為七層CLB(HTTP/HTTPS)開(kāi)啟WAF防護(hù)
如果您已創(chuàng)建阿里云傳統(tǒng)型負(fù)載均衡(Classic Load Balancer,簡(jiǎn)稱CLB)實(shí)例,且已為端口添加HTTP或HTTPS監(jiān)聽(tīng),您可以將該端口添加到Web應(yīng)用防火墻(Web Application Firewall,簡(jiǎn)稱WAF),將Web業(yè)務(wù)引流到WAF防護(hù)。本文介紹如何為七層CLB(HTTP/HTTPS)開(kāi)啟WAF防護(hù)。
背景信息
CLB通過(guò)設(shè)置虛擬服務(wù)地址,將添加的同一地域的多臺(tái)云服務(wù)器虛擬成一個(gè)高性能和高可用的后端服務(wù)池,并根據(jù)轉(zhuǎn)發(fā)規(guī)則,將來(lái)自客戶端的請(qǐng)求分發(fā)給后端服務(wù)器池中的云服務(wù)器。更多信息,請(qǐng)參見(jiàn)什么是傳統(tǒng)型負(fù)載均衡CLB。
WAF支持為七層CLB實(shí)例開(kāi)啟安全防護(hù)。將七層CLB實(shí)例接入WAF后,實(shí)例所有的Web業(yè)務(wù)流量將被指定網(wǎng)關(guān)牽引到WAF進(jìn)行檢測(cè)。WAF過(guò)濾Web應(yīng)用攻擊后,將正常的業(yè)務(wù)流量轉(zhuǎn)發(fā)回CLB服務(wù)器。具體網(wǎng)絡(luò)架構(gòu)如下圖所示:
使用限制
云產(chǎn)品接入適用于快速將阿里云ALB、MSE、FC、CLB、ECS、NLB、SAE 2.0或APIG資源接入WAF防護(hù)。如需防護(hù)非阿里云資源的Web應(yīng)用,請(qǐng)通過(guò)CNAME接入方式將域名下業(yè)務(wù)接入WAF,具體操作請(qǐng)參見(jiàn)添加域名。
限制項(xiàng)類型 | 描述 |
支持的實(shí)例 | 同時(shí)滿足:
|
支持的地域 |
|
引流端口配置的數(shù)量 | 與防護(hù)對(duì)象數(shù)量保持一致:
|
TLS安全策略 | 配置HTTPS監(jiān)聽(tīng)的引流端口僅支持CLB內(nèi)置的TLS安全策略。如果該端口配置了內(nèi)置TLS安全策略以外的其他自定義TLS安全策略,會(huì)導(dǎo)致接入失敗。更多信息,請(qǐng)參見(jiàn)TLS安全策略有哪些。 |
業(yè)務(wù)同時(shí)接入DDoS高防和WAF | 如果您的業(yè)務(wù)需要同時(shí)接入DDoS高防和WAF,則只有在業(yè)務(wù)通過(guò)域名接入(即七層接入模式)接入DDoS高防時(shí),該業(yè)務(wù)才支持通過(guò)透明接入模式接入WAF。 |
前提條件
已開(kāi)通WAF 3.0服務(wù)。具體操作,請(qǐng)參見(jiàn)開(kāi)通包年包月WAF 3.0、開(kāi)通按量付費(fèi)WAF 3.0。
已創(chuàng)建滿足使用限制的CLB實(shí)例,且已為CLB實(shí)例添加HTTP或HTTPS監(jiān)聽(tīng)。關(guān)于使用限制描述,請(qǐng)參見(jiàn)使用限制。關(guān)于為CLB實(shí)例添加HTTP或HTTPS監(jiān)聽(tīng)的具體操作,請(qǐng)參見(jiàn)添加HTTP監(jiān)聽(tīng)、添加HTTPS監(jiān)聽(tīng)。
