背景信息

SAE是一款極簡易用、自適應彈性的容器化應用平臺，提供全托管的計算服務來運行您的程序。SAE支持Spring Cloud、Dubbo、HSF、Web應用和XXL-JOB、ElasticJob任務，支持網站、小程序、APP以及微服務應用。關于SAE的更多信息，請參見什么是Serverless應用引擎。

您可以在SAE 2.0創建應用，并為應用綁定自定義域名，使得訪問者可以通過固定域名訪問應用。

WAF通過SDK模塊化的方式與SAE 2.0原生架構集成，支持為SAE 2.0應用綁定的自定義域名開啟安全防護，通過識別應用的業務流量惡意特征，將正常和安全的流量回源至后端應用，避免應用被惡意侵入。

使用限制

• 云產品接入適用于快速將阿里云ALB、MSE、FC、CLB、ECS、NLB、SAE 2.0或APIG資源接入WAF防護。如需防護非阿里云資源的Web應用，請通過CNAME接入方式將域名下業務接入WAF，具體操作請參見添加域名。

• 僅支持為如下地域的SAE 2.0自定義域名開啟WAF防護：

  • 華東1（杭州）

  • 華東2（上海）

  • 華南1（深圳）

  • 華北2（北京）

  • 華北3（張家口）

• 通過SAE 2.0接入WAF的防護對象暫不支持以下功能：

  • 網頁防篡改

  • 信息泄露防護

  • Bot管理網頁防爬場景化防護中的自動集成Web SDK

  • API安全

前提條件

• 已開通中國內地地域的WAF 3.0服務。具體操作，請參見開通包年包月WAF 3.0、開通按量付費WAF 3.0。

• 如果您開通的是包年包月實例，請確認您的實例還可以添加防護對象。否則，將無法進行云產品接入。

  您可以訪問防護對象頁面，查看實例還可以添加的防護對象數。

• 要綁定到應用的自定義域名已完成備案。具體操作，請參見ICP備案流程。

• 已配置域名解析到您的應用對應地域的Endpoint上。具體操作，請參見通過自定義域名訪問應用。

操作步驟

1. 登錄Web應用防火墻3.0控制臺。在頂部菜單欄，選擇WAF實例的資源組和地域（中國內地）。

2. 在左側導航欄，單擊接入管理。

3. 選擇云產品接入頁簽，在左側云產品類型列表，選擇SAE，然后單擊接入。

4. 在SAE 2.0控制臺，單擊開通并體驗SAE 2.0公測版，開通SAE 2.0。

   僅SAE 2.0版本支持開通WAF防護。

5. 根據頁面提示，單擊確認創建，自動創建一個服務關聯角色，用于使用應用部署、應用監控、自動彈性等功能。

   • 自動創建的角色名稱為：AliyunServiceRoleForSAE

   • 角色權限策略為：AliyunServiceRolePolicyForSAE

   您可以在RAM控制臺的身份管理 > 角色頁面，查看阿里云為WAF自動創建的服務關聯角色。

   如果您已經創建服務關聯角色，則該頁面不會出現，您可以直接執行后續步驟。

6. 在應用列表頁面，單擊Web應用頁簽，創建應用。具體操作，請參見創建應用。

7. 在應用的基礎信息頁面的HTTP流量全托管區域，單擊創建自定義域名。

8. 完成如下配置后，單擊確定。

   配置項	說明
   域名	填寫自定義域名名稱。支持單域名（例如www.aliyun.com）或通配符域名（例如*.aliyun.com）。
   HTTPS	按需啟用或禁用HTTPS協議訪問自定義域名的功能。取值說明如下： 啟用：開啟通過HTTPS協議訪問自定義域名的功能。表示支持使用HTTP或HTTPS協議訪問該自定義域名。 說明 您還可以選中強制HTTPS復選框，此時僅支持使用HTTPS協議訪問該自定義域名，SAE 2.0會將所有使用HTTP協議訪問該自定義域名的請求重定向至HTTPS協議。 禁用：關閉通過HTTPS協議訪問自定義域名功能。表示僅支持使用HTTP協議訪問該自定義域名，使用HTTPS協議將無法訪問該自定義域名。
