為SAE 2.0自定義域名開啟WAF防護(hù)
如果應(yīng)用托管在Serverless 應(yīng)用引擎 SAE(Serverless App Engine) 2.0上,您可以為應(yīng)用綁定的自定義域名開啟Web應(yīng)用防火墻(Web Application Firewall,簡稱WAF)功能,將Web業(yè)務(wù)流量引流到WAF進(jìn)行安全防護(hù)。本文介紹如何為SAE 2.0應(yīng)用綁定的自定義域名開啟WAF防護(hù)。
背景信息
SAE是一款極簡易用、自適應(yīng)彈性的容器化應(yīng)用平臺,提供全托管的計(jì)算服務(wù)來運(yùn)行您的程序。SAE支持Spring Cloud、Dubbo、HSF、Web應(yīng)用和XXL-JOB、ElasticJob任務(wù),支持網(wǎng)站、小程序、APP以及微服務(wù)應(yīng)用。關(guān)于SAE的更多信息,請參見什么是Serverless應(yīng)用引擎。
您可以在SAE 2.0創(chuàng)建應(yīng)用,并為應(yīng)用綁定自定義域名,使得訪問者可以通過固定域名訪問應(yīng)用。
WAF通過SDK模塊化的方式與SAE 2.0原生架構(gòu)集成,支持為SAE 2.0應(yīng)用綁定的自定義域名開啟安全防護(hù),通過識別應(yīng)用的業(yè)務(wù)流量惡意特征,將正常和安全的流量回源至后端應(yīng)用,避免應(yīng)用被惡意侵入。
使用限制
云產(chǎn)品接入適用于快速將阿里云ALB、MSE、FC、SAE 2.0、CLB或ECS資源接入WAF防護(hù)。如需防護(hù)非阿里云資源的Web應(yīng)用,請通過CNAME接入方式將域名下業(yè)務(wù)接入WAF,具體操作請參見添加域名。
僅支持為如下地域的SAE 2.0自定義域名開啟WAF防護(hù):
華東1(杭州)
華東2(上海)
華南1(深圳)
華北2(北京)
華北3(張家口)
通過SAE 2.0接入WAF的防護(hù)對象暫不支持以下功能:
網(wǎng)頁防篡改
信息泄露防護(hù)
Bot管理網(wǎng)頁防爬場景化防護(hù)中的自動集成Web SDK
API安全
前提條件
已開通中國內(nèi)地地域的WAF 3.0服務(wù)。具體操作,請參見開通包年包月WAF 3.0、開通按量付費(fèi)WAF 3.0。
如果您開通的是包年包月實(shí)例,請確認(rèn)您的實(shí)例還可以添加防護(hù)對象。否則,將無法進(jìn)行云產(chǎn)品接入。
您可以訪問防護(hù)對象頁面,查看實(shí)例還可以添加的防護(hù)對象數(shù)。
要綁定到應(yīng)用的自定義域名已完成備案。具體操作,請參見ICP備案流程概述。
已配置域名解析到您的應(yīng)用對應(yīng)地域的Endpoint上。具體操作,請參見步驟二:配置域名解析。
操作步驟
登錄Web應(yīng)用防火墻3.0控制臺。在頂部菜單欄,選擇WAF實(shí)例的資源組和地域(中國內(nèi)地)。
在左側(cè)導(dǎo)航欄,單擊接入管理。
選擇云產(chǎn)品接入頁簽,在左側(cè)云產(chǎn)品類型列表,選擇SAE,然后單擊接入。
在SAE 2.0控制臺,單擊開通并體驗(yàn)SAE 2.0公測版,開通SAE 2.0。
僅SAE 2.0版本支持開通WAF防護(hù)。
根據(jù)頁面提示,單擊確認(rèn)創(chuàng)建,自動創(chuàng)建一個服務(wù)關(guān)聯(lián)角色,用于使用應(yīng)用部署、應(yīng)用監(jiān)控、自動彈性等功能。
自動創(chuàng)建的角色名稱為:AliyunServiceRoleForSAE
角色權(quán)限策略為:AliyunServiceRolePolicyForSAE
您可以在RAM控制臺的 頁面,查看阿里云為WAF自動創(chuàng)建的服務(wù)關(guān)聯(lián)角色。
如果您已經(jīng)創(chuàng)建服務(wù)關(guān)聯(lián)角色,則該頁面不會出現(xiàn),您可以直接執(zhí)行后續(xù)步驟。
在應(yīng)用列表頁面,單擊Web應(yīng)用頁簽,創(chuàng)建應(yīng)用。具體操作,請參見創(chuàng)建應(yīng)用。
在應(yīng)用的基礎(chǔ)信息頁面的HTTP流量全托管區(qū)域,單擊創(chuàng)建自定義域名。
完成如下配置后,單擊確定。
配置項(xiàng)
說明
域名
填寫自定義域名名稱。支持單域名(例如
www.aliyun.com
)或通配符域名(例如*.aliyun.com
)。HTTPS
