本文将指导您快速部署和使用阿里云Web应用防火墙WAF(Web Application Firewall)。您需要先购买WAF实例,然后完成网站接入和网站防护配置,即可为网站开启WAF防护。开启网站防护后,您可以通过WAF安全报表查看攻击防护记录和访问统计信息,掌握业务的安全状况。

步骤1:购买WAF实例

  1. 登录Web应用防火墙控制台
  2. 欢迎使用Web应用防火墙页面,单击购买包年包月或者开通按量付费,前往产品购买页面。
    如果您已经开通过Web应用防火墙,则欢迎使用Web应用防火墙页面不会出现,您可以直接在Web应用防火墙控制台使用产品,具体请参见步骤2:网站接入欢迎使用Web应用防火墙
  3. Web应用防火墙(包月)或者Web应用防火墙(按量计费)页面,选择需要开通的产品版本和规格,并完成购买。
    具体操作请参见开通Web应用防火墙
  4. 完成购买后,返回Web应用防火墙控制台。

步骤2:网站接入

网站接入指将需要防护的网站域名接入WAF实例,并修改网站域名的DNS解析到WAF,使访问网站的流量经过WAF,并受到WAF的防护。

说明 请确保在执行网站接入前,您已完成Web应用防火墙访问其他云资源的授权。首次访问Web应用防火墙控制台资产识别页面会要求进行授权,具体操作请参见授权WAF访问云资源
  1. 添加网站。
    1. 网站接入页面,单击添加域名
    2. 可选:域名一键接入页面,选择要添加的网站域名和协议类型,并单击立即自动添加网站
      WAF支持自动添加当前阿里云账号下的网站资产。如果您的阿里云账号下没有检测到网站资产,则域名一键接入页面不会出现,建议您参照下一步手动添加域名。
    3. 添加域名页面,根据配置向导手动添加网站域名信息。
      具体操作请参见手动添加网站
      说明 如果您的网站使用了DDoS高防、CDN等代理服务,则WAF前是否有七层代理(高防/CDN等)参数一定要选择,否则会导致WAF无法获取访问网站的客户端的真实IP。
      填写网站信息
    成功添加网站后,您可以在网站接入页面查看网站域名对应的WAF CNAME地址。CName地址
    注意 如果您的网站支持HTTPS协议,则在完成网站接入后您必须上传网站域名绑定的SSL证书,保证WAF可以正常处理HTTPS协议流量。具体操作请参见上传HTTPS证书
  2. 修改网站域名的DNS解析,将网站域名解析到对应的WAF CNAME地址。
    • 网站未使用WAF以外的代理服务(例如DDoS高防、CDN):前往域名DNS解析服务商的管理系统(如果您使用阿里云云解析DNS,则只需登录云解析DNS控制台),添加一条CNAME记录,并使用WAF提供的CNAME地址作为CNAME记录值。修改cname记录

      具体操作请参见修改域名DNS

    • 网站使用了其他代理服务(例如DDoS高防、CDN):前往代理服务的控制台,将代理服务的回源地址修改为WAF提供的CNAME地址,保证WAF可以接收到网站的访问请求。

      具体操作请参见同时部署WAF和DDoS高防同时部署WAF和CDN

步骤3:配置网站防护策略

完成接入流程后,网站访问流量将经过Web应用防火墙保护。Web应用防火墙包含多种防护检测模块,帮助网站应对不同类型的安全威胁,其中正则防护引擎CC安全防护模块默认开启,分别用于防御常见的Web应用攻击(例如SQL注入、XSS跨站、webshell上传等)和CC攻击,其他防护模块需要您手动开启并配置具体防护规则。更多信息,请参见网站防护配置概述

步骤4:查看安全报表

您可以在安全报表页面获取已接入防护的网站的防护记录和访问统计信息,具体操作请参见查看安全报表安全报表