為MSE云原生網(wǎng)關(guān)實例開啟WAF防護
如果您的Web業(yè)務啟用了阿里云微服務引擎(Microservices Engine,簡稱MSE)服務,您可以為MSE的云原生網(wǎng)關(guān)實例開啟Web應用防火墻(Web Application Firewall,簡稱WAF)防護,將Web業(yè)務流量引流到WAF 3.0進行安全防護。本文介紹如何為MSE云原生網(wǎng)關(guān)實例開啟WAF防護。
背景信息
MSE是一個面向業(yè)界主流開源微服務生態(tài)的一站式微服務平臺,提供注冊配置中心(原生支持Nacos/ZooKeeper/Eureka)、云原生網(wǎng)關(guān)(原生支持Ingress/Envoy)、微服務治理(原生支持Spring Cloud/Dubbo/Sentinel,遵循OpenSergo服務治理規(guī)范)的能力。WAF 3.0可通過云原生網(wǎng)關(guān),與MSE原生架構(gòu)集成,為您提供更高的安全運維效率、更流暢的交互體驗。
使用限制
云產(chǎn)品接入適用于快速將阿里云ALB、MSE、FC、CLB、ECS、SAE 2.0或API Gateway資源接入WAF防護。如需防護非阿里云資源的Web應用,請通過CNAME接入方式將域名下業(yè)務接入WAF,具體操作請參見添加域名。
僅支持為華東1(杭州)、華東2(上海)、華北2(北京)、華北6(烏蘭察布)、中國香港、新加坡、馬來西亞(吉隆坡)、華北3(張家口)、華南1(深圳)、日本(東京)、德國(法蘭克福)、美國(硅谷)地域的MSE實例開啟WAF防護。
接入WAF的MSE實例暫不支持如下功能:
網(wǎng)頁防篡改
信息泄露防護
Bot管理網(wǎng)頁防爬場景化防護中的自動集成Web SDK
API安全
前提條件
已創(chuàng)建云原生網(wǎng)關(guān)實例。具體操作,請參見新建云原生網(wǎng)關(guān)。
如果您開通的是包年包月實例,請確認您的實例還可以添加防護對象。否則,將無法進行云產(chǎn)品接入。
您可以訪問防護對象頁面,查看實例還可以添加的防護對象數(shù)。
開啟WAF防護
登錄Web應用防火墻3.0控制臺。在頂部菜單欄,選擇WAF實例的資源組和地域(中國內(nèi)地、非中國內(nèi)地)。
在左側(cè)導航欄,單擊接入管理。
選擇云產(chǎn)品接入頁簽,在左側(cè)云產(chǎn)品類型列表,選擇MSE。
單擊接入。
根據(jù)頁面提示,單擊立即授權(quán),完成云產(chǎn)品授權(quán)。
完成后,阿里云將自動為您創(chuàng)建WAF服務關(guān)聯(lián)角色AliyunServiceRoleForWAF。您可以在RAM控制臺的 頁面,查看阿里云為WAF自動創(chuàng)建的服務關(guān)聯(lián)角色。
說明如果您已經(jīng)完成云產(chǎn)品授權(quán),則授權(quán)頁面不會出現(xiàn),您可以直接執(zhí)行后續(xù)步驟。
此時,頁面將跳轉(zhuǎn)到微服務引擎MSE控制臺。
在頂部菜單欄選擇地域為華東1(杭州)、華東2(上海)、華北2(北京)、華北6(烏蘭察布)、中國香港、新加坡、馬來西亞(吉隆坡)、華北3(張家口)、華南1(深圳)、日本(東京)、德國(法蘭克福)、美國(硅谷)。
開啟WAF防護。
開啟實例級別防護
單擊目標網(wǎng)關(guān)WAF安全防護列的圖標后,單擊開啟網(wǎng)關(guān)實例防護,或單擊目標網(wǎng)關(guān)操作列的
,單擊確定。開啟路由級別防護
單擊目標實例名稱 ,在基本信息頁面的左側(cè)導航欄,選擇
,或單擊目標網(wǎng)關(guān)操作列的路由配置。單擊目標路由操作列的
,單擊確定。
在MSE側(cè)管理WAF防護
登錄MSE網(wǎng)關(guān)管理控制臺。在左側(cè)導航欄,選擇 。
在頂部菜單欄選擇地域為華東1(杭州)、華東2(上海)、華北2(北京)、華北6(烏蘭察布)、中國香港、新加坡、馬來西亞(吉隆坡)、華北3(張家口)、華南1(深圳)、日本(東京)、德國(法蘭克福)、美國(硅谷)。
管理WAF防護。
查看已接入的實例
在實例列表查看已開啟WAF防護的實例。實例名稱后顯示圖標,表示該實例已開啟WAF防護。
關(guān)閉已接入的實例
關(guān)閉WAF防護后,MSE實例上的業(yè)務流量將不再受WAF防護,安全報表中也不再包含相關(guān)業(yè)務流量的防護數(shù)據(jù)。
關(guān)閉實例級別防護
單擊目標網(wǎng)關(guān)WAF安全防護列的圖標后,單擊關(guān)閉網(wǎng)關(guān)實例防護,或單擊目標網(wǎng)關(guān)操作列的
,單擊確定。關(guān)閉路由級別防護
單擊目標實例名稱 ,在基本信息頁面的左側(cè)導航欄,選擇
,或單擊目標網(wǎng)關(guān)操作列的路由配置。單擊目標路由操作列的
,單擊確定。
在WAF側(cè)管理WAF防護
登錄Web應用防火墻3.0控制臺。在頂部菜單欄,選擇WAF實例的資源組和地域(中國內(nèi)地、非中國內(nèi)地)。
在左側(cè)導航欄,單擊接入管理。
管理WAF防護。
查看已接入的MSE實例
在云產(chǎn)品接入頁簽,從左側(cè)云產(chǎn)品類型列表中選擇MSE。
設置防護對象和防護規(guī)則
開啟WAF防護后,WAF會自動生成一個后綴為
-mse
的防護對象,并為該防護對象默認開啟基礎(chǔ)防護規(guī)則。您可以在接入列表,單擊已接入的實例ID,在防護對象頁面,查看自動添加的防護對象,并為其配置防護規(guī)則。具體操作,請參見防護配置概述。取消接入
取消接入后,MSE實例上的業(yè)務流量將不再受WAF防護,安全報表中也不再包含相關(guān)業(yè)務流量的防護數(shù)據(jù)。
單擊目標實例名稱操作列的取消接入。
頁面將跳轉(zhuǎn)到微服務引擎MSE控制臺的網(wǎng)關(guān)列表頁面。
在MSE側(cè)關(guān)閉WAF防護。具體操作,請參見關(guān)閉已接入的實例。