如果您開(kāi)通的是包年包月實(shí)例,請(qǐng)確認(rèn)您的實(shí)例還可以添加防護(hù)對(duì)象。否則,將無(wú)法進(jìn)行云產(chǎn)品接入。
您可以訪問(wèn)防護(hù)對(duì)象頁(yè)面,查看實(shí)例還可以添加的防護(hù)對(duì)象數(shù)。
添加引流端口
實(shí)例接入WAF時(shí),Web業(yè)務(wù)可能會(huì)出現(xiàn)秒級(jí)閃斷。在客戶端可自動(dòng)重連的情況下該閃斷會(huì)自動(dòng)恢復(fù),不會(huì)對(duì)您的業(yè)務(wù)造成影響,請(qǐng)您關(guān)注業(yè)務(wù)并根據(jù)業(yè)務(wù)系統(tǒng)評(píng)估準(zhǔn)備重連或回源等相關(guān)容災(zāi)機(jī)制。
CLB(HTTP/HTTPS)實(shí)例接入WAF后,如果進(jìn)行如下操作,引流端口會(huì)自動(dòng)取消接入。您需要重新添加端口,否則,業(yè)務(wù)流量將不會(huì)經(jīng)過(guò)WAF防護(hù)。
更換實(shí)例上綁定的公網(wǎng)IP
引流端口的證書(shū)更換為非數(shù)字證書(shū)管理服務(wù)(原 SSL 證書(shū))下發(fā)的證書(shū)
開(kāi)啟雙向認(rèn)證
接入WAF防護(hù)的監(jiān)聽(tīng)端口被刪除
CLB實(shí)例被刪除
登錄Web應(yīng)用防火墻3.0控制臺(tái)。在頂部菜單欄,選擇WAF實(shí)例的資源組和地域(中國(guó)內(nèi)地、非中國(guó)內(nèi)地)。
在左側(cè)導(dǎo)航欄,單擊接入管理。
選擇云產(chǎn)品接入頁(yè)簽,在左側(cè)云產(chǎn)品類型列表,選擇CLB(HTTP/HTTPS)。
根據(jù)頁(yè)面提示,單擊立即授權(quán),完成云產(chǎn)品授權(quán)。
完成后,阿里云將自動(dòng)為您創(chuàng)建WAF服務(wù)關(guān)聯(lián)角色AliyunServiceRoleForWAF。您可以在RAM控制臺(tái)的頁(yè)面,查看阿里云為WAF自動(dòng)創(chuàng)建的服務(wù)關(guān)聯(lián)角色。
說(shuō)明如果您已經(jīng)完成云產(chǎn)品授權(quán),則授權(quán)頁(yè)面不會(huì)出現(xiàn),您可以直接執(zhí)行后續(xù)步驟。
單擊接入。
在接入資產(chǎn)- 七層CLB面板,完成如下配置。
配置項(xiàng)
相關(guān)操作
選擇需要添加的實(shí)例&端口
同步最新資產(chǎn)
如果要添加的實(shí)例未同步到實(shí)例列表,單擊同步最新資產(chǎn),更新實(shí)例列表。
添加端口
定位到要添加的實(shí)例,單擊操作列的添加端口。
選擇要添加的HTTP或HTTPS端口,單擊確定。
重要如果要添加HTTPS端口,請(qǐng)確認(rèn)該端口配置的證書(shū)是通過(guò)阿里云數(shù)字證書(shū)管理服務(wù)(原 SSL 證書(shū))購(gòu)買(mǎi)的,或已上傳到數(shù)字證書(shū)管理服務(wù)(原 SSL 證書(shū))。否則會(huì)因?yàn)?span id="z68uejxpaoma" class="help-letter-space">WAF證書(shū)來(lái)源校驗(yàn)失敗,而造成實(shí)例接入失敗。更多信息,請(qǐng)參見(jiàn)添加HTTPS引流端口時(shí),顯示CLB證書(shū)不全,該如何處理?
