如果您的ALB Web業務經常面臨惡意入侵或需要更高的安全防護,您可以通過為ALB實例開通ALB WAF增強版,將ALB Web業務流量引流到WAF進行安全防護。ALB WAF增強版采用WAF 3.0服務化接入,相比之前的WAF 2.0透明化接入,服務化接入方式中WAF不參與流量轉發,業務監聽與轉發由ALB負責,實現轉發與防護的完全分離,避免了WAF轉發額外帶來的各種兼容性和穩定性問題。本文主要介紹ALB WAF增強版的優勢及如何開通和管理ALB WAF增強版。
ALB WAF增強版優勢
一站式安全防護
ALB WAF增強版中WAF 3.0與ALB深度集成,WAF 3.0為ALB提供一站式安全防護,可以有效識別Web業務流量的惡意特征。ALB WAF增強版實例可避免網站服務器被惡意入侵導致的性能異常等問題,從而保障業務安全和數據安全。
無轉發兼容性問題
ALB WAF增強版采用WAF 3.0服務化接入的方式,WAF只負責安全防護,不參與請求轉發。由ALB負責業務監聽與請求轉發,實現請求轉發與防護的完全分離,避免WAF引入一層轉發而額外帶來的各種兼容性和穩定性問題。
支持更多的功能特性
與標準版相比,ALB WAF增強版增加了WAF應用安全防護功能。關于ALB功能特性差異,請參見功能特性。
對實例網絡類型和協議版本無限制
ALB WAF增強版對網絡類型和協議版本無限制。即公網和私網ALB實例均支持WAF增強版,IPv4和雙棧協議版本的ALB實例也均支持WAF增強版。
擁有足夠的資源配額
ALB WAF增強版擁有的資源配額與標準版相同,對比基礎版有足夠的資源配額。關于資源配額差異,請參見使用限制。
可一鍵開啟或關閉WAF防護
ALB WAF增強版配置簡單,可基于ALB實例一鍵開啟或關閉WAF防護。支持在ALB控制臺新購ALB WAF增強版實例、升級存量的基礎版和標準版實例為WAF增強版。
ALB WAF增強版的使用限制
購買ALB WAF增強版實例前,請先完成實名認證。具體操作,請參見如何選擇實名認證方式。
目前支持售賣WAF增強版ALB實例的地域:
區域
地域
中國
西南1(成都)、華北1(青島)、華北2(北京)、華南3(廣州)、華東1(杭州)、華北6(烏蘭察布)、華東2(上海)、華南1(深圳)、華北3(張家口)、中國香港、華東6(福州-本地地域)
亞太
菲律賓(馬尼拉)、印度尼西亞(雅加達)、日本(東京)、馬來西亞(吉隆坡)、新加坡、泰國(曼谷)
歐洲與美洲
德國(法蘭克福)、美國(硅谷)、美國(弗吉尼亞)
僅支持狀態為運行中的ALB基礎版、標準版實例升級為WAF增強版。
請確保您的當前阿里云賬號沒有開通WAF或者已經開通WAF 3.0。
若您的當前賬號未開通任何版本的WAF實例,您購買ALB WAF增強版實例后,開通的為按量付費WAF 3.0實例。
若您的當前賬號已有WAF3.0包年包月實例,您購買ALB WAF增強版實例后,不會產生額外的WAF費用。
若您的當前賬號已有WAF 2.0實例,請先釋放WAF 2.0實例或者遷移至WAF 3.0。
關于釋放WAF 2.0實例的操作,請參見關閉WAF。
關于遷移至WAF3.0的操作,請參見如何將WAF 2.0實例升級到WAF 3.0。
計費說明
創建或升級為ALB WAF增強版實例后,會產生WAF 3.0的防護費用。ALB WAF增強版實例的計費組成及相關說明如下。
收費項 | 計費公式 | 相關文檔 |
實例費 |
| |
LCU費 |
| |
公網網絡費 | ||
WAF 3.0費用 | WAF 3.0支持包年包月和按量付費兩種計費方式。更多信息,請參見WAF 3.0包年包月計費說明和WAF 3.0按量付費計費說明。
| |
為ALB實例開啟WAF
新購一個WAF增強版ALB實例
- 登錄應用型負載均衡ALB控制臺。
在頂部菜單欄,選擇實例所屬的地域。
在實例頁面,單擊創建應用型負載均衡。
在應用型負載均衡(按量付費)購買頁面,完成參數的配置,然后單擊立即購買并根據提示完成支付。
本文僅列出強相關項,其余參數的配置請參見創建應用型負載均衡。
功能版本(實例費):選擇WAF增強版。
為已創建的ALB實例開啟WAF防護
您可以為已創建的基礎版或標準版ALB實例開啟WAF防護。
