一,阿里云waf简介
阿里云WAF(Web应用程序防火墙)是一种高效、智能的云安全服务,旨在保护Web应用程序免受各种网络攻击的威胁。它可防止诸如SQL注入、跨站点脚本(XSS)和跨站点请求伪造(CSRF)等攻击,有效保障了Web应用程序的安全性与稳定性。 阿里云WAF在Web应用程序与互联网之间构建一道安全屏障,通过拦截和检测恶意流量,防止攻击者对您的Web应用程序进行攻击。它不仅覆盖了常见的网络攻击类型,还针对新兴的攻击手段进行了防护设计,确保您的Web应用程序在面对各种威胁时都能得到全方位的保护。
二,准备工作
在购买阿里云域名之前,
你需要注册一个阿里云账号,点击:注册阿里云账号
注册好了,然后到个人中心
做一下,实名认证,建议选择企业实名,这里建议不要选择个人实名,因为个人实名,阿里云是不会开具企业发票的。
实名完以后,则去购买阿里云waf,点击:购买阿里云waf
三,阿里云waf如何配置:CNAME接入
3.1,添加域名
1.登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)
2.在左侧导航栏,单击接入管理
3.在CNAME接入页签,单击接入。
4.在配置监听向导页,完成如下配置后,单击下一步
5.在配置转发向导页,完成如下配置后,单击提交
6.在接入完成向导页,获取WAF提供的CNAME地址,并根据页面提示将域名的DNS解析地址设置为WAF提供的CNAME地址
完成以上配置后,您可以执行如下操作,检测域名是否添加成功:
在浏览器输入已添加的域名,如果网站能正常访问,表示域名添加成功。
在览器输入日添加的域名和Web攻走码如 被防护域名/alertxss),alertx5)为作测减的跨对本攻击码),如果返回405载提示项面,表示攻击被拦载,WAF防护或功
3.2,修改域名DNS解析设置
一,获取WAF CNAME地址
修改域名DNS解析设置前,您需要先获取域名对应的WAF CNAME地址。如果您在添加域名时已经获得相关地址,请跳过以下操作
1.登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
2.在左侧导航栏,单击接入管理
3.单击CNAME接入页签
4.定位到已添加的域名,单击CNAME前的图标,复制域名对应的WAF CNAME地址
二,使用云解析DNS修改域名解析
如果您的城名解折托管在阿里云云解忻DNS,您可以直接参照以下步察进行操作,如果您使用其他服务商的DNS服务,请参明以下步察在域名DNS服务商的系统上进行类似否置
1.登录云解析DNS控制台。
2.在域名解析页面,定位到要设置的域名,单击其操作列下的解析设置
3.在解析设置页面,定位到要设置的主机记录,单击其操作列下的修改
关于主机记录的选择,以 aliyun.com 域名为例:
www: 用于精确匹配www开头的域名,例如 www.aliyun.com 。
用于匹配根域名,例如 aliyun.com 。
用于匹配泛域名,包括所有子域名,例如 blog.aliyun.com 、www.aliyun.com 等
4.在修改记录对话框,选择记录类型为CNAME,修改记录值为WAF CNAME地址,其余设置保持不变。
修改DNS解析记录时,需要注意以下情况:
TTL值一般建议设置为10分钟。TTL值越大,DNS记录的同步和更新越慢。
修改域名解析时,可能由于记录类型不同而产生冲突。
对于同一个主机记录,CNAME解析记录值只能填写一个,您需要将其修改为WAF CNAME地址。
不同DNS解析记录类型间存在冲突。例如,对于同一个主机记录,CNAME记录与A记录、MX记录、TXT记录等其他记录互相冲突。在无法直接修改记录类型的情况下,您可以先删除存在冲突的其他记录,再添加一条新的CNAME记录。
5.单击确定,完成解析设置修改,等待修改后的DNS解析记录生效.
6.验证DNS解析设置。您可以ping网站域名或使用DNS检测工具验证DNS解析是否生效
3.3,本地验证
以下操作以使用Windows操作系统的本地计算机为例进行描述。
1.打开本地计算机的文件资源管理器。
2.在地址栏输入C:WindowslSystem32ldriversletclhosts,并选择使用文本编辑器打开hosts文件
3.在hosts文件最后一行添加以下记录:
<WAF IP地址><被防护域名>
其中《被防护域名表示已在WAF添加的域名,<MAF IP地址表示城名对应的WAF IP地址。《MF IP地址》和域名之间使用空格分隔.获取WAF IP地址的操作步骤如下:
a.登录Web应用防火墙控制台
b.在顶部菜单栏,选择Web应用防火墙实例的资源组和地域 (中国内地、非中国内地)c.在左侧导航栏,选择资产中心, 网站接入
d.在域名列表中,定位到已添加的域名,将光标放置在域名上,然后单击0,复制域名对应的WAF Cname地址e.在Windows操作系统中,打开cmd命令行工具。
f. 执行以下命令:
g.在 ping 命令的返回结果中,记录域名对应的WAF IP地址示例:假设已在WAF添加的城名是 test,aliyundoc,com ,域名对应的WAF IP地址是 47,23,xx,xx ,则在hosts文件最后一行添加以下内容:
47.23.Xx.xx test.aliyundoc.com
4.保存修改后的hosts文件,并执行 ping <被防护域名>命令,验证hosts修改已生效
预期 ping 命令解析到的IP地址是域名对应的WAF IP地址,表示hosts修改已经生效
如果解析到了源站IP地址,请刷新本地的DNS缓存(可以执行 ,ipconfi /flushdns 命令) 并重新执ping命令,直到验证hosts修改已经生效.
