阿里云waf简介和如何配置​

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
传统型负载均衡 CLB,每月750个小时 15LCU
.cn 域名,1个 12个月
简介: 阿里云WAF(Web应用程序防火墙)是一种高效、智能的云安全服务,旨在保护Web应用程序免受各种网络攻击的威胁。它可防止诸如SQL注入、跨站点脚本(XSS)和跨站点请求伪造(CSRF)等攻击,有效保障了Web应用程序的安全性与稳定性。 阿里云WAF在Web应用程序与互联网之间构建一道安全屏障,通过拦截和检测恶意流量,防止攻击者对您的Web应用程序进行攻击。它不仅覆盖了常见的网络攻击类型,还针对新兴的攻击手段进行了防护设计,确保您的Web应用程序在面对各种威胁时都能得到全方位的保护。

 

一,阿里云waf简介

阿里云WAF(Web应用程序防火墙)是一种高效、智能的云安全服务,旨在保护Web应用程序免受各种网络攻击的威胁。它可防止诸如SQL注入、跨站点脚本(XSS)和跨站点请求伪造(CSRF)等攻击,有效保障了Web应用程序的安全性与稳定性。 阿里云WAF在Web应用程序与互联网之间构建一道安全屏障,通过拦截和检测恶意流量,防止攻击者对您的Web应用程序进行攻击。它不仅覆盖了常见的网络攻击类型,还针对新兴的攻击手段进行了防护设计,确保您的Web应用程序在面对各种威胁时都能得到全方位的保护。

二,准备工作

在购买阿里云域名之前,

你需要注册一个阿里云账号,点击:注册阿里云账号

image.gif

注册好了,然后到个人中心


做一下,实名认证,建议选择企业实名,这里建议不要选择个人实名,因为个人实名,阿里云是不会开具企业发票的。

实名完以后,则去购买阿里云waf,点击:购买阿里云waf

image.gif

三,阿里云waf如何配置:CNAME接入

3.1,添加域名

1.登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)

2.在左侧导航栏,单击接入管理

3.在CNAME接入页签,单击接入。

4.在配置监听向导页,完成如下配置后,单击下一步

5.在配置转发向导页,完成如下配置后,单击提交

6.在接入完成向导页,获取WAF提供的CNAME地址,并根据页面提示将域名的DNS解析地址设置为WAF提供的CNAME地址

image.gif

完成以上配置后,您可以执行如下操作,检测域名是否添加成功:

在浏览器输入已添加的域名,如果网站能正常访问,表示域名添加成功。

在览器输入日添加的域名和Web攻走码如 被防护域名/alertxss),alertx5)为作测减的跨对本攻击码),如果返回405载提示项面,表示攻击被拦载,WAF防护或功

3.2,修改域名DNS解析设置

一,获取WAF CNAME地址

修改域名DNS解析设置前,您需要先获取域名对应的WAF CNAME地址。如果您在添加域名时已经获得相关地址,请跳过以下操作

1.登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。

2.在左侧导航栏,单击接入管理

3.单击CNAME接入页签

4.定位到已添加的域名,单击CNAME前的图标,复制域名对应的WAF CNAME地址

image.gif

二,使用云解析DNS修改域名解析

如果您的城名解折托管在阿里云云解忻DNS,您可以直接参照以下步察进行操作,如果您使用其他服务商的DNS服务,请参明以下步察在域名DNS服务商的系统上进行类似否置

1.登录云解析DNS控制台。

2.在域名解析页面,定位到要设置的域名,单击其操作列下的解析设置

3.在解析设置页面,定位到要设置的主机记录,单击其操作列下的修改

关于主机记录的选择,以 aliyun.com 域名为例:

www: 用于精确匹配www开头的域名,例如 www.aliyun.com 。

用于匹配根域名,例如 aliyun.com 。

用于匹配泛域名,包括所有子域名,例如 blog.aliyun.com 、www.aliyun.com 等

4.在修改记录对话框,选择记录类型为CNAME,修改记录值为WAF CNAME地址,其余设置保持不变。

image.gif

修改DNS解析记录时,需要注意以下情况:

TTL值一般建议设置为10分钟。TTL值越大,DNS记录的同步和更新越慢。

修改域名解析时,可能由于记录类型不同而产生冲突。

对于同一个主机记录,CNAME解析记录值只能填写一个,您需要将其修改为WAF CNAME地址。

不同DNS解析记录类型间存在冲突。例如,对于同一个主机记录,CNAME记录与A记录、MX记录、TXT记录等其他记录互相冲突。在无法直接修改记录类型的情况下,您可以先删除存在冲突的其他记录,再添加一条新的CNAME记录。

5.单击确定,完成解析设置修改,等待修改后的DNS解析记录生效.