七層CLB(HTTP/HTTPS)實(shí)例存在過(guò)期證書(shū)或來(lái)源為手動(dòng)上傳證書(shū),無(wú)法同步CLB實(shí)例證書(shū)。您需要替換過(guò)期證書(shū)或把來(lái)源為手動(dòng)上傳的證書(shū)更換為數(shù)字證書(shū)管理服務(wù)(原SSL)的證書(shū),登錄SSL證書(shū)控制臺(tái)。
WAF前是否有七層代理(高防/CDN等)
如果網(wǎng)站在接入WAF前啟用了其他七層代理服務(wù)(例如DDoS高防、CDN等),配置該功能。
選擇否(默認(rèn)),表示WAF收到客戶端直接發(fā)起的業(yè)務(wù)請(qǐng)求(不是從其他代理服務(wù)轉(zhuǎn)發(fā)的請(qǐng)求)。
說(shuō)明WAF直接取與WAF建立連接的IP(來(lái)自請(qǐng)求的
REMOTE_ADDR字段)作為客戶端IP。選擇是,表示WAF收到的業(yè)務(wù)請(qǐng)求來(lái)自其他七層代理服務(wù)轉(zhuǎn)發(fā)(不是客戶端直接發(fā)起的請(qǐng)求)。為保證WAF可以獲取真實(shí)的客戶端IP進(jìn)行安全分析,您需要進(jìn)一步設(shè)置客戶端IP判定方式。
WAF默認(rèn)讀取請(qǐng)求Header字段
X-Forwarded-For(XFF)中的第一個(gè)IP地址作為客戶端IP。如果您的網(wǎng)站業(yè)務(wù)已通過(guò)其他代理服務(wù)的設(shè)置,規(guī)定將客戶端源IP放置在某個(gè)自定義的Header字段(例如,X-Client-IP、X-Real-IP),則您需要選擇該選項(xiàng),并在指定Header字段框中輸入對(duì)應(yīng)的Header字段。
說(shuō)明推薦您在業(yè)務(wù)中使用自定義Header存放客戶端IP,并在WAF中配置對(duì)應(yīng)Header字段。該方式可以避免攻擊者偽造XFF字段,躲避WAF的檢測(cè)規(guī)則,提高業(yè)務(wù)的安全性。
支持輸入多個(gè)Header字段。每輸入完一個(gè)Header字段,按回車進(jìn)行確認(rèn)。如果設(shè)置了多個(gè)Header,WAF將按順序嘗試讀取客戶端IP。如果第一個(gè)Header不存在,則讀取第二個(gè),以此類推。如果所有指定Header都不存在,則讀取XFF中第一個(gè)IP地址作為客戶端IP。
資源組
從資源組列表中選擇該域名所屬資源組。如果不選擇,則默認(rèn)加入默認(rèn)資源組。
說(shuō)明您可以使用資源管理服務(wù)創(chuàng)建資源組,根據(jù)業(yè)務(wù)部門(mén)、項(xiàng)目等維度對(duì)云資源進(jìn)行分組管理。更多信息,請(qǐng)參見(jiàn)創(chuàng)建資源組。
高級(jí)設(shè)置
WAF 3.0 會(huì)默認(rèn)為經(jīng)過(guò)的 HTTP 請(qǐng)求自動(dòng)插入
X-Forwarded-Proto頭部,用于標(biāo)識(shí)與 WAF 之間的通信協(xié)議使用的是HTTP還是HTTPS協(xié)議訪問(wèn)代理服務(wù)器。如果您的網(wǎng)站應(yīng)用程序無(wú)法正確處理該頭部,可能會(huì)導(dǎo)致一些兼容性問(wèn)題,影響業(yè)務(wù)正常運(yùn)行。您可以選擇關(guān)閉 WAF 自動(dòng)插入該頭部的功能,避免此類問(wèn)題發(fā)生。啟用流量標(biāo)記可以幫助源站區(qū)分經(jīng)過(guò)WAF的請(qǐng)求,獲取客戶真實(shí)源IP或源端口。