   證書類型	啟用HTTPS協議訪問自定義域名的功能時，需設置此配置項。選擇要上傳的證書類型。取值說明如下： 阿里云SSL證書：選擇您的阿里云SSL證書。如果證書名稱下拉列表為空，說明尚未購買阿里云SSL證書，您可以登錄數字證書管理服務控制臺購買。更多信息，請參見購買SSL證書。 手動上傳：手動輸入證書名稱，并填寫PEM證書內容和PEM證書密鑰。上傳的證書的大小不能超過20 KB，證書密鑰的大小不能超過4 KB。
   TLS協議版本	啟用HTTPS協議訪問自定義域名的功能時，需設置此配置項。選擇應用使用的TLS協議版本，如果不配置，則默認選擇TLS 1.0及以上版本協議，包括TLS 1.0、TLS 1.1和TLS 1.2協議。取值說明如下： 支持TLS 1.0及以上協議，兼容性最高，安全性較低：表示對TLS 1.0及以上所有協議版本生效，包括TLS 1.0、TLS 1.1和TLS 1.2協議。 支持TLS 1.1及以上協議，兼容性較好，安全性較好：表示對TLS 1.1及以上所有協議版本生效，包括TLS 1.1和TLS 1.2協議，使用TLS 1.0協議將無法訪問配置的自定義域名。 支持TLS 1.2及以上協議，兼容性較好，安全性最高：表示對TLS 1.2以上所有協議版本生效，僅包括TLS 1.2協議，使用TLS 1.0和TLS 1.1協議將無法訪問配置的自定義域名。 說明 選擇以上TLS協議版本后，您還可以選中開啟支持TLS 1.3復選框，表示同時支持TLS 1.3協議。
   加密套件	啟用HTTPS協議訪問自定義域名的功能時，需設置此配置項。選擇TLS加密算法套件，如果不配置，默認選擇全部加密套件。取值說明如下： 全部加密套件，兼容性最高，安全性較低：選擇全部加密套件，包括強加密套件和弱加密套件。 強加密套件 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305 弱加密套件 TLS_RSA_WITH_RC4_128_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_RC4_128_SHA TLS_ECDHE_RSA_WITH_RC4_128_SHA TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 協議版本的自定義加密套件，請謹慎選擇，避免影響業務：選擇部分支持的加密套件。下拉列表中顯示所有加密套件，您可以單擊加密套件右側的圖標，刪除安全性較弱的弱加密套件，保留您選擇的TLS協議版本支持的加密套件。 重要 請謹慎選擇自定義加密套件，確保服務端和客戶端套件的正確匹配。 關于TLS協議版本和其支持的加密套件，請參見通過自定義域名訪問應用。 SAE 2.0對加密套件的命名使用RFC命名規范。同一個加密套件，使用不同命名規范的命名會存在差異。關于RFC和OpenSSL命名的加密套件名稱差異點，請參見通過自定義域名訪問應用。
   Web應用防火墻	啟用Web應用防火墻。開啟后，WAF將為您的應用提供一站式安全防護，有效識別Web業務流量的惡意特征，避免應用被惡意入侵，保障業務安全和數據安全。

   完成上述配置后，您的應用綁定的自定義域名已接入WAF防護。您可以在接入管理 > 云產品接入 > SAE頁簽，查看已接入WAF的自定義域名。

   同時，WAF會自動生成一個命名為“應用ID-自定義域名-sae”的防護對象，并為該防護對象默認開啟Web核心防護規則。您可以返回WAF控制臺，在防護對象頁面，查看自動添加的防護對象，并為其配置防護規則。具體操作，請參見概述。

   

相關文檔

• 關于如何使用SAE 2.0在控制臺創建、更新、刪除以及啟停應用，請參見管理應用。

• 關于如何使用SAE 2.0為應用綁定自定義域名，請參見通過自定義域名訪問應用。