNI
    服务器端口 根据已选择的协议类型,按实际情况设置源站提供对应服务的端口。
    注意 如果源站服务器使用HTTP 80端口、HTTPS 443端口以外的端口,您可以在WAF支持的端口范围中自定义服务器端口。更多信息,请参见WAF支持的端口
    服务器地址 设置WAF回源的源站服务器地址,支持:
    • IP地址:源站服务器对应的SLB公网IP、ECS公网IP或云外机房服务器的IP。
    • 域名(如CNAME)地址:源站服务器回源域名不应与要防护的网站域名相同。仅支持IPv4回源。
    负载均衡算法 当设置了多个源站服务器地址时,按实际情况选择多源站服务器间的负载均衡算法。
    WAF前是否有七层代理(高防/CDN等) 选择网站业务在接入WAF前是否开启了其他七层代理服务(例如DDoS高防、CDN等)。
    启用流量标记 设置是否启用WAF流量标记功能。
    资源组 当需要根据业务部门、项目等维度对云资源进行分组管理时,从资源组列表中选择该域名所属资源组。
    更多信息,请参见添加域名
  3. 验证WAF的域名接入设置是否正确。避免转发设置未生效时修改域名的DNS解析设置,导致业务访问异常。更多信息,请参见本地验证
  4. 修改域名DNS。手动修改域名的DNS解析设置,将网站流量解析到WAF进行防护。
    以下操作以阿里云云解析DNS为例,介绍修改域名解析记录的方法。
    1. 获取WAF的CNAME地址或IP地址。具体操作,请参见获取WAF CNAME地址或WAF IP地址
    2. 访问云解析DNS控制台的域名解析页面,定位到要修改的域名,单击操作列解析设置
      • 记录类型CNAME,填写记录值为WAF的CNAME地址。
      • 记录类型A记录,填写记录值为WAF的IP地址。
    更多信息,请参见修改域名DNS
  5. 验证WAF防护是否生效。具体操作,请参见步骤6
完成以上操作后,您的网站已成功接入WAF。为了实现更全面安全的防护效果,您还需要进行以下操作。
  • 上传HTTPS证书

    如果网站使用HTTPS协议,您需要在添加域名后上传正确、有效的HTTPS证书,保证WAF正常处理HTTPS协议流量。具体操作,请参见上传HTTPS证书

  • 放行WAF回源IP段

    网站接入WAF后,使用特定的回源IP段,将经过防护引擎检测后的正常流量转发回网站域名的源站服务器,从而使得回源IP访问更集中,频率更高。为避免WAF将该IP段认定为攻击IP,导致回源IP段被拉黑,您需要将回源IP段添加到源站安全软件的白名单中,放行该回源IP段。具体操作,请参见放行WAF回源IP段

  • 设置源站保护

    出于安全性考虑,建议您设置源站服务器的访问控制策略,只允许WAF回源IP段的入方向流量,避免攻击者绕过WAF直接对源站服务器发起攻击。具体操作,请参见设置源站保护

  • 自定义TLS配置

    已接入WAF防护的网站域名,如果网站使用的是HTTPS协议传输数据,WAF支持对该域名自定义TLS协议版本和加密套件。请参见配置自定义TLS

透明接入

  1. 访问Web应用防火墙控制台的添加域名页面,选择接入方式透明接入
  2. 添加域名。
    配置项 说明
    域名 填写网站域名。
    源站服务端口 选择实例类型和端口。WAF支持ALB类型七层SLB类型四层SLB类型ECS类型实例的源站服务端口开启透明接入。
    WAF前是否有七层代理(高防/CDN等) 选择网站业务在接入WAF前是否开启了其他七层代理服务(例如DDoS高防、CDN等)。
    启用流量标记 设置是否启用WAF流量标记功能。
    资源组 当需要根据业务部门、项目等维度对云资源进行分组管理时,从资源组列表中选择该域名所属资源组。

    更多信息,请参见透明接入

  3. 验证WAF防护是否生效。具体操作,请参见步骤6

云产品接入WAF

除了将网站单独接入WAF外,您还可以结合WAF和其他阿里云其他安全服务(例如DDos、CDN等),共筑阿里云防护安全体系。

后续操作

接入WAF后,网站的访问流量将经过WAF保护。WAF包含多种防护检测模块,帮助网站应对不同类型的安全威胁,其中规则防护引擎CC安全防护模块默认开启,分别用于防御常见的Web应用攻击(例如SQL注入、XSS跨站、webShell上传等)和CC攻击,其他防护模块需要您手动开启并配置具体防护规则。更多信息,请参见网站防护配置概述