例如,如果攻擊者在域名接入WAF前,已獲取源站IP信息,并通過(guò)購(gòu)買(mǎi)其他WAF實(shí)例,將請(qǐng)求回源到目標(biāo)源站時(shí),您可以在源站對(duì)啟用流量標(biāo)記的字段進(jìn)行校驗(yàn)。如果請(qǐng)求中存在指定標(biāo)記字段,則為WAF檢測(cè)后的正常請(qǐng)求,放行該請(qǐng)求;如果請(qǐng)求中不存在指定標(biāo)記字段,則為攻擊者請(qǐng)求,攔截該請(qǐng)求。
您可以配置如下類型的標(biāo)記字段:
通過(guò)配置Header名和Header值,使WAF在回源請(qǐng)求中添加該Header信息,標(biāo)記經(jīng)過(guò)WAF的請(qǐng)求(區(qū)分沒(méi)有經(jīng)過(guò)WAF的請(qǐng)求,便于您的后端服務(wù)統(tǒng)計(jì)分析)。
例如,您可以使用
ALIWAF-TAG: Yes標(biāo)記經(jīng)過(guò)WAF的請(qǐng)求,其中,ALIWAF-TAG為Header名,Yes為Header值。通過(guò)配置真實(shí)客戶端源IP所在的頭部字段名,WAF可記錄該頭部字段并將該頭部字段傳遞回源站。關(guān)于WAF判定客戶端真實(shí)源IP的具體規(guī)則,請(qǐng)參見(jiàn)WAF前是否有七層代理(高防/CDN等)參數(shù)的描述。
通過(guò)配置真實(shí)客戶端源端口所在的頭部字段名,WAF可記錄該頭部字段并將該頭部字段傳遞回源站。
重要請(qǐng)不要填寫(xiě)標(biāo)準(zhǔn)的HTTP頭部字段(例如User-Agent等),否則會(huì)導(dǎo)致標(biāo)準(zhǔn)頭部字段內(nèi)容被自定義的字段值覆蓋。
單擊新增標(biāo)記,可以增加標(biāo)記字段。最多支持設(shè)置5個(gè)標(biāo)記字段。
如果WAF與您的源站之間出現(xiàn)長(zhǎng)連接超時(shí)響應(yīng)問(wèn)題時(shí),您可以根據(jù)實(shí)際業(yè)務(wù)情況,調(diào)節(jié)長(zhǎng)連接超時(shí)時(shí)間、復(fù)用次數(shù)、空閑長(zhǎng)連接超時(shí)時(shí)間。
設(shè)置讀連接超時(shí)時(shí)間:WAF等待源站響應(yīng)的時(shí)間。超過(guò)該時(shí)間,則WAF斷開(kāi)該連接。默認(rèn)值為120s,可配置范圍為1s~3600s。
設(shè)置寫(xiě)連接超時(shí)時(shí)間:WAF向源站發(fā)送請(qǐng)求的時(shí)間。超過(guò)該時(shí)間,則源站斷開(kāi)該連接。默認(rèn)值為120s,可配置范圍為1s~3600s。
回源長(zhǎng)連接:如果您需要配置長(zhǎng)連接的復(fù)用次數(shù)或空閑長(zhǎng)連接超時(shí)間,您可以開(kāi)啟該功能,并設(shè)置以下參數(shù)。
復(fù)用長(zhǎng)連接的請(qǐng)求個(gè)數(shù):WAF可以向源站同時(shí)發(fā)送的請(qǐng)求或接收的響應(yīng)的個(gè)數(shù)。默認(rèn)值為1000個(gè),可配置范圍為60個(gè)~1000個(gè)。
