防護對象和防護對象組都是防護規則的生效單元。您可以將防護對象或防護對象組關聯到防護模板,實現Web應用防火墻(Web Application Firewall,簡稱WAF)防護。本文介紹如何添加、管理防護對象和防護對象組。
背景信息
防護對象
防護對象是接入WAF防護的域名或云產品實例,是防護規則的最小生效單元。
防護對象可通過如下兩種方式生成:
自動添加:云產品接入的實例或CNAME接入的域名會自動被添加為防護對象。
手動添加:如果您需要為云產品接入的ALB實例、CLB實例或ECS實例中的某一個或多個域名單獨配置防護規則時,您可以手動將域名添加為防護對象。具體操作,請參見手動添加防護對象。
不同接入方式自動添加的防護對象、手動添加防護對象的支持情況,以及防護對象規格限制說明,如下表所示。
接入方式 | 自動添加的防護對象 | 是否支持手動添加防護對象 | 規格限制 |
云產品接入(為ALB實例開啟WAF防護) | ALB實例 | 支持將實例中的域名手動添加為防護對象 |
|
云產品接入(為MSE云原生網關實例開啟WAF防護) | MSE實例(包括實例下的路由) | 不支持 | |
云產品接入(為FC自定義域名開啟WAF防護) | 域名 | 不支持 | |
云產品接入(為七層CLB(HTTP/HTTPS)開啟WAF防護、為四層CLB(TCP)開啟WAF防護、為ECS開啟WAF防護) | CLB實例或ECS實例 | 支持將實例中的域名手動添加為防護對象 | |
域名 | 不支持 | ||
不支持 | 支持將接入的域名手動添加為防護對象 |
防護對象組
防護對象組是防護對象的合集,也是防護規則的生效單元。您可以將多個防護對象加入到一個防護對象組,通過為防護對象組配置防護規則,實現為組內所有防護對象批量配置防護規則。
一個防護對象只能歸屬于一個防護對象組。
前提條件
已開通WAF 3.0服務。具體操作,請參見開通包年包月WAF 3.0、開通按量付費WAF 3.0。
已在接入管理頁面完成Web業務接入。具體操作,請參見接入管理概述。
如果您需要手動添加CLB實例、ECS實例中的域名,且域名托管在中國內地服務器上,需完成阿里云ICP備案關于阿里云ICP備案的具體操作,請參見如何進行ICP備案。
說明在阿里云ICP代備案管理系統提交ICP備案訂單時,系統會根據您提交的基本信息自動識別本次提交訂單的ICP備案類型,自動為您匹配對應備案類型需進行的ICP備案流程。
手動添加防護對象
如果您需要單獨為如下域名配置防護規則,您需要手動將域名添加為防護對象:
通過云產品接入WAF的ALB實例、CLB實例或ECS實例中的域名。
通過混合云SDK集成模式接入WAF的域名。
登錄Web應用防火墻3.0控制臺。在頂部菜單欄,選擇WAF實例的資源組和地域(中國內地、非中國內地)
在左側導航欄,選擇
在防護對象頁簽,單擊添加防護對象。
在添加防護對象對話框,根據防護對象接入類型完成以下配置,單擊確定。
云產品
如果您需要將ALB實例、CLB實例或ECS實例中的域名添加為防護對象,選擇防護對象接入類型為云產品,并完成如下配置。
配置項
說明
域名
填寫要防護的域名。支持填寫精確域名(例如,
www.aliyundoc.com)或通配符域名(例如,*.aliyundoc.com)。說明通配符域名不能匹配對應的主域名,例如,
*.aliyundoc.com不能匹配aliyundoc.com。通配符域名不能匹配不同級別的子域名,例如,
*.aliyundoc.com不能匹配www.example.aliyundoc.com。通配符域名能夠匹配所有同級別的子域名,例如,
*.aliyundoc.com能夠匹配www.aliyundoc.com、example.aliyundoc.com等。如果防護對象中同時存在精確域名和能夠匹配該精確域名的通配符域名,精確域名的防護規則優先生效。
云產品
選擇域名服務器對應的云產品類型。可選項:
ALB:表示應用負載均衡ALB服務。
CLB4:表示四層傳統型負載均衡CLB服務。
CLB7:表示七層傳統型負載均衡CLB服務。
ECS:表示云服務器ECS服務。
實例
選擇域名服務器對應的實例ID。僅云產品類型為ALB時,需配置該項。
說明如果ALB實例不在列表中,請先完成云產品接入。具體操作,請參見為ALB實例開啟WAF防護。
加入防護對象組
根據需要,將防護對象加入到指定的防護對象組,方便為多個防護對象批量配置防護規則。
防護對象加入對象組后,只支持通過防護對象組來配置防護規則,不再支持單獨為防護對象配置防護規則。如果您希望單獨為防護對象配置防護規則,可跳過該設置。
