為更好地支持個(gè)性化業(yè)務(wù)的應(yīng)用防護(hù)需求,Web應(yīng)用防火墻WAF(Web Application Firewall)提供獨(dú)享版,即采用虛擬獨(dú)享集群,支持基于業(yè)務(wù)特性的定制化接入和防護(hù)能力。

背景信息

為了特定的業(yè)務(wù)需求,網(wǎng)站業(yè)務(wù)可能使用非常規(guī)的設(shè)計(jì)方式實(shí)現(xiàn)。獨(dú)享集群支持將具有定制化需求的業(yè)務(wù)系統(tǒng)接入WAF,為業(yè)務(wù)提供全面的應(yīng)用層攻擊防護(hù)。

購(gòu)買WAF獨(dú)享版后,您可以根據(jù)業(yè)務(wù)特性自定義獨(dú)享集群的業(yè)務(wù)配置,具體包括:

  • 集群所在地區(qū):支持自主選擇集群地區(qū)。
  • 集群端口設(shè)置:支持更大范圍的非標(biāo)端口的接入防護(hù),支持基于HTTP、HTTPSHTTP 2.0協(xié)議的自定義回源端口配置。
    說明 僅不支持22、53、9100、4431、4646、8301、6060、8600、56688、15001、4985、4986、4987這些特定的系統(tǒng)端口。
  • SNI認(rèn)證:支持上傳默認(rèn)SNI證書,允許暫不支持標(biāo)準(zhǔn)SNI協(xié)議的客戶端設(shè)備正常訪問網(wǎng)站。
  • 防護(hù)響應(yīng)頁(yè)面:支持配置已上傳至阿里云CDN的靜態(tài)頁(yè)面URL,WAF將使用該頁(yè)面作為防護(hù)響應(yīng)頁(yè)面,提升網(wǎng)站用戶體驗(yàn)。
  • TLS安全策略: 支持自主選擇TLS協(xié)議版本與加密套件。
  • 長(zhǎng)鏈接超時(shí)配置:支持自定義建立連接、請(qǐng)求、響應(yīng)的超時(shí)時(shí)長(zhǎng)。

創(chuàng)建獨(dú)享集群

購(gòu)買或升級(jí)至WAF獨(dú)享版后,您可以選擇使用虛擬獨(dú)享防護(hù)集群和公共防護(hù)集群兩種形式的防護(hù)資源對(duì)您的網(wǎng)站進(jìn)行防護(hù)。使用獨(dú)享集群前,需要根據(jù)您的業(yè)務(wù)特性創(chuàng)建獨(dú)享集群。

  1. 登錄Web應(yīng)用防火墻控制臺(tái),在頂部菜單欄,選擇WAF實(shí)例的資源組和地域(中國(guó)內(nèi)地、非中國(guó)內(nèi)地)。
  2. 在左側(cè)導(dǎo)航欄,選擇系統(tǒng)管理 > 獨(dú)享設(shè)置。
  3. 獨(dú)享設(shè)置頁(yè)面,根據(jù)業(yè)務(wù)特性設(shè)置集群配置。
    • 選擇集群地區(qū)。
      說明 獨(dú)享集群創(chuàng)建完成后,集群地區(qū)無法變更。
    • 設(shè)置服務(wù)器端口范圍:選擇協(xié)議類型,單擊自定義,填寫服務(wù)器端口范圍并單擊保存。當(dāng)您將網(wǎng)站域名配置接入獨(dú)享集群時(shí),可快速選擇獨(dú)享集群服務(wù)器端口范圍中的端口。
    • 設(shè)置防護(hù)響應(yīng)頁(yè)面URL:填寫已上傳至阿里云CDN的靜態(tài)頁(yè)面URL,接入獨(dú)享集群防護(hù)的網(wǎng)站業(yè)務(wù)將使用該頁(yè)面作為WAF的防護(hù)響應(yīng)頁(yè)面。
    • 填寫默認(rèn)SNI證書文件私鑰文件內(nèi)容:上傳默認(rèn)SNI證書。
    • HTTPS協(xié)議加密設(shè)置。
      • TLS協(xié)議版本:默認(rèn)為支持TLS1.0及以上版本,兼容性最高,安全性較低。您可以根據(jù)安全需要選擇僅支持TLS1.1TLS1.2以上版本。
      • 加密套件
        • 選擇協(xié)議版本的自定義加密套件、請(qǐng)謹(jǐn)慎選擇,避免影響業(yè)務(wù),支持基于域名維度自定義TLS版本和加密套件。TLS支持單獨(dú)自定義,加密套件支持強(qiáng)加密、弱加密以及單個(gè)算法的自定義。
        • 選擇強(qiáng)加密套件,兼容性較低,安全性較高,僅支持以下強(qiáng)加密套件:
          • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
          • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
          • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
          • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
          • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
          • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
          • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
          • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
          • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
          • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
        • 選擇全部加密套件,兼容性較高,安全性較低,則除上述強(qiáng)加密套件外還支持以下弱加密套件:
          • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
          • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
          • TLS_RSA_WITH_AES_128_GCM_SHA256
          • TLS_RSA_WITH_AES_256_GCM_SHA384
          • TLS_RSA_WITH_AES_128_CBC_SHA256
          • TLS_RSA_WITH_AES_256_CBC_SHA256
          • TLS_RSA_WITH_AES_128_CBC_SHA
          • TLS_RSA_WITH_AES_256_CBC_SHA
          • SSL_RSA_WITH_3DES_EDE_CBC_SHA
    • 設(shè)置長(zhǎng)連接超時(shí)時(shí)長(zhǎng)。
      • 鏈接超時(shí)時(shí)長(zhǎng):設(shè)置建立鏈接的超時(shí)時(shí)長(zhǎng),可設(shè)置5~3600秒間的值。
      • 讀鏈接超時(shí)時(shí)長(zhǎng):設(shè)置讀取類鏈接的超時(shí)時(shí)長(zhǎng),可設(shè)置120~3600秒間的值。
      • 寫鏈接超時(shí)時(shí)長(zhǎng):設(shè)置寫入類鏈接的超時(shí)時(shí)長(zhǎng),可設(shè)置120~3600秒間的值。
  4. 單擊立即創(chuàng)建。
    系統(tǒng)將根據(jù)所設(shè)定的集群配置為您創(chuàng)建獨(dú)享集群,創(chuàng)建集群大約需要20分鐘。獨(dú)享集群創(chuàng)建完成后,您可以在頁(yè)面查看和修改獨(dú)享集群的相關(guān)設(shè)置。

后續(xù)步驟

獨(dú)享集群創(chuàng)建完成后,您就可以將具有定制化需求的業(yè)務(wù)接入獨(dú)享集群進(jìn)行防護(hù)。具體分為以下場(chǎng)景:
  • 您可以在新添加網(wǎng)站域名配置時(shí),將業(yè)務(wù)接入獨(dú)享集群進(jìn)行防護(hù)。更多信息,請(qǐng)參見添加域名。
  • 對(duì)于已添加的網(wǎng)站域名配置,您可以在網(wǎng)站接入頁(yè)面將該域名配置記錄的防護(hù)資源修改為獨(dú)享集群,將業(yè)務(wù)接入獨(dú)享集群進(jìn)行防護(hù)。
    您也可以使用該方法將已接入獨(dú)享集群的域名配置切換至公共集群。
    注意 由于獨(dú)享集群和公共集群的自定義端口范圍存在差異,切換時(shí)請(qǐng)務(wù)必確認(rèn)網(wǎng)站域名的自定義端口配置的兼容性。