空閑長(zhǎng)連接超時(shí)時(shí)間:空閑長(zhǎng)連接的關(guān)閉時(shí)間。默認(rèn)值為3600s,可配置范圍為10s~3600s。
確認(rèn)并選中要添加的實(shí)例后,單擊確定。
完成接入后,WAF會(huì)自動(dòng)生成一個(gè)命名為“實(shí)例id-端口-資產(chǎn)類型”的防護(hù)對(duì)象,并為該防護(hù)對(duì)象默認(rèn)開(kāi)啟基礎(chǔ)防護(hù)規(guī)則。您可以在接入列表,單擊已接入的實(shí)例ID,在防護(hù)對(duì)象頁(yè)面,查看自動(dòng)添加的防護(hù)對(duì)象,并為其配置防護(hù)規(guī)則。具體操作,請(qǐng)參見(jiàn)防護(hù)配置概述。
管理WAF
在WAF側(cè)管理WAF防護(hù)
登錄Web應(yīng)用防火墻3.0控制臺(tái)。在頂部菜單欄,選擇WAF實(shí)例的資源組和地域(中國(guó)內(nèi)地、非中國(guó)內(nèi)地)。
在左側(cè)導(dǎo)航欄,單擊接入管理。
管理WAF防護(hù)
在云產(chǎn)品接入頁(yè)簽,從左側(cè)云產(chǎn)品類型列表中選擇CLB(HTTP/HTTPS),查看已接入的CLB實(shí)例。
設(shè)置防護(hù)對(duì)象和防護(hù)規(guī)則
開(kāi)啟WAF防護(hù)后,WAF會(huì)自動(dòng)生成一個(gè)后綴為-clb7的防護(hù)對(duì)象,并為該防護(hù)對(duì)象默認(rèn)開(kāi)啟基礎(chǔ)防護(hù)規(guī)則。您可以在接入列表,單擊已接入的實(shí)例ID,在防護(hù)對(duì)象頁(yè)面,查看自動(dòng)添加的防護(hù)對(duì)象,并為其配置防護(hù)規(guī)則。具體操作,請(qǐng)參見(jiàn)防護(hù)配置概述。
查看源站服務(wù)器和取消接入
實(shí)例接入WAF后,您可以查看源站服務(wù)器的詳細(xì)防護(hù)信息,以及在需要緊急容災(zāi)的情況下強(qiáng)制關(guān)閉引流或刪除引流端口。
在CLB(HTTP/HTTPS)分頁(yè),單擊目標(biāo)實(shí)例前的
圖標(biāo),展開(kāi)查看該實(shí)例下已添加到WAF防護(hù)的端口。
查看端口詳情:?jiǎn)螕?b id="2c351d8045eek" data-tag="uicontrol" data-isbold="true" class="uicontrol">端口詳情,查看端口、協(xié)議、配置的證書(shū)信息,設(shè)置WAF前是否有七層代理(高防/CDN等)、啟用流量標(biāo)記(高級(jí)設(shè)置)、配置回源長(zhǎng)連接(高級(jí)設(shè)置)。
取消接入:?jiǎn)螕裟繕?biāo)實(shí)例名稱操作列的取消接入,在取消接入對(duì)話框,單擊確定。
重要取消接入WAF時(shí),Web業(yè)務(wù)可能會(huì)出現(xiàn)秒級(jí)閃斷。在客戶端可自動(dòng)重連的情況下該閃斷會(huì)自動(dòng)恢復(fù),不會(huì)對(duì)您的業(yè)務(wù)造成影響,請(qǐng)您關(guān)注業(yè)務(wù)并根據(jù)業(yè)務(wù)系統(tǒng)評(píng)估準(zhǔn)備重連或回源等相關(guān)容災(zāi)機(jī)制。
取消接入后,您資產(chǎn)上的流量將不再受到WAF保護(hù),您可以單擊接入,重新添加端口。具體操作,請(qǐng)參見(jiàn)添加引流端口。
