約束限制

• WAF獨享模式可以防護通過域名或IP訪問的Web應用/網站。
• 接入Web應用防火墻的網站已使用公網ELB（Elastic Load Balance）代理用作負載均衡，且僅支持與獨享型ELB配套使用。

網站接入流程說明

申請WAF獨享模式后，您可以參照下圖所示的配置流程，快速使用WAF。

收集防護域名/IP的配置信息

在添加防護域名/IP前，請獲取如表所示防護域名/IP相關信息。

獲取信息
參數
說明
示例
配置參數
防護對象
域名：由一串用點分隔的英文字母組成（以字符串的形式來表示服務器IP），用戶通過域名來訪問網站。
IP：訪問網站所使用的IP地址。
www.example.com
防護對象端口
需要防護的域名對應的業務端口。
標準端口
80：HTTP對外協議默認使用端口
443：HTTPS對外協議默認使用端口
非標準端口
80/443以外的端口
80
對外協議
客戶端（例如瀏覽器）請求訪問網站的協議類型。WAF支持“HTTP”、“HTTPS”兩種協議類型。
HTTP
源站協議
WAF轉發客戶端（例如瀏覽器）請求的協議類型。包括“HTTP”、“HTTPS”兩種協議類型。
HTTP
VPC
選擇申請的獨享引擎實例所在的VPC。
vpc-default
源站地址
客戶端（例如瀏覽器）訪問的網站服務器的私網IP地址。
192.168.1.1
（可選）證書
證書名稱
對外協議選擇“HTTPS”時，需要在WAF上配置證書，將證書綁定到防護域名。
說明
WAF當前僅支持PEM格式證書。
-

步驟一：添加防護網站

如果您的業務服務器部署在云上，您可以將網站的域名或IP添加到WAF，使網站流量切入WAF。

前提條件

已申請WAF獨享引擎實例。

約束條件

• 接入Web應用防火墻的網站已使用公網ELB（Elastic Load Balance）代理用作負載均衡。
• 為了保證WAF的安全策略能夠針對真實源IP生效，成功獲取Web訪問者請求的真實IP地址，如果WAF前沒有使用CDN、云加速等七層代理服務器，且ELB使用的是四層負載均衡（NAT等方式），“是否已使用代理”務必選擇“否”，其他情況，“是否已使用代理”選擇“是”。

操作步驟

步驟 1 登錄管理控制臺。

步驟 2 單擊管理控制臺右上角選擇區域或項目。

步驟 3 單擊頁面左上方，選擇“安全 >Web應用防火墻（獨享版）”。

步驟 4 在左側導航樹中，選擇“網站設置”，進入“網站設置”頁面。

步驟 5 在網站列表左上角，單擊“添加防護網站”。

步驟 6 配置“域名信息”。

• “網站名稱”：可選參數，自定義網站名稱。
• “防護對象”：防護的域名或IP，域名支持單域名和泛域名。
• “網站備注”：可選參數，網站的備注信息。

說明
WAF不支持添加帶有下劃線（_）的泛域名。
如果各子域名對應的服務器IP地址相同：輸入防護的泛域名。例如：子域名a.example.com，b.example.com和c.example.com對應的服務器IP地址相同，可以直接添加泛域名*.example.com。
如果各子域名對應的服務器IP地址不相同：請將子域名按“單域名”方式逐條添加。

步驟 7 源站配置，參數說明如表所示。

參數
參數說明
取值樣例
防護對象端口
在下拉框中選擇面要防護的端口。配置80/443端口，在下拉框中選擇“標準端口”。
81
服務器配置
網站服務器地址的配置。包括對外協議、源站協議、VPC、源站地址和源站端口。
對外協議：客戶端請求訪問服務器的協議類型。包括“HTTP”、“HTTPS”兩種協議類型。
源站協議：Web應用防火墻轉發客戶端請求的協議類型。包括“HTTP”、“HTTPS”兩種協議類型。
VPC：選擇獨享引擎實例所在的VPC。
為了實現業務雙活，避免業務單點故障，建議在同一VPC下申請兩個WAF實例
源站地址：客戶端（例如瀏覽器）訪問的網站服務器的私網/內網IP地址。支持以下兩種IP格式：
IPv4，例如：XXX.XXX.1.1
IPv6，例如：fe80:0000:0000:0000:0000:0000:0000:000
源站端口：WAF獨享引擎轉發客戶端請求到服務器的業務端口。
對外協議：HTTP
源站協議：HTTP
源站地址：XXX .XXX.1.1
源站端口：80
證書名稱
“對外協議”設置為“HTTPS”時，需要選擇證書。您可以選擇已創建的證書或選擇導入的新證書。
成功導入的新證書，將添加到“證書管理”頁面的證書列表中。
說明
WAF當前僅支持PEM格式證書。如果證書為非PEM格式，請將證書轉換為PEM格式，再上傳。
如果您的證書即將到期，為了不影響網站的使用，建議您在到期前重新使用新的證書，并在WAF中同步更新網站綁定的證書。
域名和證書需要一一對應，泛域名只能使用泛域名證書。如果您沒有泛域名證書，只有單域名對應的證書，則只能在WAF中按照單域名的方式逐條添加域名進行防護。
--

