You need to enable JavaScript to run this app.
导航
应用型负载均衡
  • 文档首页
    • /应用型负载均衡/用户指南/安全防护/WAF 防护
WAF 防护
最近更新时间:2024.07.25 16:51:37首次发布时间:2022.09.14 14:29:31
我的收藏

ALB 已经与火山引擎 Web应用防火墙(Web Application Firewall,WAF)联动。您可在 ALB 控制台为某个实例开启 WAF防护,也可以 WAF 控制台接入 ALB 实例。ALB 实例接入 WAF 后,WAF会监测流过 ALB 的流量,对攻击流量进行清洗。

说明

更多关于火山引擎 Web应用防火墙内容,请参见官网文档

前提条件

  • 您的账号已开通火山引擎 Web应用防火墙并购买 WAF 实例。
  • 需要防护的域名已备案,且未添加到 WAF。
  • 您的防护域名已使用 ALB 进行流量负载均衡服务,服务正常进行。
  • 您已完成跨服务授权。

在 ALB 控制台为实例开启 WAF 防护

操作步骤

  1. 登录火山引擎应用型负载均衡控制台
  2. 点击左侧导航栏 实例管理 ,进入 实例管理 页面。
  3. 实例管理 页面,找到待配置的实例,点击实例的名称。
  4. 基本信息 标签页的 WAF防护区域,开启 WAF 防护按钮。

    注意

    为实例开启 WAF 防护后,流过该实例的全部流量都会被 WAF 检测。请注意 WAF 的承载能力,若 WAF 规格较低,建议您升级 WAF 版本。

  5. 关联WAF实例 标签页,选准备关联的 WAF 实例。
  6. 点击 确定 ,完成对该实例开启 WAF 防护。

说明

  • 为实例开启 WAF 防护后,默认的防护域名为该 ALB 实例的 ID。WAF 默认对流经该实例的全部流量进行监测。
  • 您可点击 添加防护域名 ,添加指定的网站域名。
    • 该网站域名必须在当前 ALB 实例下完成转发规则的配置。
  • ALB 控制台仅允许添加查询防护域名,不允许删除防护域名。删除防护域名、调整域名的防护策略,请前往WAF控制台进行操作。

在 WAF 控制台为 ALB实例接入 WAF 防护

操作步骤

  1. 登录火山引擎 Web 应用防火墙控制台
  2. 在顶部菜单栏选择实例所属地域。
  3. 在左侧导航选择 网站设置 ,然后点击 新建站点
  4. 选择接入方式为 应用型负载均衡(ALB),根据配置说明并配置参数。
    图片
  5. 点击提交

说明

接入完成后,网站设置列表自动生成防护网站记录,并默认启用防护。

配置说明

参数

说明

网站配置

防护域名

  • 填写需要接入防护的域名,支持泛域名或精准域名。
  • 您的防护域名须经过 ICP备案,未备案域名将无法正常添加。

说明

如需同时配置泛域名和域名主体本身,请分别配置。如:需要同时配置*.b.a.comb.a.com,需要分别接入域名并配置策略。

负载均衡与监听器

在下拉列表中选择可用的监听器,WAF 会根据您配置的应用型负载均衡转发规则匹配对应域名的监听器信息。

说明

如无可选项,请确认输入的防护域名是否已经配置了对应的转发规则。

日志采集

选择当前域名的日志服务的启用状态。

  • 开启:域名规则创建完成后开始采集该域名产生的日志数据。
  • 关闭:域名规则创建完成后不会采集该域名产生的日志数据。

说明

如果需要开启日志服务,需要先完成 WAF 访问日志服务的跨服务授权,让 WAF 服务获取日志采集和存储权限。

接入能力

代理配置

需要配置的网站在接入 WAF 前是否使用了高防、CDN 等七层代理。

  • :防护域名接入 WAF 前没有配置代理,与WAF建立连接的 IP(取X-Real-Ip)将作为客户端 IP。
  • :防护域名接入 WAF 前已经配置代理,因此 WAF 收到的业务请求是由其他七层代理服务转发,不是直接来自发起请求的客户端,需要进一步配置客户端 IP 判定方式。具体如下:
    • X-Forwarded-For 字段获取客户端真实 IP:通过 X-Forwarded-For 字段中第一个公网 IP 地址作为客户端真实 IP 地址。

      注意

      X-Forwarded-For 字段获取客户端真实 IP 方式, 可能存在攻击者伪造XFF字段的风险。

    • 自定义 Header 字段:按匹配字段添加顺序获取客户端 IP 并将其作为客户端真实 IP 。

      说明

      • 自定义 Header 字段获取客户端真实 IP 方式,单个 ALB 实例下每个域名最多可配置5个自定义Header字段。
      • 若匹配字段无法获取客户端 IP,则通过 X-Forwarded-For 字段获取客户端真实 IP。
      • 若 X-Forwarded-For 字段由于伪造非法 IP 无法获取客户端真实 IP,则取X-Real-Ip字段作为客户端IP。

网站列表

说明

最新 WAF 防护网站列表的相关文档,参见管理已添加网站信息

网站设置网站列表 页面中展示已接入 WAF 后的网站基本信息,包括源服务器IP、接入方式、协议类型、接入状态、防护状态、攻击信息等。具体字段说明如下:

字段

说明

防护网站

已接入 WAF防护的网站域名。点击域名名称,可了解网站基本信息。包括防护域名、监听协议类型、WAF回源IP、负载均衡算法、回源协议、私有网络、源站配置、接入方式、CNAME值。

源服务器 IP

接入 WAF 的网站对外提供服务的源站 IP 地址。

接入方式

网站接入 WAF 集群方式支持:

  • CNAME 接入:包括 SaaS 型和高防型,详见WAF防护-网站设置
  • 负载均衡接入:ALB实例接入 WAF防护。

协议类型

接入 WAF 的网站使用的协议类型,当前支持:

  • HTTP。
  • HTTPS。

接入状态

网站接入 WAF 集群的状态。

防护状态

当前不同防护策略的启用状态,点击具体防护策略即可进入此策略的配置页面。支持防护策略包括:漏洞防护、CC防护、访问黑名单、访问白名单、地理防护控制、自定义拦截响应、防敏感信息泄漏、API 防护、请求加白、字段加白、托管 bot 分类、自定义 bot 分类。

3天攻击监控

近3天网站遭受攻击的情况。

操作

支持对接入WAF的网站进行编辑、防护设置及删除操作。

  • 编辑:编辑修改已接入 WAF防护的网站设置。
  • 防护设置:修改网站不同防护策略的具体防护规则。
  • 删除:对于负载均衡型接入的域名,直接删除即可。