更新引流端口綁定的證書(shū)
如果證書(shū)即將到期或其他原因?qū)е伦C書(shū)發(fā)生變更(例如證書(shū)被吊銷)時(shí),您需要更新引流端口綁定的證書(shū)。
證書(shū)的剩余有效期不足30個(gè)自然日時(shí),WAF會(huì)在接入列表的證書(shū)信息處,通過(guò)
圖標(biāo),提示您的證書(shū)即將過(guò)期,請(qǐng)盡快更新證書(shū)。如果您希望在證書(shū)即將到期時(shí),收到郵件、短信等提醒,您可以設(shè)置SSL證書(shū)消息提醒,具體操作,請(qǐng)參見(jiàn)設(shè)置SSL證書(shū)消息提醒。
為避免您的業(yè)務(wù)因證書(shū)到期無(wú)法正常使用,您可以開(kāi)通阿里云數(shù)字證書(shū)管理服務(wù)(原 SSL 證書(shū))的證書(shū)托管服務(wù),在證書(shū)即將到期時(shí)幫您自動(dòng)申請(qǐng)并更新證書(shū)。更多信息,請(qǐng)參見(jiàn)什么是托管服務(wù)。
具體操作如下所示:
續(xù)費(fèi)證書(shū)或?qū)⒆C書(shū)上傳到數(shù)字證書(shū)管理服務(wù)(原 SSL 證書(shū))。具體操作,請(qǐng)參見(jiàn)SSL證書(shū)續(xù)費(fèi)或上傳和共享SSL證書(shū)。
同步證書(shū)到七層CLB實(shí)例。
在數(shù)字證書(shū)管理服務(wù)(原 SSL 證書(shū))控制臺(tái)部署證書(shū)到七層CLB實(shí)例。具體操作,請(qǐng)參見(jiàn)部署SSL證書(shū)到阿里云產(chǎn)品。
在負(fù)載均衡控制臺(tái)更新證書(shū)。具體操作,請(qǐng)參見(jiàn)替換證書(shū)。
如果在 CLB 控制臺(tái)直接更換證書(shū),WAF 會(huì)自動(dòng)同步。如果從數(shù)字證書(shū)管理服務(wù)(原 SSL 證書(shū))控制臺(tái)更新 CLB 上的證書(shū),您需要在 WAF 控制臺(tái)執(zhí)行如下操作:
在頁(yè)簽,單擊接入。
在接入資產(chǎn)- 七層CLB面板,單擊同步最新資產(chǎn),手動(dòng)同步更新。
如果引流端口更換的證書(shū)為非數(shù)字證書(shū)管理服務(wù)(原 SSL 證書(shū))購(gòu)買(mǎi)的證書(shū),引流端口會(huì)自動(dòng)取消接入。您需要在更換證書(shū)后重新添加端口,具體操作,請(qǐng)參見(jiàn)。
如果對(duì)應(yīng)的七層CLB實(shí)例關(guān)聯(lián)有過(guò)期證書(shū),則WAF側(cè)無(wú)法同步最新證書(shū),需要將過(guò)期證書(shū)刪除后再同步最新證書(shū)。
在CLB側(cè)管理WAF防護(hù)
在頂部菜單欄,選擇實(shí)例所屬的地域。
管理WAF防護(hù)。
操作
步驟
查看實(shí)例是否開(kāi)啟WAF防護(hù)
選擇以下任意一種方式查看實(shí)例是否開(kāi)啟WAF防護(hù)。顯示防護(hù)中,表示已開(kāi)啟WAF防護(hù)。
方式一:在實(shí)例管理頁(yè)面,找到目標(biāo)實(shí)例,將鼠標(biāo)懸停在實(shí)例名稱后的
圖標(biāo),在氣泡框的Web安全防護(hù)區(qū)域,查看防護(hù)狀態(tài)。方式二:
