類型

云產品接入

CNAME接入

SDK集成

反向代理接入

實現原理

• 通過SDK模塊化的方式將WAF集成在云產品的網關中，通過內嵌在網關中的SDK提取流量并進行檢測和防護。

• 該過程中，WAF不參與流量轉發，避免因額外引入一層轉發而帶來各種兼容性和穩定性問題。

• 通過添加引流端口到WAF的方式，使云產品網關自動改變路由，將Web業務引流到WAF。WAF會攔截攻擊請求并將正常業務請求轉發回源站服務器。

• 該過程中，WAF作為反向代理集群，同時參與流量的轉發和檢測防護。

• 通過添加域名，并將域名的DNS解析指向WAF的CNAME地址，使域名的Web業務引流到WAF。WAF會攔截攻擊請求并將正常業務請求轉發回源站服務器。

• 該過程中，WAF作為反向代理集群，同時參與流量的轉發和檢測防護。

推薦場景

如果Web業務已啟用阿里云應用型負載均衡（Application Load Balancer，簡稱ALB）、微服務引擎（Microservices Engine，簡稱MSE）、函數計算（Function Compute，簡稱FC）、Serverless 應用引擎（Serverless App Engine，簡稱SAE）或云原生API網關（簡稱APIG），建議您選擇該接入方式。

如果Web業務已啟用阿里云傳統型負載均衡（Classic Load Balancer，簡稱CLB）上、云服務器（Elastic Compute Service，簡稱ECS），建議您選擇該接入方式。

如果Web業務不支持云產品接入場景，可選擇CNAME接入方式。

接入對象

• 部署在ALB、MSE或APIG上的實例，包含實例上的所有域名。

• 部署在FC或SAE上的自定義域名。

部署在CLB或ECS上的實例，包含實例上的所有域名。

域名。

接入方式

• 在ALB或MSE控制臺，為實例或域名開啟WAF防護。具體操作，請參見為ALB實例開啟WAF防護、為MSE云原生網關實例開啟WAF防護。

• 在ALB、MSE或APIG控制臺，為實例或域名開啟WAF防護。具體操作，請參見為ALB實例開啟WAF防護、為MSE云原生網關實例開啟WAF防護、為APIG實例開啟WAF防護。

• 在FC控制臺，為自定義域名開啟WAF防護。具體操作，請參見為FC自定義域名開啟WAF防護。

• 在SAE 2.0控制臺，為應用綁定的域名開啟WAF防護。具體操作，請參見為SAE 2.0自定義域名開啟WAF防護。

在WAF控制臺，將CLB或ECS實例的引流端口添加到WAF。具體操作，請參見將七層CLB（HTTP/HTTPS）實例接入WAF、將四層CLB（TCP）實例接入WAF或將ECS實例接入WAF。

1. 接入域名并完成監聽配置、轉發配置。具體操作，請參見操作步驟。

2. 修改域名的DNS解析記錄。具體操作，請參見修改域名DNS解析設置。

3. 放行WAF回源IP。具體操作，請參見放行WAF回源IP段。