為FC自定義域名開啟WAF防護(hù)
如果您將為或者已為阿里云函數(shù)計(jì)算(Function Compute,簡(jiǎn)稱FC)上的Web應(yīng)用綁定自定義域名,并通過自定義域名訪問該應(yīng)用時(shí),您可以在函數(shù)計(jì)算控制臺(tái),為該自定義域名開啟Web應(yīng)用防火墻(Web Application Firewall,簡(jiǎn)稱WAF)功能,將Web應(yīng)用業(yè)務(wù)流量引流到WAF進(jìn)行安全防護(hù)。本文介紹如何為FC自定義域名開啟WAF防護(hù)。
背景信息
函數(shù)計(jì)算是Serverless架構(gòu)的一種形態(tài),面向函數(shù)編程,基于事件驅(qū)動(dòng)提供阿里云服務(wù)之間端到端的解決方案。借助函數(shù)計(jì)算,您可以快速構(gòu)建多種類型的應(yīng)用和服務(wù)。更多信息,請(qǐng)參見什么是函數(shù)計(jì)算。
WAF通過SDK模塊化的方式與函數(shù)計(jì)算原生架構(gòu)集成,支持為函數(shù)計(jì)算上的Web應(yīng)用綁定的自定義域名開啟安全防護(hù),通過識(shí)別應(yīng)用或者應(yīng)用中函數(shù)的業(yè)務(wù)流量惡意特征,將正常和安全的流量回源至后端函數(shù),避免函數(shù)被惡意侵入。
使用限制
云產(chǎn)品接入適用于快速將阿里云ALB、MSE、FC、SAE 2.0、CLB或ECS資源接入WAF防護(hù)。如需防護(hù)非阿里云資源的Web應(yīng)用,請(qǐng)通過CNAME接入方式將域名下業(yè)務(wù)接入WAF,具體操作請(qǐng)參見添加域名。
僅支持為華東1(杭州)、華東2(上海)、華北2(北京)、華北3(張家口)和華南1(深圳)地域的FC自定義域名開啟WAF防護(hù)。
通過函數(shù)計(jì)算接入WAF的防護(hù)對(duì)象暫不支持網(wǎng)頁(yè)防篡改、信息泄露防護(hù)、Bot管理和API安全功能。
前提條件
已開通中國(guó)內(nèi)地地域的WAF 3.0服務(wù)。具體操作,請(qǐng)參見開通包年包月WAF 3.0、開通按量付費(fèi)WAF 3.0。
如果您開通的是包年包月實(shí)例,請(qǐng)確認(rèn)您的實(shí)例還可以添加防護(hù)對(duì)象。否則,將無法進(jìn)行云產(chǎn)品接入。
您可以訪問防護(hù)對(duì)象頁(yè)面,查看實(shí)例還可以添加的防護(hù)對(duì)象數(shù)。
操作步驟
您可以在為應(yīng)用創(chuàng)建自定義域名的同時(shí)開啟WAF防護(hù),也可以為已有自定義域名開啟WAF防護(hù)。
登錄Web應(yīng)用防火墻3.0控制臺(tái)。在頂部菜單欄,選擇WAF實(shí)例的資源組和地域(中國(guó)內(nèi)地)。
在左側(cè)導(dǎo)航欄,單擊接入管理。
選擇云產(chǎn)品接入頁(yè)簽,在左側(cè)云產(chǎn)品類型列表,選擇FC,然后單擊接入。
根據(jù)頁(yè)面提示,單擊立即授權(quán),完成云產(chǎn)品授權(quán)。
完成后,阿里云將自動(dòng)為您創(chuàng)建WAF服務(wù)關(guān)聯(lián)角色AliyunServiceRoleForWAF。您可以在RAM控制臺(tái)的 頁(yè)面,查看阿里云為WAF自動(dòng)創(chuàng)建的服務(wù)關(guān)聯(lián)角色。
說明如果您已經(jīng)完成云產(chǎn)品授權(quán),則授權(quán)頁(yè)面不會(huì)出現(xiàn),您可以直接執(zhí)行后續(xù)步驟。