在實(shí)例管理頁(yè)面,找到目標(biāo)實(shí)例,單擊實(shí)例ID。
在實(shí)例詳情頁(yè)簽,在基本信息區(qū)域查看WAF安全防護(hù)的狀態(tài)。
方式三:
在實(shí)例管理頁(yè)面,找到目標(biāo)實(shí)例,單擊實(shí)例ID。
在實(shí)例詳情頁(yè)簽,單擊安全防護(hù)頁(yè)簽,在Web應(yīng)用安全防護(hù)區(qū)域查看防護(hù)狀態(tài)。
查看WAF安全報(bào)表
查看WAF安全報(bào)表,請(qǐng)確保您的CLB實(shí)例已開(kāi)啟WAF防護(hù)。
方式一:在實(shí)例管理頁(yè)面,找到目標(biāo)實(shí)例,將鼠標(biāo)懸停在實(shí)例名稱后的
圖標(biāo),在氣泡框的Web安全防護(hù)區(qū)域,單擊查看WAF安全報(bào)表進(jìn)入WAF 3.0控制臺(tái)的安全報(bào)表頁(yè)面查看。方式二:
在實(shí)例管理頁(yè)面,找到目標(biāo)實(shí)例,單擊實(shí)例ID。
在實(shí)例詳情頁(yè)簽,在基本信息區(qū)域單擊WAF安全防護(hù)右側(cè)的查看WAF安全報(bào)表進(jìn)入WAF 3.0控制臺(tái)的安全報(bào)表頁(yè)面查看。
方式三:
在實(shí)例管理頁(yè)面,找到目標(biāo)實(shí)例,單擊實(shí)例ID。
在實(shí)例詳情頁(yè)簽,單擊安全防護(hù)頁(yè)簽,在Web應(yīng)用安全防護(hù)區(qū)域單擊防護(hù)配置管理,在Web應(yīng)用安全防護(hù)管理頁(yè)面進(jìn)入WAF 3.0控制臺(tái)的安全報(bào)表頁(yè)面查看。
更多信息,請(qǐng)參見(jiàn)安全報(bào)表。
關(guān)閉WAF防護(hù)
關(guān)閉WAF防護(hù)后,CLB實(shí)例上的業(yè)務(wù)流量將不再受WAF防護(hù),安全報(bào)表中也不再包含相關(guān)業(yè)務(wù)流量的防護(hù)數(shù)據(jù)。
重要ALB實(shí)例上的業(yè)務(wù)流量不受WAF防護(hù)后,WAF側(cè)不會(huì)產(chǎn)生請(qǐng)求處理費(fèi)。但您已經(jīng)配置的防護(hù)規(guī)則仍會(huì)產(chǎn)生對(duì)應(yīng)的功能費(fèi)。建議您在取消業(yè)務(wù)接入前,先刪除已配置的防護(hù)規(guī)則,避免產(chǎn)生額外計(jì)費(fèi)。更多信息,請(qǐng)參見(jiàn)計(jì)費(fèi)說(shuō)明、防護(hù)配置概述。
方式一:
在實(shí)例管理頁(yè)面,找到目標(biāo)實(shí)例,在操作列選擇
> 管理。在監(jiān)聽(tīng)頁(yè)面,找到目標(biāo)實(shí)例,將鼠標(biāo)懸停在目標(biāo)實(shí)例名稱后的
圖標(biāo),在氣泡框中單擊關(guān)閉防護(hù)。在關(guān)閉Web應(yīng)用防火墻防護(hù)對(duì)話框中,選擇確定。
方式二:
在實(shí)例管理頁(yè)面,找到目標(biāo)實(shí)例,單擊實(shí)例ID。
在實(shí)例詳情頁(yè)簽,單擊監(jiān)聽(tīng)頁(yè)簽,找到目標(biāo)實(shí)例,將鼠標(biāo)懸停在目標(biāo)實(shí)例名稱后的
圖標(biāo),在氣泡框中單擊關(guān)閉防護(hù)。在關(guān)閉Web應(yīng)用防火墻防護(hù)對(duì)話框中,選擇確定。