5.打开本地计算机的浏览器,在地址栏输入被防护域名进行访问。如果网站路正常访间,说明WAF中添加的域名设置正有效,您以在将h0s文件复原后,放心修改域名的DNS近,将网流量近至WAF进行护,更多信息,请参见修改域名DNS释听设置如果网站访问不正常,说明WAF中添加的城名设置可能有问题,建议您检查WAF中的域名接入设置,修复问题后重新进行本地验证,更多信息,请参见添加域名。
5.可选: 本地模拟简单的Web攻击命令,查看WAF的防护效果。
例如,您可以在浏览器的地址栏输入<被防护域名>/alert(xss) (这是一个用作测试的Web攻击请求),查看针对Web应用攻击的防御效果,
预期WAF会返回一个拦截页面。
7.完成本地验证后,重新修改hosts文件,删除步骤3中添加的记录
3.4,放行WAF回源IP段
1.登录Web应用防火墙3.0控制台
2.在顶部菜单栏,选择Web应用防火墙实例的资源组和地域 (中国内地、非中国内地)
3.在左侧导航栏,单击接入管理
4.单击CNAME接入页签
5.在域名列表上方,单击Web应用防火墙回源IP网段列表
6.在回源IP段对话框,单击复制,将所有WAF回源IP复制到剪贴板.
3.5,验证域名归属权
3.6,WAF支持的加密套件
只有通过CNAME接入方式接入域名时,您可以在接入域名配置向导的配置监听任务中,自定义允许WAF使用的加密套件类型(如下图所示)。自定义加密套件类型后,WAF只监听支持指定加密套件的客户端的请求。更多信息
自定义加密套件
CNAME接入方式下,您可以通过自定义加密套件,只允许WAF监听支持以下一种或多种加密套件的客户端的业务请求:
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES128-SHA256
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES256-SHA384
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
AES256-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-ECDSA-AES256-SHA
ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES256-SHA
AES128-SHA
AES256-SHA
DES-CBC3-SHA
3.7,智能负载均衡
只有在CNAME接入方式下,您可以为接入WAF防护的域名启用智能负载均衡。
启用智能负载均衡的方法如下:
1.在Web应用防火墙3.0控制台的接入管理页面,单击CNAME接入页签下的接入,打开接入域名配置向导
2.在配置监听任务中,通过更多配置,将防护资源设置为共享集群智能负载均衡.
3.在配置转发任务中,选择负载均衡算法为Least time。
3.8,域名独享IP
只有在CNAME接入方式下,您可以为接入WAF防护的域名启用独享IP.启用独享IP的方法如下:
1.在Web应用防火墙3.0控制台的接入管理页面,单击CNAME接入页签下的接入,打开接入域名配置向导.
2.在配置监听任务中,通过更多配置,为域名打开开启独享IP开关如下图所示)。
开启独享IP后,WAF为该域名生成的CNAME地址将自动解析到一个新的WAF独享IP。您可以通过Ping域名的CNAME地址进行验证。
四,阿里云waf优势
阿里云WAF的创建与配置过程非常便捷。在阿里云控制台中,您只需选择“Web应用程序防火墙”并单击“创建WAF实例”,然后根据您的地域、计费方式以及业务需求设置实例的名称和描述即可完成创建。在WAF实例页面上,您可以添加您要保护的域名,并根据防护策略来确保您的Web应用程序免受不同类型的攻击。此外,您还可以配置哪些IP地址或IP地址段可以访问您的Web应用程序以及哪些URL路径需要进行访问控制,有效提升了应用流量的防护效果。 阿里云WAF还支持多种接入方式,如CNAME、云原生、混合云/多云等,使其能够轻松适应不同的IT环境。它通过采用DNS配置方式,将被防护域名的访问流量指向WAF,然后WAF将处理后的请求转发回源站,实现网站服务器网络隐身。这种设计无需修改DNS及对外IP,也无需源站保护,大大提升了安全性和稳定性。同时,由于所有流量转发均有ALB(负载均衡)负责,摆脱了网络限制,实现了更好的稳定性和性能。 阿里云WAF适用于各种场景,无论是云上云下、多云混合、线下IDC、专有云环境,还是互联专线或VPC之间的私网流量,都可以得到有效的防护。它支持流量的全程全量本地/其他公有云处理,并且阿里云仅设置控制台,便于统一的安全管理和运维控制。 总的来说,阿里云WAF是一种强大且高效的云安全服务,可以全方位地保护Web应用程序免受网络攻击的威胁。它不仅适用于各种场景,还具有易用性和智能性等特点,以及灵活的技术架构和高效的规则配置和统一管控能力。无论您是大型企业还是小型企业,阿里云WAF都能够为您提供安全、可靠、高效的解决方案。