6.验证DNS解析设置。您可以ping网站域名或使用DNS检测工具验证DNS解析是否生效

3.3,本地验证

以下操作以使用Windows操作系统的本地计算机为例进行描述。

1.打开本地计算机的文件资源管理器。

2.在地址栏输入C:WindowslSystem32ldriversletclhosts,并选择使用文本编辑器打开hosts文件

3.在hosts文件最后一行添加以下记录:

<WAF IP地址><被防护域名>

其中《被防护域名表示已在WAF添加的域名,<MAF IP地址表示城名对应的WAF IP地址。《MF IP地址》和域名之间使用空格分隔.获取WAF IP地址的操作步骤如下:

a.登录Web应用防火墙控制台

b.在顶部菜单栏,选择Web应用防火墙实例的资源组和地域 (中国内地、非中国内地)c.在左侧导航栏,选择资产中心, 网站接入

d.在域名列表中,定位到已添加的域名,将光标放置在域名上,然后单击0,复制域名对应的WAF Cname地址e.在Windows操作系统中,打开cmd命令行工具。

f. 执行以下命令:

image.gif

g.在 ping 命令的返回结果中,记录域名对应的WAF IP地址示例:假设已在WAF添加的城名是 test,aliyundoc,com ,域名对应的WAF IP地址是 47,23,xx,xx ,则在hosts文件最后一行添加以下内容:

47.23.Xx.xx test.aliyundoc.com

4.保存修改后的hosts文件,并执行 ping <被防护域名>命令,验证hosts修改已生效

预期 ping 命令解析到的IP地址是域名对应的WAF IP地址,表示hosts修改已经生效

如果解析到了源站IP地址,请刷新本地的DNS缓存(可以执行 ,ipconfi /flushdns 命令) 并重新执ping命令,直到验证hosts修改已经生效.

5.打开本地计算机的浏览器,在地址栏输入被防护域名进行访问。如果网站路正常访间,说明WAF中添加的域名设置正有效,您以在将h0s文件复原后,放心修改域名的DNS近,将网流量近至WAF进行护,更多信息,请参见修改域名DNS释听设置如果网站访问不正常,说明WAF中添加的城名设置可能有问题,建议您检查WAF中的域名接入设置,修复问题后重新进行本地验证,更多信息,请参见添加域名。

5.可选: 本地模拟简单的Web攻击命令,查看WAF的防护效果。

例如,您可以在浏览器的地址栏输入<被防护域名>/alert(xss) (这是一个用作测试的Web攻击请求),查看针对Web应用攻击的防御效果,

预期WAF会返回一个拦截页面。

image.gif

7.完成本地验证后,重新修改hosts文件,删除步骤3中添加的记录

3.4,放行WAF回源IP段

1.登录Web应用防火墙3.0控制台

2.在顶部菜单栏,选择Web应用防火墙实例的资源组和地域 (中国内地、非中国内地)

3.在左侧导航栏,单击接入管理

4.单击CNAME接入页签

5.在域名列表上方,单击Web应用防火墙回源IP网段列表

image.gif

6.在回源IP段对话框,单击复制,将所有WAF回源IP复制到剪贴板.

image.gif

3.5,验证域名归属权

image.gif
image.gif
image.gif

3.6,WAF支持的加密套件

只有通过CNAME接入方式接入域名时,您可以在接入域名配置向导的配置监听任务中,自定义允许WAF使用的加密套件类型(如下图所示)。自定义加密套件类型后,WAF只监听支持指定加密套件的客户端的请求。更多信息

image.gif

自定义加密套件

CNAME接入方式下,您可以通过自定义加密套件,只允许WAF监听支持以下一种或多种加密套件的客户端的业务请求:

ECDHE-ECDSA-AES128-GCM-SHA256

ECDHE-ECDSA-AES256-GCM-SHA384

ECDHE-ECDSA-AES128-SHA256

ECDHE-ECDSA-AES256-SHA384

ECDHE-RSA-AES128-GCM-SHA256

ECDHE-RSA-AES256-GCM-SHA384

ECDHE-RSA-AES128-SHA256

ECDHE-RSA-AES256-SHA384

AES128-GCM-SHA256

AES256-GCM-SHA384

AES128-SHA256

AES256-SHA256

ECDHE-ECDSA-AES128-SHA

ECDHE-ECDSA-AES256-SHA

ECDHE-RSA-AES128-SHA

ECDHE-RSA-AES256-SHA

AES128-SHA

AES256-SHA

DES-CBC3-SHA

3.7,智能负载均衡

只有在CNAME接入方式下,您可以为接入WAF防护的域名启用智能负载均衡。

启用智能负载均衡的方法如下:

1.在Web应用防火墙3.0控制台的接入管理页面,单击CNAME接入页签下的接入,打开接入域名配置向导

2.在配置监听任务中,通过更多配置,将防护资源设置为共享集群智能负载均衡.

image.gif

3.在配置转发任务中,选择负载均衡算法为Least time。

image.gif

3.8,域名独享IP

只有在CNAME接入方式下,您可以为接入WAF防护的域名启用独享IP.启用独享IP的方法如下:

1.在Web应用防火墙3.0控制台的接入管理页面,单击CNAME接入页签下的接入,打开接入域名配置向导.