方式三:
在實(shí)例管理頁(yè)面,找到目標(biāo)實(shí)例,單擊實(shí)例ID。
在實(shí)例詳情頁(yè)簽,單擊安全防護(hù)頁(yè)簽,在Web應(yīng)用安全防護(hù)區(qū)域,單擊防護(hù)配置管理。
在Web應(yīng)用安全防護(hù)管理頁(yè)面,在Web應(yīng)用安全防護(hù)列,點(diǎn)擊
圖標(biāo),在關(guān)閉成功對(duì)話框中,選擇確定。
常見(jiàn)問(wèn)題
驗(yàn)證七層CLB(HTTP/HTTPS)是否成功接入WAF
在瀏覽器中輸入域名進(jìn)行訪問(wèn)測(cè)試,如果網(wǎng)站可以正常訪問(wèn),則表示WAF接入成功。
在域名后輸入SQL惡意攻擊代碼驗(yàn)證防護(hù)效果,例如
xxx.xxxx.com?id=1 and 1=1,返回如下 405 攔截提示頁(yè)面,則表示攻擊被攔截。
CLB提供基于四層 (TCP協(xié)議和UDP協(xié)議)和七層(HTTP協(xié)議和HTTPS協(xié)議)的負(fù)載均衡:
四層監(jiān)聽(tīng)將請(qǐng)求直接轉(zhuǎn)發(fā)給后端服務(wù)器。客戶端請(qǐng)求到達(dá)CLB后,CLB根據(jù)監(jiān)聽(tīng)中配置的后端口修改報(bào)文的目的IP和目的端口,并將流量轉(zhuǎn)發(fā)給對(duì)應(yīng)的后端服務(wù)器,客戶端和后端服務(wù)器建立TCP連接。
七層監(jiān)聽(tīng)原理上是反向代理的一種實(shí)現(xiàn)。客戶端請(qǐng)求到達(dá)CLB后,CLB與后端服務(wù)器建立TCP連接,即再次通過(guò)新TCP連接HTTP協(xié)議訪問(wèn)后端服務(wù)器,而不是直接轉(zhuǎn)發(fā)報(bào)文到后端服務(wù)器。七層監(jiān)聽(tīng)比四層監(jiān)聽(tīng)在底層實(shí)現(xiàn)上多了一個(gè)Tengine處理環(huán)節(jié)。此外,客戶端端口不足、后端服務(wù)器連接過(guò)多等場(chǎng)景可能導(dǎo)致七層服務(wù)性能不高,如果您對(duì)性能有很高的要求,建議您選擇四層監(jiān)聽(tīng)。
更多詳細(xì)信息,請(qǐng)參見(jiàn)CLB監(jiān)聽(tīng)概述。
為七層CLB(HTTP/HTTPS)開(kāi)啟WAF防護(hù) ,可以把HTTP、HTTPS 兩個(gè)端口同時(shí)接入嗎?
可以。
CLB接入時(shí)報(bào)錯(cuò)提示“端口號(hào)為443的CLB證書(shū)不全,請(qǐng)到CLB控制臺(tái)重新選擇來(lái)源是SSL證書(shū)服務(wù)的證書(shū)。”
需要登錄SSL證書(shū)控制臺(tái)續(xù)費(fèi)或者上傳證書(shū),在CLB重新選擇這個(gè)證書(shū),才可以在WAF中接入使用。具體操作,請(qǐng)參見(jiàn)SSL證書(shū)續(xù)費(fèi)或上傳和共享SSL證書(shū)。
相關(guān)文檔
如需監(jiān)聽(tīng)獲取客戶端真實(shí)IP,請(qǐng)參見(jiàn)通過(guò)CLB七層監(jiān)聽(tīng)獲取客戶端真實(shí)IP。
如需排查接入配置頁(yè)面找不到示例,請(qǐng)參見(jiàn)接入配置頁(yè)面找不到需要接入的CLB實(shí)例或ECS實(shí)例的排查方法。