10分钟将您的Web应用接入防火墙

一 Web应用安全风险

Web应用对外提供服务的同时，也对攻击者提供了可以进入到内部服务器和数据库的入口，针对Web应用的常见攻击手法有SQL注入、跨站脚本（XSS）、webshell、越权、撞库、DDoS攻击等。按照相关合规要求，网络服务经营者应采取相应的手段，保障网站等服务基本的安全防护水位。

二 阿里云Web应用防火墙

简介

阿里云Web应用防火墙（Web Application Firewall，简称WAF）基于云安全大数据和智能计算能力，通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见Web攻击，对网站或者App的业务流量进行恶意特征识别和防护，将正常、安全的流量回源到服务器。避免网站或App业务服务器遭恶意入侵，保障业务核心数据安全，并解决因恶意攻击导致的服务器性能异常问题。

独特优势

应用场景

阿里云Web应用防火墙适用于金融、电商、o2o、互联网+、游戏、政府、保险等行业各类网站或App业务的Web应用安全防护。

可以帮助用户解决以下业务应用安全问题：

1. 防数据泄密：避免因黑客的注入入侵攻击，导致网站核心数据被拖库泄露。
   
2. 防御恶意CC攻击：通过阻断海量的恶意请求，保障网站可用性。
   
3. 阻止木马上传、网页篡改，保障网站的公信力。
   
4. 提供虚拟补丁：针对网站被曝光的最新安全漏洞，最大可能地提供快速修复规则。
   

产品架构

三 如何接入WAF

场景一 将ECS实例接入WAF

WAF支持为ECS实例开启安全防护。将ECS实例接入WAF后，实例所有的Web业务流量将被指定网关牵引到WAF进行检测。WAF过滤Web应用攻击后，将正常的业务流量转发回ECS服务器。具体网络架构如下图所示：

使用限制

云产品接入仅适用于已使用阿里云ALB、MSE、FC、SAE、CLB或ECS的业务。如果您只需要将业务接入WAF防护，您可以通过CNAME接入将您的网站域名添加到WAF。具体操作，请参见添加域名。

操作步骤

阿里云提供WAF 3.0版实例的免费试用活动，如果您是WAF 3.0的新用户，您可以访问阿里云免费试用申请试用资格。如果没有免费试用资格，按照本文操作步骤在控制台创建实例。

1. 登录Web应用防火墙3.0控制台。在欢迎使用Web应用防火墙页面，单击0元开通了解控制台功能。
2. 在左侧导航栏，单击接入管理。
   
3. 选择云产品接入页签，在左侧云产品类型列表，选择ECS。
   
4. 根据页面提示，单击立即授权，完成云产品授权。
   
5. 在接入资产- ECS面板，完成如下配置。
   
6. 确认并选中要添加的实例后，单击确定。
   完成接入后，WAF会自动生成一个命名为“实例id-端口-资产类型”的防护对象，并为该防护对象默认开启基础防护规则。您可以在接入列表，单击已接入的实例ID，在防护对象页面，查看自动添加的防护对象，并为其配置防护规则。具体操作，请参见防护配置概述。
   
7. 验证ECS是否成功接入WAF。

1. 在浏览器中输入域名进行访问测试，如果网站可以正常访问，则表示WAF接入成功。
   
2. 在域名后输入SQL恶意攻击代码验证防护效果，例如xxx.xxxx.com?id=1 and 1=1，返回如下 405 拦截提示页面，则表示攻击被拦截。
   

相关文档

将ECS实例接入WAF

场景二 为SLB实例开启WAF防护

WAF通过SDK模块化的方式，与ALB原生架构集成，通过内嵌在网关中的SDK提取并检测流量。该过程中，WAF只进行业务监听，不再参与流量转发，实现防护与流量转发的完全分离，为您提供更高的安全运维效率、更流畅的交互体验。

使用限制

• 云产品接入仅适用于已使用阿里云ALB、MSE、FC、SAE、CLB或ECS的业务。如果您只需要将业务接入WAF防护，您可以通过CNAME接入将您的网站域名添加到WAF。具体操作，请参见添加域名。
  

• 仅支持状态为运行中的基础版、标准版实例，升级为WAF增强版。
  
• 接入WAF的ALB实例暂不支持如下功能：

• 信息泄露防护
  
• Bot管理网页防爬场景化防护中的自动集成Web SDK
  

操作步骤

1. 登录Web应用防火墙3.0控制台。在欢迎使用Web应用防火墙页面，单击0元开通了解控制台功能。
   
2. 在左侧导航栏，单击接入管理。
   
3. 选择云产品接入页签，在左侧云产品类型列表，选择ALB。
4. 根据页面提示，单击立即授权，完成云产品授权。完成后，阿里云将自动为您创建WAF服务关联角色AliyunServiceRoleForWAF。您可以在RAM控制台的身份管理 > 角色页面，查看阿里云为WAF自动创建的服务关联角色。
   如果您已经完成云产品授权，则授权页面不会出现，您可以直接执行后续步骤。
   
5. 在应用型负载均衡ALB控制台，为ALB实例开启WAF防护。

1. 登录应用型负载均衡ALB控制台。
2. 在顶部菜单栏，选择实例所属的地域。
   
3. 在页面，找到目标实例，选择以下任意一种方式开启WAF防护。

• 方式一：将鼠标悬停在目标实例名称后的 图标，然后在气泡框中单击Web应用安全防护区域的开启防护。
  
• 方式二：在操作列选择 > 变配功能版本。
  
• 方式三：单击目标实例ID，在页签，找到基本信息区域中的WAF安全防护，然后单击开启防护。
  
• 方式四：单击目标实例ID，在页签，单击安全防护页签。然后单击开启防护。
  

4. 在应用型负载均衡（按量付费） | 变配页面，选择功能版本（实例费）为WAF增强版，选中服务协议，单击立即购买并完成支付。

6. 验证ALB是否成功接入WAF。

1. 在浏览器中输入域名进行访问测试，如果网站可以正常访问，则表示WAF接入成功。
   
2. 在域名后输入SQL恶意攻击代码验证防护效果，例如xxx.xxxx.com?id=1 and 1=1，返回如下 405 拦截提示页面，则表示攻击被拦截。

相关文档

为ALB实例开启WAF防护

将四层CLB（TCP）实例接入WAF

将七层CLB（HTTP/HTTPS）实例接入WAF