類型

云產品接入

CNAME接入

混合云接入

SDK集成

反向代理接入

實現原理

• 通過SDK模塊化的方式將WAF集成在云產品的網關中，通過內嵌在網關中的SDK提取流量并進行檢測和防護。

• 該過程中，WAF不參與流量轉發，避免因額外引入一層轉發而帶來各種兼容性和穩定性問題。

• 通過添加引流端口到WAF的方式，使云產品網關自動改變路由，將Web業務引流到WAF。WAF會攔截攻擊請求并將正常業務請求轉發回源站服務器。

• 該過程中，WAF作為反向代理集群，同時參與流量的轉發和檢測防護。

• 通過添加域名，并將域名的DNS解析指向WAF的CNAME地址，使域名的Web業務引流到WAF。WAF會攔截攻擊請求并將正常業務請求轉發回源站服務器。

• 該過程中，WAF作為反向代理集群，同時參與流量的轉發和檢測防護。

• 反向代理接入模式：將網站域名或IP接入WAF，并將DNS解析指向WAF的防護集群地址。混合云WAF集群對所有代理的訪問請求進行安全檢測。

• SDK集成模式：在統一接入網關上部署SDK插件，SDK插件將網關的業務流量復制一份到WAF防護集群。該模式下，混合云WAF防護集群不參與流量轉發，實現業務轉發與檢測分離。

推薦場景

如果Web業務已啟用阿里云應用型負載均衡（Application Load Balancer，簡稱ALB）、微服務引擎（Microservices Engine，簡稱MSE）、函數計算（Function Compute，簡稱FC）、Serverless 應用引擎（Serverless App Engine，簡稱SAE）或云原生API網關（簡稱APIG），建議您選擇該接入方式。

如果Web業務已啟用阿里云傳統型負載均衡（Classic Load Balancer，簡稱CLB）上、云服務器（Elastic Compute Service，簡稱ECS），建議您選擇該接入方式。

如果Web業務不支持云產品接入場景，可選擇CNAME接入方式。

• 業務特殊，流量無法上公共云的本地Web業務防護。

• 業務同時部署在阿里云、其他公共云、私有云、線下IDC、VPC內網，需要統一的Web業務防護方案。

• 對時延敏感、可靠性要求高，需要跨多網絡環境做多活容災的統一防護。

接入對象

• 部署在ALB、MSE或APIG上的實例，包含實例上的所有域名。

• 部署在FC或SAE上的自定義域名。

部署在CLB或ECS上的實例，包含實例上的所有域名。

域名。

域名/IP。

接入步驟

• 在ALB或MSE控制臺，為實例或域名開啟WAF防護。具體操作步驟，請參見為ALB實例開啟WAF防護、為MSE云原生網關實例開啟WAF防護

• 在ALB、MSE或APIG控制臺，為實例或域名開啟WAF防護。具體操作步驟，請參見為ALB實例開啟WAF防護、為MSE云原生網關實例開啟WAF防護、為APIG實例開啟WAF防護。

• 在FC控制臺，為自定義域名開啟WAF防護。具體操作步驟，請參見為FC自定義域名開啟WAF防護。

• 在SAE 2.0控制臺，為應用綁定的域名開啟WAF防護。具體操作步驟，請參見為SAE 2.0自定義域名開啟WAF防護。

在WAF控制臺，將NLB、CLB或ECS實例的引流端口添加到WAF。具體操作步驟，請參見為NLB開啟WAF防護、為七層CLB（HTTP/HTTPS）開啟WAF防護、為四層CLB（TCP）開啟WAF防護或為ECS開啟WAF防護。

• 步驟一：添加域名，將您的域名添加到接入管理中。

• 步驟二：本地驗證，驗證WAF的網站轉發配置是否生效。

• 步驟三：放行WAF回源IP段，如果源站服務器安裝了其他防火墻應用，您需要將WAF IP地址添加到該應用的白名單，避免WAF轉發回源站的正常業務請求被誤攔截。

• 步驟四：修改域名DNS解析設置，修改域名DNS解析設置，將域名的DNS解析地址設置為WAF提供的CNAME地址或WAF IP地址。

具體操作步驟，請參見混合云接入。