如果您的源站服务器为ECS服务器或者部署在阿里云公网SLB上,那么除了使用DNS反向代理接入,您还可以选择使用云原生的透明接入方式接入WAF防护。在这种模式下,无需修改域名DNS解析、设置源站保护,同时无需改变服务器获取真实源IP的方式,保护您在SLB和ECS上的Web业务正常运转。

前提条件

  • 已开通Web应用防火墙按量计费版本、包年包月服务的高级版、企业版、旗舰版、独享版。详细版本请参见套餐规格与功能说明
  • 仅支持使用域名接入,不支持使用IP地址接入。
  • 目前,仅支持源站服务器部署在华北2(北京)、华东1(杭州)、华东2(上海)、华南1(深圳)、西南1(成都)地区中的ECS实例和部分SLB实例接入,其他地区还在更新支持中。
    说明 由于历史网络架构的原因,部分公网SLB不支持透明接入。
    具体开通咨询,请通过下面钉钉服务群二维码联系我们。二维码
  • 域名网站如果托管在中国内地(大陆)的服务器上,该域名需要完成ICP备案。

背景信息

您可以通过CNAME接入或透明接入两种方式,使您的网站流量可以受到Web应用防火墙的保护。
使用透明接入模式具有以下优势:
  • 无需修改DNS解析,无需设置源站保护,防护更简单、安全。
  • 全透明代理防护,无需修改配置,源站即可直接获取访问者真实IP。
  • 支持基于业务端口上传默认证书,运维更便捷。
  • 支持任意非标业务端口接入防护,更灵活(企业版及以上版本提交工单申请后开放)。

配置源站信息

接入网站前,您首先要为需要防护的源站ECS添加端口,完成源站信息的配置后,才能将服务器的流量转发到Web应用防火墙进行分析和处理。

  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地海外地区)。
  3. 在左侧导航栏单击资产中心 > 网站接入
  4. 网站接入页面单击左上角切换按钮,选择透明接入
    切入透明模式
  5. 服务器列表中,单击网站接入或直接单击列表中的端口号,完成以下配置向导。
    服务器列表展示了Web应用防火墙读取到的当前阿里云账号下的源站ECS公网IP地址或ECS EIP地址(源站ECS需要部署在华北2才支持透明接入)。
    说明 如果您之前从未使用网站接入功能接入任何域名,控制台界面将打开Web应用防火墙的欢迎页面。您需要在该页面中单击下一步,开始接入,跳转至服务器列表页面。
    网站配置向导
    1. IP输入框中,单击选择需要防护域名对应的ECS IP地址或直接手动输入ECS IP地址。
    2. 单击添加端口,选择该域名的网站服务器端口支持的协议,并输入端口号。
      1. 选择协议状态。可选择HTTP协议和HTTPS协议。
        如果域名使用HTTPS协议,则在选中HTTPS协议类型后,必须上传证书才可以添加网站。支持选择的证书类型:
        • 手动上传:手动输入证书名称证书文件私钥文件内容。验证证书-手动上传
        • 选择已有证书:从证书列表选择要使用的证书。单击云盾-证书服务,可以跳转到SSL证书管理控制台管理证书。
        • 默认证书:默认证书是指您之前在该端口上配置过的证书。默认证书可以默认解析当前端口中全部的HTTPS流量。如果域名证书不存或者匹配错误时,WAF使用默认证书匹配流量,进行转发和解析。
      2. 输入服务器端口
        如果您输入的端口号不在Web应用防火墙支持的范围内,您将无法成功添加端口。建议您在输入服务器端口前,单击添加端口对话框左下角的查看可选范围,选择可以配置的端口号。您最多可以添加10个端口。查看可选端口
        说明 Web应用防火墙旗舰版和独享版支持50个非标端口(包含80、8080、443、8443端口在内);企业版和高级版支持10个非标端口(包含80、8080、443、8443端口在内)。不同版本实例支持防护的规格请参见套餐规格与功能说明。企业版及以上版本可提交工单申请支持任意非标端口。
    3. 单击保存,该新添加的端口会显示在选择并配置源站信息页面。
    4. 单击下一步
    5. 选择并配置网站信息页面,从域名列表中选出一个您需要防护的域名,并单击下一步
      您也可以在选择并配置源站信息页面,单击添加域名,完成添加域名的配置。详细内容请参见添加域名选择并配置网站信息
      说明 添加的域名时,如果未配置域名证书或者证书匹配错误时,WAF将使用默认证书匹配HTTPS流量,进行转发和解析。
    6. 单击确认迁移
      迁移完成后,源站ECS的流量将被牵引到Web应用防火墙,并受到Web应用防火墙的防护。服务器列表中也会展示该域名及其端口信息,并且Web流量状态开关会自动开启(刷新页面后Web流量状态更新为运行中)。网站完成接入并开启防护

