You need to enable JavaScript to run this app.
导航
应用型负载均衡
  • 文档首页
    • /
  • 应用型负载均衡

WAF 防护

最近更新时间2022.09.14 14:29:31

首次发布时间2022.09.14 14:29:31

我的收藏

ALB 可以与火山引擎 Web应用防火墙(Web Application Firewall,WAF)联动,您可在 WAF 控制台接入 ALB 实例。ALB 实例接入 WAF 后,系统通过监测分析经过 ALB 的流量,对攻击流量进行清洗,实现业务转发和安全防护的分离。

接入 WAF 防护

前提条件

  • 已开通火山引擎 Web应用防火墙并购买 WAF 实例。
  • 所需防护域名已备案,且未添加到 WAF。
  • 网站服务在火山引擎上,已使用 ALB 进行流量负载均衡服务,服务正常进行。

说明

更多关于火山引擎 Web应用防火墙内容,请参见官网文档

操作步骤

  1. 登录火山引擎 Web应用防火墙控制台
  2. 单击左侧导航栏中的 网站设置,进入网站设置页面。
  3. 网站设置 页面,点击 负载均衡接入
  4. 负载均衡接入 标签页,添加防护域名并完成代理配置,详见配置说明。确认配置信息无误后点击 下一步
  5. 选择待接入 WAF 的 ALB 实例、转发协议、端口号。若存在转发多个端口流量的业务需求,请勾选多个端口。确认配置信息无误后,点击 确定 ,完成 ALB 实例接入 WAF防护。

配置说明

配置字段说明
防护域名请填写待接入的网站域名,此域名应与监听器中的域名相同。

代理配置

请确认需要配置的网站在接入 WAF 前是否使用了高防、CDN等七层代理。

  • 否:网站接入 WAF 前没有配置代理,与WAF建立连接的 IP(取X-Real-Ip)作为客户端 IP。

  • 是:网站接入 WAF 前已经配置代理,因此 WAF 收到的业务请求是由其他七层代理服务转发,不是直接来自发起请求的客户端,需要进一步配置客户端 IP 判定方式。具体如下:

    • X-Forwarded-For 字段获取客户端真实 IP :通过 X-Forwarded-For 字段中第一个公网 IP 地址作为客户端真实 IP 地址。

    • 自定义 Header 字段获取客户端真实 IP:按匹配字段添加顺序获取客户端 IP 并将其作为客户端真实 IP 地址。

说明

  • X-Forwarded-For 字段获取客户端真实 IP 方式, 可能存在攻击者伪造XFF字段的风险。
  • 自定义 Header 字段获取客户端真实 IP 方式,单一实例每个域名最多可配置5个自定义Header字段。
    • 若匹配字段无法获取客户端 IP,则通过 X-Forwarded-For 字段获取客户端真实 IP。
    • 若 X-Forwarded-For 字段由于伪造非法 IP 无法获取客户端真实 IP,则取X-Real-Ip字段作为客户端IP。

网站列表

网站设置网站列表 页面中展示已接入 WAF 后的网站基本信息,包括源服务器IP、接入方式、协议类型、接入状态、防护状态、攻击信息等。具体字段说明如下:

字段说明
防护网站		已接入 WAF防护的网站。点击网站名称,可了解网站基本信息。包括防护域名、监听协议类型、WAF回源IP、负载均衡算法、回源协议、私有网络、源站配置、接入方式、CNAME值。
源服务器 IP接入 WAF 的网站对外提供服务的源站 IP 地址。

接入方式

网站接入 WAF 集群方式支持:

  • CNAME 接入:包括 SaaS 型和高防型,详见WAF防护-网站设置

  • 负载均衡接入:ALB实例接入 WAF防护。

协议类型

接入 WAF 的网站使用的协议类型,当前支持:

  • HTTP。

  • HTTPS。

接入状态网站接入 WAF 集群的状态。
防护状态当前不同防护策略的启用状态,点击具体防护策略即可进入此策略的配置页面。支持防护策略包括:漏洞防护、CC防护、访问黑名单、访问白名单、地理防护控制、自定义拦截响应、防敏感信息泄漏、API 防护、请求加白、字段加白、托管 bot 分类、自定义 bot 分类。
3天攻击监控近3天网站遭受攻击的情况。

操作

支持对接入WAF的网站进行编辑、防护设置及删除操作。

  • 编辑:编辑修改已接入 WAF防护的网站设置。

  • 防护设置:修改网站不同防护策略的具体防护规则。

  • 删除:对于负载均衡型接入的域名,直接删除即可。