按需啟用或禁用HTTPS協(xié)議訪問自定義域名的功能。取值說明如下:
啟用:開啟通過HTTPS協(xié)議訪問自定義域名的功能。表示支持使用HTTP或HTTPS協(xié)議訪問該自定義域名。
說明您還可以選中強(qiáng)制HTTPS復(fù)選框,此時僅支持使用HTTPS協(xié)議訪問該自定義域名,SAE 2.0會將所有使用HTTP協(xié)議訪問該自定義域名的請求重定向至HTTPS協(xié)議。
禁用:關(guān)閉通過HTTPS協(xié)議訪問自定義域名功能。表示僅支持使用HTTP協(xié)議訪問該自定義域名,使用HTTPS協(xié)議將無法訪問該自定義域名。
證書類型
啟用HTTPS協(xié)議訪問自定義域名的功能時,需設(shè)置此配置項(xiàng)。選擇要上傳的證書類型。取值說明如下:
阿里云SSL證書:選擇您的阿里云SSL證書。如果證書名稱下拉列表為空,說明尚未購買阿里云SSL證書,您可以登錄數(shù)字證書管理服務(wù)控制臺購買。更多信息,請參見購買SSL證書。
手動上傳:手動輸入證書名稱,并填寫PEM證書內(nèi)容和PEM證書密鑰。上傳的證書的大小不能超過20 KB,證書密鑰的大小不能超過4 KB。
TLS協(xié)議版本
啟用HTTPS協(xié)議訪問自定義域名的功能時,需設(shè)置此配置項(xiàng)。選擇應(yīng)用使用的TLS協(xié)議版本,如果不配置,則默認(rèn)選擇TLS 1.0及以上版本協(xié)議,包括TLS 1.0、TLS 1.1和TLS 1.2協(xié)議。取值說明如下:
支持TLS 1.0及以上協(xié)議,兼容性最高,安全性較低:表示對TLS 1.0及以上所有協(xié)議版本生效,包括TLS 1.0、TLS 1.1和TLS 1.2協(xié)議。
支持TLS 1.1及以上協(xié)議,兼容性較好,安全性較好:表示對TLS 1.1及以上所有協(xié)議版本生效,包括TLS 1.1和TLS 1.2協(xié)議,使用TLS 1.0協(xié)議將無法訪問配置的自定義域名。
支持TLS 1.2及以上協(xié)議,兼容性較好,安全性最高:表示對TLS 1.2以上所有協(xié)議版本生效,僅包括TLS 1.2協(xié)議,使用TLS 1.0和TLS 1.1協(xié)議將無法訪問配置的自定義域名。
說明選擇以上TLS協(xié)議版本后,您還可以選中開啟支持TLS 1.3復(fù)選框,表示同時支持TLS 1.3協(xié)議。
加密套件
啟用HTTPS協(xié)議訪問自定義域名的功能時,需設(shè)置此配置項(xiàng)。選擇TLS加密算法套件,如果不配置,默認(rèn)選擇全部加密套件。取值說明如下:
全部加密套件,兼容性最高,安全性較低:選擇全部加密套件,包括強(qiáng)加密套件和弱加密套件。
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
協(xié)議版本的自定義加密套件,請謹(jǐn)慎選擇,避免影響業(yè)務(wù):選擇部分支持的加密套件。下拉列表中顯示所有加密套件,您可以單擊加密套件右側(cè)的圖標(biāo),刪除安全性較弱的弱加密套件,保留您選擇的TLS協(xié)議版本支持的加密套件。
重要請謹(jǐn)慎選擇自定義加密套件,確保服務(wù)端和客戶端套件的正確匹配。
關(guān)于TLS協(xié)議版本和其支持的加密套件,請參見更多信息。
SAE 2.0對加密套件的命名使用RFC命名規(guī)范。同一個加密套件,使用不同命名規(guī)范的命名會存在差異。關(guān)于RFC和OpenSSL命名的加密套件名稱差異點(diǎn),請參見更多信息。
Web應(yīng)用防火墻
啟用Web應(yīng)用防火墻。開啟后,WAF將為您的應(yīng)用提供一站式安全防護(hù),有效識別Web業(yè)務(wù)流量的惡意特征,避免應(yīng)用被惡意入侵,保障業(yè)務(wù)安全和數(shù)據(jù)安全。
完成上述配置后,您的應(yīng)用綁定的自定義域名已接入WAF防護(hù)。您可以在
頁簽,查看已接入WAF的自定義域名。同時,WAF會自動生成一個命名為“應(yīng)用ID-自定義域名-sae”的防護(hù)對象,并為該防護(hù)對象默認(rèn)開啟基礎(chǔ)防護(hù)規(guī)則。您可以返回WAF控制臺,在防護(hù)對象頁面,查看自動添加的防護(hù)對象,并為其配置防護(hù)規(guī)則。具體操作,請參見概述。
相關(guān)文檔
關(guān)于如何使用SAE 2.0在控制臺創(chuàng)建、更新、刪除以及啟停應(yīng)用,請參見管理應(yīng)用。
關(guān)于如何使用SAE 2.0為應(yīng)用綁定自定義域名,請參見設(shè)置自定義域名。