添加域名

您在透明模式下执行网站接入时,必须先添加端口号后再添加需要防护的域名信息。如果域名所属的网站业务流量对应的IP+端口不属于已迁引状态,单独添加域名将无防护效果。

  1. 登录Web应用防火墙控制台
  2. 在左侧导航栏单击资产中心 > 网站接入
  3. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地海外地区)。
  4. 网站接入页面单击左上角切换按钮,选择透明接入
    切换透明接入模式
  5. 透明接入页面,单击添加域名。您也可以在完成源站信息配置后,在选择并配置源站信息页面,单击添加域名,完成添加域名的配置。
    参数 说明
    域名 输入要防护的域名。 支持以下域名类型:
    • 通配符域名

      例如:*.aliyun.com。使用通配符域名后,Web应用防火墙将自动匹配该通配符域名对应的所有子域名。

    • 精确域名

      例如:例如www.aliyun.com。如果同时存在通配符域名和精确域名配置,则精确域名的转发规则和防护策略优先生效。

    说明 暂不支持添加.edu域名。如果您需要添加.edu域名,请提交工单联系售后技术支持。
    协议类型 选择网站使用的网络协议类型。可选值:
    • HTTP
    • HTTPS:如果网站支持HTTPS加密,请选择HTTPS协议并在添加域名后上传域名的证书和私钥文件。更多信息,请参见上传HTTPS证书。如果未上传证书,WAF将自动使用该端口的默认证书。
    WAF前是否有七层代理(高防/CDN等) 如果在Web应用防火墙前有配置其他七层代理服务(WAF、DDoS高防、CDN)进行业务转发,请务必选择,否则Web应用防火墙将无法获取访问网站的客户端真实IP。更多信息,请参见以下文档:

    如果在Web应用防火墙前不需要配置其他七层代理服务进行业务转发,请选择
    流量标记 填写一个空闲的Header字段名称和自定义Header字段值,用来标识经过Web应用防火墙转发到源站的Web请求。

    Web请求经过Web应用防火墙后,Web应用防火墙在请求中添加此处指定的字段,方便您的后端服务统计信息。

    注意 如果Web请求中本身包含此处定义的头部字段,Web应用防火墙将用此处的设定值覆盖原Web请求中对应字段的内容。

    更多信息,请参见设置流量标记
    资源组 从资源组列表中选择域名所属的资源组。
    完成接入域名后,如果再次添加同一个域名,WAF将提示域名重复配置
    成功添加域名后,Web应用防火墙将依据域名对应的防护策略检测访问请求,并将处理后的正常请求返回到源站服务器。

后续步骤

完成接入流程后,网站访问流量将经过Web应用防火墙保护。Web应用防火墙包含多种防护检测模块,帮助网站防御不同类型的安全威胁,其中正则防护引擎CC安全防护模块默认开启,分别用于防御常见的Web应用攻击(例如SQL注入、XSS跨站、webshell上传等)和CC攻击,其他防护模块需要您手动开启并配置具体防护规则。更多信息,请参见网站防护配置概述