步驟 8 高級配置。

• “是否已使用代理”：為了保證WAF的安全策略能夠針對真實源IP生效，成功獲取Web訪問者請求的真實IP地址，如果WAF前已使用如CDN、云加速等提供七層Web代理的產品，請務必選擇“是”。
• 選擇“策略配置”：默認為“系統自動生成策略”，您也可以選擇已創建的防護策略或在域名接入后根據防護需求配置防護規則。系統自動生成的策略說明如下：
  • Web基礎防護（“僅記錄”模式、常規檢測）：僅記錄SQL注入、XSS跨站腳本、遠程溢出攻擊、文件包含、Bash漏洞攻擊、遠程命令執行、目錄遍歷、敏感文件訪問、命令/代碼注入等攻擊行為。
  • 網站反爬蟲（“僅記錄”模式、掃描器）：僅記錄漏洞掃描、病毒掃描等Web掃描任務，如OpenVAS、Nmap的爬蟲行為。

                    
說明
                    
“僅記錄”模式：發現攻擊行為后WAF只記錄攻擊事件不阻斷攻擊。
                    
                  
                  

步驟 9 單擊“確認”，添加域名完成。

生效條件

防護網站的初始“接入狀態”為“未接入”，配置完負載均衡以及為彈性負載均衡綁定彈性IP后，當訪問請求到達該網站的WAF獨享引擎時，該防護網站的接入狀態將自動切換為“已接入”。

導入新證書

當“對外協議”設置為“HTTPS”時，可以導入新證書。

1.在導航欄選擇“對象管理”中的“證書管理”菜單，單擊“添加證書”，打開“導入新證書”對話框。然后輸入“證書名稱”，并將證書內容和私鑰內容粘貼到對應的文本框中。

說明
Web應用防火墻將對私鑰進行加密保存，保障證書私鑰的安全性。

WAF當前僅支持PEM格式證書。如果證書為非PEM格式，請參考下表在本地將證書轉換為PEM格式，再上傳。

證書轉換命令表：

格式類型
轉換方式
CER/CRT
將“cert.crt”證書文件直接重命名為“cert.pem”。
PFX
提取私鑰命令，以“cert.pfx”轉換為“key.pem”為例。
openssl pkcs12 -in cert.pfx -nocerts -out key.pem -nodes
提取證書命令，以“cert.pfx”轉換為“cert.pem”為例。
openssl?pkcs12?-in?cert.pfx?-nokeys?-out?cert.pem
P7B
證書轉換，以“cert.p7b”轉換為“cert.cer”為例。
openssl?pkcs7?-print_certs?-in?cert.p7b?-out?cert.cer
將“cert.cer”證書文件直接重命名為“cert.pem”。
DER
提取私鑰命令，以“privatekey.der”轉換為“privatekey.pem”為例。
openssl?rsa?-inform?DER?-outform?PEM?-in?privatekey.der?-out?privatekey.pem
提取證書命令，以“cert.cer”轉換為“cert.pem”為例。
openssl?x509?-inform?der?-in?cert.cer?-out cert.pem

                    
說明
                    
執行openssl命令前，請確保本地已安裝。
如果本地為Windows操作系統，請進入“命令提示符”對話框后，再執行證書轉換命令。
                    
                  
                  

2.單擊“確認”，上傳證書。

步驟二：配置負載均衡

添加防護網站后，您需要使用云上彈性負載均衡（Elastic Load Balance，簡稱ELB）為WAF獨享引擎實例配置負載均衡和健康檢查，以確保WAF的可靠性和穩定性。

前提條件

• 已添加獨享模式防護網站。
• 已成功申請ELB實例。
• 在該獨享引擎實例所在安全組中已放開了相關端口。

安全組建議配置以下訪問規則：

• 入方向規則：根據業務需求添加指定端口入方向規則，放通指定端口入方向網絡流量。例如，需要放通“80”端口時，您可以添加“策略”為“允許”的“TCP”、“80”協議端口規則。
• 出方向規則：默認。放通全部出方向網絡流量。

系統影響

“分配策略類型”選擇“加權輪詢算法”時，請關閉“會話保持”，如果開啟會話保持，相同的請求會轉發到相同的WAF獨享引擎實例上，當WAF獨享引擎實例出現故障時，再次到達該引擎的請求將會出錯。