說明如果要加入的防護對象組不存在,您可以跳過該設置,在創建防護對象組后,再將防護對象加入到防護對象組。關于創建防護對象組的具體操作,請參見創建防護對象組。
混合云SDK集成
如果需要將通過混合云SDK集成模式接入WAF 3.0的域名添加為防護對象,選擇防護對象接入類型為混合云SDK集成,并完成如下配置。
配置項
說明
防護對象名稱
填寫要添加的防護對象名稱。
域名/IP
填寫要防護的域名。支持填寫精確域名(例如,
www.aliyundoc.com)或通配符域名(例如,*.aliyundoc.com)。說明通配符域名不能匹配對應的主域名,例如,
*.aliyundoc.com不能匹配aliyundoc.com。通配符域名不能匹配不同級別的子域名,例如,
*.aliyundoc.com不能匹配www.example.aliyundoc.com。通配符域名能夠匹配所有同級別的子域名,例如,
*.aliyundoc.com能夠匹配www.aliyundoc.com、example.aliyundoc.com等。如果防護對象中同時存在精確域名和能夠匹配該精確域名的通配符域名,精確域名的防護規則優先生效。
URL
填寫要防護的URL路徑。
加入防護對象組
根據需要,將防護對象加入到指定的防護對象組,方便為多個防護對象批量配置防護規則。
防護對象加入對象組后,只支持通過防護對象組來配置防護規則,不再支持單獨為防護對象配置防護規則。如果您希望單獨為防護對象配置防護規則,可跳過該設置。
說明如果要加入的防護對象組不存在,您可以跳過該設置,在創建防護對象組后,再將防護對象加入到防護對象組。關于創建防護對象組的具體操作,請參見創建防護對象組。
成功添加防護對象后,您可以防護對象列表,查看并管理防護對象。具體操作,請參見管理防護對象。
創建防護對象組
您可以創建防護對象組,并關聯防護對象,批量為防護對象配置防護規則。
登錄Web應用防火墻3.0控制臺。在頂部菜單欄,選擇WAF實例的資源組和地域(中國內地、非中國內地)
在左側導航欄,選擇
在防護對象組頁簽,單擊新建對象組。
在新建防護對象組對話框,填寫防護對象組名稱、選擇關聯防護對象、添加備注信息后,單擊確定。
說明關聯防護對象中的待選擇對象列表只包含當前未加入任何防護對象組,并且只應用了默認防護規則模板的防護對象。
如果防護對象已經歸屬于其他防護對象組,您必須先將該防護對象從原有防護對象組中移出,然后才能將該防護對象加入到當前防護對象組。具體操作,請參見編輯防護對象組。
成功添加防護對象組后,您可以在防護對象組頁簽,管理防護對象組。具體操作,請參見管理防護對象組。
管理防護對象
您可以在防護對象頁簽,查看和管理防護對象。
功能 | 說明 | |
設置 | 客戶端IP設置 | 如果WAF前存在高防或CDN等反向代理設備,您可以設置客戶端IP判定方式,指定字段識別真實的客戶端IP,以供WAF識別并進行防護規則匹配(如IP黑名單)和報表展示(如攻擊源IP)。 單擊目標防護對象操作列的設置,配置WAF前是否有七層代理(高防/CDN等)、客戶端IP判定方式。更多信息,請參見WAF前是否有七層代理配置信息。 說明
|
cookie設置 | 使用CC防護、掃描防護等功能時,Cookie中不包含
| |
滑塊cookie | 滑塊驗證通過后,WAF會默認下發滑塊cookie 重要
| |
查看并配置防護規則 | 單擊目標防護對象操作列的查看防護規則,在防護規則頁面,為防護對象配置防護規則。 | |
加入防護對象組 | 定位到目標防護對象,選擇操作列的 如需將多個防護對象加入到同一個對象組,可以選中多個防護對象,單擊列表下方的加入防護組。 | |
查看防護日志 | 選擇目標防護對象操作列的 | |
刪除防護對象 | 定位到目標防護對象,選擇操作列的 說明
| |
為防護對象綁定或解除標簽 | 通過綁定的標簽,您可以在控制臺快速查找指定資源。
| |
> 加入對象組
圖標上,單擊編輯。管理防護對象組
您可以在防護對象組頁簽,查看和管理防護對象組。
功能 | 說明 | |
編輯防護對象組 | 單擊目標防護對象組操作列的編輯,將防護對象從待選擇對象移入已選擇對象組,或將防護對象移出已選擇對象組。 說明
| |
查看并配置防護規則 | 單擊目標防護對象操作列的配置規則,在防護規則頁面,為防護對象組配置防護規則。為防護對象組配置的規則將對對象組中的所有防護對象生效。 | |
刪除防護對象組 | 定位到目標防護對象組,單擊操作列的刪除。 說明 刪除防護對象組即取消當前對象組內所有防護對象的關聯,所有防護對象將自動應用默認防護規則模板。 | |