通過應用型負載均衡ALB控制臺開啟WAF防護:
- 登錄應用型負載均衡ALB控制臺。
在頂部菜單欄,選擇實例所屬的地域。
在實例頁面,找到目標實例,選擇以下任意一種方式開啟WAF防護。
方式一:
單擊目標實例ID,然后單擊集成服務頁簽。找到Web應用防火墻區域,然后單擊開啟防護。
在開啟防護會話框,單擊確定完成支付并開啟WAF防護。
方式二:
將鼠標懸停在目標實例名稱后的
圖標,然后在氣泡框中單擊Web應用安全防護區域的開啟防護。在開啟防護會話框,單擊確定完成支付并開啟WAF防護。
方式三:
單擊目標實例ID,在實例詳情頁簽,找到基本信息區域中的WAF安全防護,然后單擊開啟防護。
在開啟防護會話框,單擊確定完成支付并開啟WAF防護。
方式四:
在操作列選擇
> 變配功能版本。在應用型負載均衡(按量付費)| 變配頁面,選擇功能版本(實例費)為WAF增強版,單擊立即購買并完成支付。
通過負載均衡SLB概覽頁面開啟WAF防護:
登錄負載均衡管理控制臺。
在安全概覽區域,單擊立即開啟防護。
在開啟Web安全防護會話框,實例類型選擇為應用型負載均衡(ALB),選擇目標實例對應的地域,找到目標實例,然后在操作列單擊開啟防護。
在開啟防護會話框,單擊確定完成支付并開啟WAF防護。
管理WAF
在ALB側管理WAF防護
- 登錄應用型負載均衡ALB控制臺。
在頂部菜單欄,選擇實例所屬的地域。
管理WAF防護。
操作
步驟
查看實例是否開啟WAF防護
選擇以下任意一種方式查看實例是否開啟WAF防護。顯示防護中,表示已開啟WAF防護。
方式一:
在實例頁面,找到目標實例,單擊實例ID。
單擊集成服務頁簽,在Web應用防火墻區域查看防護狀態。
方式二:
在實例頁面,找到目標實例,將鼠標懸停在實例名稱后的
圖標。在氣泡框的Web應用安全防護區域,查看防護狀態。
方式三:
在實例頁面,找到目標實例,單擊實例ID。
在實例詳情頁簽,在基本信息區域查看WAF安全防護的狀態。
查看WAF安全報表
查看WAF安全報表,請確保您的ALB實例已開啟WAF防護。
方式一:
在實例頁面,找到目標實例,單擊實例ID。
單擊集成服務頁簽,在Web應用防火墻區域單擊查看WAF安全報表進入WAF 3.0控制臺的安全報表頁面查看。
方式二:
在實例頁面,找到目標實例,將鼠標懸停在實例名稱后的
圖標。在氣泡框的Web應用安全防護區域,單擊查看WAF安全報表進入WAF 3.0控制臺的安全報表頁面查看。
方式三:
在實例頁面,找到目標實例,單擊實例ID。
在實例詳情頁簽,在基本信息區域單擊安全防護右側的查看WAF安全報表進入WAF 3.0控制臺的安全報表頁面查看。
更多信息,請參見安全報表。
關閉WAF防護
關閉WAF防護后,ALB實例上的業務流量將不再受WAF防護,安全報表中也不再包含相關業務流量的防護數據。
方式一:
在實例頁面,找到目標實例,單擊實例ID。
單擊集成服務頁簽,在Web應用防火墻區域,單擊解除WAF防護。
在關閉防護會話框,單擊確定關閉WAF防護。
方式二:
在實例頁面,找到目標實例,將鼠標懸停在目標實例名稱后的
圖標,在氣泡框的Web應用安全防護區域,單擊關閉WAF防護。在關閉防護會話框,單擊確定關閉WAF防護。
方式三:
在實例頁面,找到目標實例,單擊實例ID。
在實例詳情頁簽,在基本信息區域單擊WAF安全防護右側的關閉WAF防護。
在關閉防護會話框,單擊確定關閉WAF防護。
方式四:
在實例頁面,找到目標實例,在操作列選擇
> 變配功能版本。在應用型負載均衡(按量付費)| 變配頁面,選擇功能版本(實例費)為標準版,單擊立即購買并完成支付。
在WAF側管理WAF防護
登錄Web應用防火墻3.0控制臺。在頂部菜單欄,選擇WAF實例的資源組和地域(中國內地、非中國內地)
在左側導航欄,單擊接入管理
管理WAF防護。
查看已接入的ALB實例
選擇云產品接入頁簽,從左側云產品類型列表中選擇ALB。
設置防護對象和防護規則
單擊目標ALB實例ID,前往防護對象頁面,查看ALB實例的防護對象及其防護規則。更多信息,請參見防護配置概述。
說明通過云產品接入自動添加的防護對象,資產類型為對應云產品的簡稱(例如ALB)且域名為空。
取消接入
常見問題
WAF 2.0透明化接入和WAF 3.0服務化接入的區別?