此時(shí),頁(yè)面將跳轉(zhuǎn)到函數(shù)計(jì)算控制臺(tái)。
在函數(shù)計(jì)算控制臺(tái)的域名管理頁(yè)面,為FC自定義域名開啟WAF防護(hù)。
創(chuàng)建自定義域名并開啟WAF防護(hù)
在頂部菜單欄,選擇地域?yàn)?b data-tag="uicontrol" id="797323f0a6l43" class="uicontrol">華東1(杭州)、華東2(上海)、華北2(北京)、華北3(張家口)和華南1(深圳),單擊添加自定義域名。
在添加自定義域名頁(yè)面,完成如下配置后,單擊創(chuàng)建。
配置項(xiàng)
說明
域名
填寫已在阿里云備案或接入備案的自定義域名名稱。支持單域名(例如
www.aliyun.com
)或通配符域名(例如*.aliyun.com
)。HTTPS
設(shè)置通過自定義域名訪問網(wǎng)站時(shí)使用的協(xié)議類型。
啟用:表示使用HTTP和HTTPS協(xié)議。
啟用HTTPS后,您需要上傳綁定該自定義域名的SSL證書。
阿里云 SSL 證書:選擇您的阿里云SSL證書。如果證書名稱下拉列表為空,則說明您尚未為該域名購(gòu)買阿里云SSL證書,您可以登錄數(shù)字證書管理服務(wù)控制臺(tái)購(gòu)買。具體操作,請(qǐng)參見購(gòu)買SSL證書。
手動(dòng)上傳:手動(dòng)輸入證書名稱,并填寫PEM 證書內(nèi)容和PEM 證書密鑰。
說明上傳證書的大小不能超過20 KB,證書密鑰的大小不能超過4 KB。
您也可以根據(jù)業(yè)務(wù)需要,配置如下功能:
禁用:表示僅使用HTTP協(xié)議。
CDN 加速
如果終端用戶需要快速讀取所需內(nèi)容,您可以啟用該功能,為該自定義域名開啟CDN 加速。更多信息,請(qǐng)參見步驟四:開啟CDN加速(可選)。
Web 應(yīng)用防火墻
選擇啟用,為自定義域名開啟WAF安全防護(hù)。啟用該功能后,WAF將對(duì)該自定義域名上的業(yè)務(wù)流量進(jìn)行惡意特征識(shí)別和防護(hù),避免域名中的函數(shù)被惡意侵入。
路由配置
您可以為不同的函數(shù)匹配對(duì)應(yīng)路徑,便于您更快速的訪問對(duì)應(yīng)函數(shù)。您需要設(shè)置以下字段:
路徑:表示指定函數(shù)對(duì)應(yīng)的請(qǐng)求路徑。例如,您創(chuàng)建的自定義域名為
example.com
,匹配路徑為/a
,當(dāng)您輸入請(qǐng)求URL為example.com/a
時(shí),即可快速訪問指定函數(shù)。服務(wù)名稱:表示指定函數(shù)所屬的服務(wù)名稱。
函數(shù)名稱:表示指定函數(shù)名稱。
版本或別名:表示指定函數(shù)的版本或別名。
重寫策略:表示匹配指定路徑的請(qǐng)求URL的重寫策略。具體操作,請(qǐng)參見配置重寫策略。
您可以根據(jù)需要添加多個(gè)路由。更多路由信息,請(qǐng)參見路由匹配規(guī)則。
為已有自定義域名開啟WAF防護(hù)
在頂部菜單欄,選擇地域后,定位到目標(biāo)自定義域名,單擊操作列的編輯。
在編輯自定義域名頁(yè)面,將Web 應(yīng)用防火墻配置為啟用,然后單擊保存。
完成接入后,WAF會(huì)自動(dòng)生成一個(gè)命名為“域名-fc”的防護(hù)對(duì)象,并為該防護(hù)對(duì)象默認(rèn)開啟基礎(chǔ)防護(hù)規(guī)則。您可以在接入列表,單擊已接入的域名,在防護(hù)對(duì)象頁(yè)面,查看自動(dòng)添加的防護(hù)對(duì)象,并為其配置防護(hù)規(guī)則。具體操作,請(qǐng)參見防護(hù)配置概述。