背景信息

SAE是一款極簡易用、自適應(yīng)彈性的容器化應(yīng)用平臺，提供全托管的計(jì)算服務(wù)來運(yùn)行您的程序。SAE支持Spring Cloud、Dubbo、HSF、Web應(yīng)用和XXL-JOB、ElasticJob任務(wù)，支持網(wǎng)站、小程序、APP以及微服務(wù)應(yīng)用。關(guān)于SAE的更多信息，請參見什么是Serverless應(yīng)用引擎。

您可以在SAE 2.0創(chuàng)建應(yīng)用，并為應(yīng)用綁定自定義域名，使得訪問者可以通過固定域名訪問應(yīng)用。

WAF通過SDK模塊化的方式與SAE 2.0原生架構(gòu)集成，支持為SAE 2.0應(yīng)用綁定的自定義域名開啟安全防護(hù)，通過識別應(yīng)用的業(yè)務(wù)流量惡意特征，將正常和安全的流量回源至后端應(yīng)用，避免應(yīng)用被惡意侵入。

使用限制

• 云產(chǎn)品接入適用于快速將阿里云ALB、MSE、FC、SAE 2.0、CLB或ECS資源接入WAF防護(hù)。如需防護(hù)非阿里云資源的Web應(yīng)用，請通過CNAME接入方式將域名下業(yè)務(wù)接入WAF，具體操作請參見添加域名。

• 僅支持為如下地域的SAE 2.0自定義域名開啟WAF防護(hù)：

  • 華東1（杭州）

  • 華東2（上海）

  • 華南1（深圳）

  • 華北2（北京）

  • 華北3（張家口）

• 通過SAE 2.0接入WAF的防護(hù)對象暫不支持以下功能：

  • 網(wǎng)頁防篡改

  • 信息泄露防護(hù)

  • Bot管理網(wǎng)頁防爬場景化防護(hù)中的自動集成Web SDK

  • API安全

前提條件

• 已開通中國內(nèi)地地域的WAF 3.0服務(wù)。具體操作，請參見開通包年包月WAF 3.0、開通按量付費(fèi)WAF 3.0。

• 如果您開通的是包年包月實(shí)例，請確認(rèn)您的實(shí)例還可以添加防護(hù)對象。否則，將無法進(jìn)行云產(chǎn)品接入。

  您可以訪問防護(hù)對象頁面，查看實(shí)例還可以添加的防護(hù)對象數(shù)。

• 要綁定到應(yīng)用的自定義域名已完成備案。具體操作，請參見ICP備案流程概述。

• 已配置域名解析到您的應(yīng)用對應(yīng)地域的Endpoint上。具體操作，請參見步驟二：配置域名解析。

操作步驟

1. 登錄Web應(yīng)用防火墻3.0控制臺。在頂部菜單欄，選擇WAF實(shí)例的資源組和地域（中國內(nèi)地）。

2. 在左側(cè)導(dǎo)航欄，單擊接入管理。

3. 選擇云產(chǎn)品接入頁簽，在左側(cè)云產(chǎn)品類型列表，選擇SAE，然后單擊接入。

4. 在SAE 2.0控制臺，單擊開通并體驗(yàn)SAE 2.0公測版，開通SAE 2.0。

   僅SAE 2.0版本支持開通WAF防護(hù)。

5. 根據(jù)頁面提示，單擊確認(rèn)創(chuàng)建，自動創(chuàng)建一個服務(wù)關(guān)聯(lián)角色，用于使用應(yīng)用部署、應(yīng)用監(jiān)控、自動彈性等功能。

