使用Web应用防火墙(Web Application Firewall,简称WAF)防护您的Web业务前,您必须将要防护的网站接入WAF。本文介绍如何接入WAF。
接入方式
WAF支持使用CNAME接入和透明接入两种方式,默认支持HTTP 1.0、HTTP 1.1和HTTP 2.0。您可以根据实际业务场景,选择适当的接入方式。
差异 | CNAME接入 | 透明接入 |
---|---|---|
概念 | 通过将需要防护的网站信息添加到WAF,并修改网站域名的DNS解析设置,将源站的Web请求转发到WAF进行防护。 | 通过将需要防护的网站信息添加到WAF,无需修改域名的DNS解析设置,即可将源站的Web请求转发到WAF进行防护。 |
支持的源站 | 部署在阿里云上或云下的所有源站。 | 部署在ECS服务器或阿里云公网SLB上。 |
接入域名维度 | 一次只能接入一个域名。 | 可以按实例维度接入该实例下的所有域名。 |
是否需要设置回源 | 需要设置回源。 | 无需设置回源。 |
是否需要修改DNS解析 | 需要修改DNS解析。 | 无需修改DNS解析。 |
是否需要设置源站保护 | 源站存在直接被攻击的风险,需要设置源站保护。 | 无需设置源站保护。 |
使用限制 | 无。 |
关于透明接入使用限制的更多信息,请参见使用限制。 |
CNAME接入
- 上传HTTPS证书
如果网站使用HTTPS协议,您需要在添加域名后上传正确、有效的HTTPS证书,保证WAF正常处理HTTPS协议流量。具体操作,请参见上传HTTPS证书。
- 放行WAF回源IP段
网站接入WAF后,使用特定的回源IP段,将经过防护引擎检测后的正常流量转发回网站域名的源站服务器,从而使得回源IP访问更集中,频率更高。为避免WAF将该IP段认定为攻击IP,导致回源IP段被拉黑,您需要将回源IP段添加到源站安全软件的白名单中,放行该回源IP段。具体操作,请参见放行WAF回源IP段。
- 设置源站保护
出于安全性考虑,建议您设置源站服务器的访问控制策略,只允许WAF回源IP段的入方向流量,避免攻击者绕过WAF直接对源站服务器发起攻击。具体操作,请参见设置源站保护。
- 自定义TLS配置
已接入WAF防护的网站域名,如果网站使用的是HTTPS协议传输数据,WAF支持对该域名自定义TLS协议版本和加密套件。请参见配置自定义TLS。
透明接入
云产品接入WAF
除了将网站单独接入WAF外,您还可以结合WAF和其他阿里云其他安全服务(例如DDos、CDN等),共筑阿里云防护安全体系。
- 通过联合部署DDoS高防和WAF提升网站防护能力:网站需要同时防御Web应用攻击和DDoS攻击时,您可以在源站前依次部署DDoS高防和WAF。
- 同时部署WAF和CDN:网站需要防御Web应用攻击,同时部署CDN加速时,您可以在源站前依次部署CDN和WAF。
后续操作
接入WAF后,网站的访问流量将经过WAF保护。WAF包含多种防护检测模块,帮助网站应对不同类型的安全威胁,其中规则防护引擎和CC安全防护模块默认开启,分别用于防御常见的Web应用攻击(例如SQL注入、XSS跨站、webShell上传等)和CC攻击,其他防护模块需要您手动开启并配置具体防护规则。更多信息,请参见网站防护配置概述。