2.在配置监听任务中,通过更多配置,为域名打开开启独享IP开关如下图所示)。

image.gif

开启独享IP后,WAF为该域名生成的CNAME地址将自动解析到一个新的WAF独享IP。您可以通过Ping域名的CNAME地址进行验证。

四,阿里云waf优势

阿里云WAF的创建与配置过程非常便捷。在阿里云控制台中,您只需选择“Web应用程序防火墙”并单击“创建WAF实例”,然后根据您的地域、计费方式以及业务需求设置实例的名称和描述即可完成创建。在WAF实例页面上,您可以添加您要保护的域名,并根据防护策略来确保您的Web应用程序免受不同类型的攻击。此外,您还可以配置哪些IP地址或IP地址段可以访问您的Web应用程序以及哪些URL路径需要进行访问控制,有效提升了应用流量的防护效果。 阿里云WAF还支持多种接入方式,如CNAME、云原生、混合云/多云等,使其能够轻松适应不同的IT环境。它通过采用DNS配置方式,将被防护域名的访问流量指向WAF,然后WAF将处理后的请求转发回源站,实现网站服务器网络隐身。这种设计无需修改DNS及对外IP,也无需源站保护,大大提升了安全性和稳定性。同时,由于所有流量转发均有ALB(负载均衡)负责,摆脱了网络限制,实现了更好的稳定性和性能。 阿里云WAF适用于各种场景,无论是云上云下、多云混合、线下IDC、专有云环境,还是互联专线或VPC之间的私网流量,都可以得到有效的防护。它支持流量的全程全量本地/其他公有云处理,并且阿里云仅设置控制台,便于统一的安全管理和运维控制。 总的来说,阿里云WAF是一种强大且高效的云安全服务,可以全方位地保护Web应用程序免受网络攻击的威胁。它不仅适用于各种场景,还具有易用性和智能性等特点,以及灵活的技术架构和高效的规则配置和统一管控能力。无论您是大型企业还是小型企业,阿里云WAF都能够为您提供安全、可靠、高效的解决方案。

相关文章
|
3月前
|
存储 容器
【Azure 事件中心】为应用程序网关(Application Gateway with WAF) 配置诊断日志,发送到事件中心
【Azure 事件中心】为应用程序网关(Application Gateway with WAF) 配置诊断日志,发送到事件中心
|
4月前
|
安全 API 开发者
|
弹性计算 缓存 运维
【运维知识进阶篇】用阿里云部署kod可道云网盘(DNS解析+CDN缓存+Web应用防火墙+弹性伸缩)(三)
【运维知识进阶篇】用阿里云部署kod可道云网盘(DNS解析+CDN缓存+Web应用防火墙+弹性伸缩)(三)
215 0
|
6月前
|
SQL 监控 安全
【阿里云云原生专栏】云原生安全体系构建:阿里云云防火墙与WAF的应用
【5月更文挑战第27天】阿里云云防火墙和WAF是构建云原生安全体系的关键产品,提供网络、主机和Web应用多维度防护。云防火墙采用分布式架构抵御网络攻击,确保应用安全稳定;WAF专注Web应用安全,防止SQL注入、XSS和DDoS等威胁。简单部署配置,结合使用可实现全面安全防护,提升企业云上应用安全性,保障业务安全运行。未来,阿里云将持续强化云原生安全建设。
334 1
|
6月前
|
云安全 数据采集 安全
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
阿里云提供两种关键安全产品:Web应用防火墙和云防火墙。Web应用防火墙专注网站安全,防护Web攻击、CC攻击和Bot防御,具备流量管理、大数据防御能力和简易部署。云防火墙是SaaS化的网络边界防护,管理南北向和东西向流量,提供访问控制、入侵防御和流量可视化。两者结合可实现全面的网络和应用安全。
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
|
应用服务中间件
阿里云的WAF(Web应用防火墙)3.0的虚拟代理
阿里云的WAF(Web应用防火墙)3.0的虚拟代理
188 2
|
安全 网络安全
阿里云WAF
阿里云WAF
411 2
|
弹性计算 缓存 运维
【运维知识进阶篇】用阿里云部署kod可道云网盘(DNS解析+CDN缓存+Web应用防火墙+弹性伸缩)(二)
【运维知识进阶篇】用阿里云部署kod可道云网盘(DNS解析+CDN缓存+Web应用防火墙+弹性伸缩)(二)
195 0
|
缓存 弹性计算 运维
【运维知识进阶篇】用阿里云部署kod可道云网盘(DNS解析+CDN缓存+Web应用防火墙+弹性伸缩)(一)
【运维知识进阶篇】用阿里云部署kod可道云网盘(DNS解析+CDN缓存+Web应用防火墙+弹性伸缩)
275 0