簡單總結兩者的區別:
WAF 2.0透明化接入:客戶端請求需先經過WAF檢測后,再去往ALB或CLB。WAF 2.0透明化接入時請求需經過兩道網關,因此WAF側與負載均衡側都需維護超時時間和證書等配置。
WAF 3.0服務化接入:WAF旁路接入,客戶端請求直接前往ALB,請求在轉發至后端服務器之前,ALB會提取并發送請求內容至WAF側進行檢測。WAF 3.0服務化接入時請求只經過一道網關,省去了網關間證書和配置同步的步驟,不會出現證書和配置不同步等問題。
更多信息,請參見WAF 3.0與WAF 2.0對比。
ALB接入WAF的使用說明?
ALB支持WAF 3.0服務化接入,即開通ALB WAF增強版。ALB接入WAF防護時,請注意:
阿里云賬號沒有WAF 2.0實例或未開啟WAF:公網和私網ALB實例均支持通過服務化接入的方式開啟WAF 3.0防護,即開通WAF增強版。目前支持售賣WAF增強版ALB實例的地域,請參見ALB WAF增強版的使用限制。
阿里云賬號已有WAF 2.0實例:公網基礎版ALB實例和公網標準版ALB實例支持通過透明化接入的方式開啟WAF 2.0防護,私網ALB實例不支持開啟WAF 2.0防護。
僅華東1(杭州)、華東2(上海)、華南1(深圳)、西南1(成都)、華北2(北京)、華北3(張家口)地域的ALB實例支持WAF 2.0透明化接入。
說明如果您需要為ALB接入WAF 3.0防護,請先釋放WAF 2.0實例或者遷移至WAF 3.0。
釋放WAF 2.0實例時,ALB默認不開啟X-Forwarded-Proto頭字段,此時直接訪問ALB,可能會造成業務異常。您需要在ALB監聽中開啟X-Forwarded-Proto頭字段。具體操作,請參見管理監聽。
關于釋放WAF 2.0實例的操作,請參見關閉WAF。
關于遷移至WAF3.0的操作,請參見如何將WAF 2.0實例升級到WAF 3.0。
CLB和ALB對透明化接入WAF 2.0和服務化接入WAF 3.0的支持情況?
產品
透明化接入WAF 2.0
服務化接入WAF 3.0
CLB
支持
關于CLB如何透明化接入WAF 2.0的相關指導,請參見:
不支持
ALB
阿里云賬號已有WAF 2.0實例,ALB支持透明化接入WAF 2.0。具體操作,請參見ALB實例端口引流。
阿里云賬號沒有WAF 2.0實例或未開啟WAF時,ALB僅支持服務化接入WAF 3.0,即購買ALB WAF增強版。
支持
支持的地域及相關操作,請參見開通和管理ALB WAF增強版。
WAF 2.0透明化接入出現超時時間和證書不同步等配置問題的原因?
WAF 2.0透明化接入時,客戶端請求需先經過WAF檢測后,再去往ALB或CLB,客戶端請求需經過兩道網關,導致WAF側和負載均衡側需要同步多個配置,尤其超時時間和證書變更操作容易引發配置同步的延時問題。
在使用WAF 2.0透明化接入時,如遇證書更新不及時,或調整超時時間不生效等問題,請加入釘群(釘群號:21715946),聯系產品技術專家進行咨詢。
相關文檔
ALB側文檔
如需新購一個ALB WAF增強版實例,請參見創建應用型負載均衡。
如需了解ALB基礎版、標準版和WAF增強版本的功能差異,請參見功能特性。
如需查看并提升ALB WAF增強版的配額,請參見使用限制。
如需通過控制臺變配ALB實例功能版本,請參見變配實例功能版本。
如需通過API變更ALB實例功能版本,請參見UpdateLoadBalancerEdition - 變更負載均衡版本。
WAF側文檔
關于購買WAF 3.0包年包月的操作,請參見購買WAF 3.0包年包月實例。
關于購買WAF 3.0按量付費的操作,請參見開通WAF 3.0按量付費實例。
如需了解WAF 3.0和WAF 2.0差異及WAF 3.0主要優化點,請參見WAF 3.0與WAF 2.0對比。