   • 自動創(chuàng)建的角色名稱為：AliyunServiceRoleForSAE

   • 角色權(quán)限策略為：AliyunServiceRolePolicyForSAE

   您可以在RAM控制臺的身份管理 > 角色頁面，查看阿里云為WAF自動創(chuàng)建的服務(wù)關(guān)聯(lián)角色。

   如果您已經(jīng)創(chuàng)建服務(wù)關(guān)聯(lián)角色，則該頁面不會出現(xiàn)，您可以直接執(zhí)行后續(xù)步驟。

6. 在應(yīng)用列表頁面，單擊Web應(yīng)用頁簽，創(chuàng)建應(yīng)用。具體操作，請參見創(chuàng)建應(yīng)用。

7. 在應(yīng)用的基礎(chǔ)信息頁面的HTTP流量全托管區(qū)域，單擊創(chuàng)建自定義域名。

8. 完成如下配置后，單擊確定。

   配置項(xiàng)	說明
   域名	填寫自定義域名名稱。支持單域名（例如www.aliyun.com）或通配符域名（例如*.aliyun.com）。
   HTTPS	按需啟用或禁用HTTPS協(xié)議訪問自定義域名的功能。取值說明如下： 啟用：開啟通過HTTPS協(xié)議訪問自定義域名的功能。表示支持使用HTTP或HTTPS協(xié)議訪問該自定義域名。 說明 您還可以選中強(qiáng)制HTTPS復(fù)選框，此時僅支持使用HTTPS協(xié)議訪問該自定義域名，SAE 2.0會將所有使用HTTP協(xié)議訪問該自定義域名的請求重定向至HTTPS協(xié)議。 禁用：關(guān)閉通過HTTPS協(xié)議訪問自定義域名功能。表示僅支持使用HTTP協(xié)議訪問該自定義域名，使用HTTPS協(xié)議將無法訪問該自定義域名。
   證書類型	啟用HTTPS協(xié)議訪問自定義域名的功能時，需設(shè)置此配置項(xiàng)。選擇要上傳的證書類型。取值說明如下： 阿里云SSL證書：選擇您的阿里云SSL證書。如果證書名稱下拉列表為空，說明尚未購買阿里云SSL證書，您可以登錄數(shù)字證書管理服務(wù)控制臺購買。更多信息，請參見購買SSL證書。 手動上傳：手動輸入證書名稱，并填寫PEM證書內(nèi)容和PEM證書密鑰。上傳的證書的大小不能超過20 KB，證書密鑰的大小不能超過4 KB。
   TLS協(xié)議版本	啟用HTTPS協(xié)議訪問自定義域名的功能時，需設(shè)置此配置項(xiàng)。選擇應(yīng)用使用的TLS協(xié)議版本，如果不配置，則默認(rèn)選擇TLS 1.0及以上版本協(xié)議，包括TLS 1.0、TLS 1.1和TLS 1.2協(xié)議。取值說明如下： 支持TLS 1.0及以上協(xié)議，兼容性最高，安全性較低：表示對TLS 1.0及以上所有協(xié)議版本生效，包括TLS 1.0、TLS 1.1和TLS 1.2協(xié)議。 支持TLS 1.1及以上協(xié)議，兼容性較好，安全性較好：表示對TLS 1.1及以上所有協(xié)議版本生效，包括TLS 1.1和TLS 1.2協(xié)議，使用TLS 1.0協(xié)議將無法訪問配置的自定義域名。 支持TLS 1.2及以上協(xié)議，兼容性較好，安全性最高：表示對TLS 1.2以上所有協(xié)議版本生效，僅包括TLS 1.2協(xié)議，使用TLS 1.0和TLS 1.1協(xié)議將無法訪問配置的自定義域名。 說明 選擇以上TLS協(xié)議版本后，您還可以選中開啟支持TLS 1.3復(fù)選框，表示同時支持TLS 1.3協(xié)議。
   加密套件	啟用HTTPS協(xié)議訪問自定義域名的功能時，需設(shè)置此配置項(xiàng)。選擇TLS加密算法套件，如果不配置，默認(rèn)選擇全部加密套件。取值說明如下： 全部加密套件，兼容性最高，安全性較低：選擇全部加密套件，包括強(qiáng)加密套件和弱加密套件。 強(qiáng)加密套件 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305 弱加密套件 TLS_RSA_WITH_RC4_128_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_RC4_128_SHA TLS_ECDHE_RSA_WITH_RC4_128_SHA TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 協(xié)議版本的自定義加密套件，請謹(jǐn)慎選擇，避免影響業(yè)務(wù)：選擇部分支持的加密套件。下拉列表中顯示所有加密套件，您可以單擊加密套件右側(cè)的圖標(biāo)，刪除安全性較弱的弱加密套件，保留您選擇的TLS協(xié)議版本支持的加密套件。 重要 請謹(jǐn)慎選擇自定義加密套件，確保服務(wù)端和客戶端套件的正確匹配。 關(guān)于TLS協(xié)議版本和其支持的加密套件，請參見更多信息。 SAE 2.0對加密套件的命名使用RFC命名規(guī)范。同一個加密套件，使用不同命名規(guī)范的命名會存在差異。關(guān)于RFC和OpenSSL命名的加密套件名稱差異點(diǎn)，請參見更多信息。
   Web應(yīng)用防火墻	啟用Web應(yīng)用防火墻。開啟后，WAF將為您的應(yīng)用提供一站式安全防護(hù)，有效識別Web業(yè)務(wù)流量的惡意特征，避免應(yīng)用被惡意入侵，保障業(yè)務(wù)安全和數(shù)據(jù)安全。

   完成上述配置后，您的應(yīng)用綁定的自定義域名已接入WAF防護(hù)。您可以在接入管理 > 云產(chǎn)品接入 > SAE頁簽，查看已接入WAF的自定義域名。

   同時，WAF會自動生成一個命名為“應(yīng)用ID-自定義域名-sae”的防護(hù)對象，并為該防護(hù)對象默認(rèn)開啟基礎(chǔ)防護(hù)規(guī)則。您可以返回WAF控制臺，在防護(hù)對象頁面，查看自動添加的防護(hù)對象，并為其配置防護(hù)規(guī)則。具體操作，請參見概述。

   

相關(guān)文檔

• 關(guān)于如何使用SAE 2.0在控制臺創(chuàng)建、更新、刪除以及啟停應(yīng)用，請參見管理應(yīng)用。

• 關(guān)于如何使用SAE 2.0為應(yīng)用綁定自定義域名，請參見設(shè)置自定義域名。