操作步驟

步驟 1 登錄管理控制臺。

步驟 2 單擊管理控制臺右上角選擇區域。

步驟 3 單擊頁面左上方選擇“網絡 > 彈性負載均衡”，進入“負載均衡器”頁面。

步驟 4 在負載均衡器所在行的“名稱”列，單擊目標負載均衡器名稱，進入ELB“基本信息”頁面。

步驟 5 選擇“監聽器”頁簽后，單擊“添加監聽器”，配置監聽器信息，如圖所示。

步驟 6 單擊“下一步”，配置后端主機組和健康檢查。

健康檢查配置

步驟 7 單擊“完成”后再單擊“確定”，監聽器添加成功。

步驟 8 在添加的監聽器頁面，選擇“后端主機組”頁簽后，單擊“添加”。

步驟 9 在彈出的“添加后端主機”對話框中，選擇已創建的WAF獨享引擎實例。

步驟 10 單擊“下一步”，為獨享引擎配置端口。

                    
說明
                    
獨享引擎監聽端口需要與步驟一：添加防護網站時設置的端口保持一致。如果防護網站配置的是標準端口，則HTTP協議監聽端口配置為“80”，HTTPS協議監聽端口配置為“443”。
                    
                  
                  

步驟 11 單擊“完成”，配置完成。

生效條件

當WAF獨享引擎實例的“健康檢查結果”為“正常”時，說明彈性負載均衡配置成功。

步驟三：為彈性負載均衡綁定彈性公網IP

WAF獨享引擎實例配置負載均衡后，您還需要解綁源站服務器的彈性公網IP（Elastic IP，簡稱EIP），將解綁的彈性公網IP綁定到WAF獨享引擎實例，見本章節的步驟二：配置負載均衡 。綁定后，請求流量會先經過WAF獨享引擎進行攻擊檢測，然后轉發到源站服務器，從而確保源站安全、穩定、可用。

前提條件

已為WAF獨享引擎實例配置負載均衡，見本章節的步驟二：配置負載均衡 。

操作步驟

步驟 1 登錄管理控制臺。

步驟 2 單擊管理控制臺右上角，選擇區域。

步驟 3 單擊頁面左上方，選擇“網絡 > 彈性負載均衡”，進入“負載均衡器”頁面。

步驟 4 在“負載均衡器”頁面，解綁源站服務器的彈性公網IP。

• 解綁IPv4公網IP，在目標源站的負載均衡器所在行“操作”列，選擇“更多> 解綁IPv4公網IP”。
• 解綁IPv6公網IP，在目標源站的負載均衡器所在行“操作”列，選擇“更多> 解綁IPv6公網IP”。

步驟 5 在彈出的對話框中，單擊“是”，解綁EIP。

步驟 6 在“負載均衡器”頁面，找到WAF獨享引擎的ELB的負載均衡器，綁定源站服務器的彈性公網IP。

• 綁定IPv4公網IP，在WAF獨享引擎的ELB的負載均衡器所在行“操作”列，選擇“更多> 綁定IPv4公網IP”。
• 綁定IPv6公網IP，在WAF獨享引擎的ELB的負載均衡器所在行“操作”列，選擇“更多> 綁定IPv6公網IP”。

步驟 7 在“綁定彈性公網IP”對話框中，選擇步驟4中解綁的EIP，單擊“確定”，綁定EIP。

步驟四：放行獨享引擎回源IP

網站以“獨享模式”成功接入WAF后，建議您在源站服務器上配置只放行獨享引擎回源IP的訪問控制策略，防止黑客獲取源站IP后繞過WAF直接攻擊源站，以確保源站安全、穩定、可用。

                    
說明
                    
網站以“獨享模式”成功接入WAF后，如果訪問網站頻繁出現502/504錯誤，建議您檢查并確保源站服務器已配置了放行獨享引擎回源IP的訪問控制策略。
                    
                  
                  

為什么需要放行回源IP

網站以“獨享模式”成功接入WAF后，所有網站訪問請求將先經過獨享引擎配置的ELB然后流轉到獨享引擎實例進行監控，經獨享引擎實例過濾后再返回到源站服務器，流量經獨享引擎實例返回源站的過程稱為回源。在服務器看來，接入WAF后所有源IP都會變成獨享引擎實例的回源IP（即獨享引擎實例對應的子網IP），以防止源站IP暴露后被黑客直接攻擊。

源站服務器上的安全軟件很容易認為獨享引擎的回源IP是惡意IP，有可能觸發屏蔽WAF回源IP的操作。一旦WAF的回源IP被屏蔽，WAF的請求將無法得到源站的正常響應，因此，網站以“獨享模式”接入WAF防護后，您需要在源站服務器上設置放行創建的獨享引擎實例對應的子網IP，不然可能會出現網站打不開或打開極其緩慢等情況。

前提條件

網站以“獨享模式”成功接入WAF。

回源到ECS

如果您的源站服務器直接部署在ECS上，請參考以下操作步驟設置安全組規則，放行獨享模式回源IP。

步驟 1 登錄管理控制臺。

步驟 2 單擊管理控制臺左上角，選擇區域。

步驟 3 單擊頁面左上方，選擇“安全 >Web應用防火墻 （獨享版）”。

步驟 4 在左側導航樹中，選擇“獨享引擎”，進入“獨享引擎”頁面。

步驟 5 在獨享引擎列表的“IP地址”欄，獲取所有創建的獨享引擎對應的子網IP地址。

步驟 6 單擊頁面左上方，選擇“計算 > 彈性云主機”。

步驟 7 在目標ECS所在行的“名稱/ID”列中，單擊目標ECS實例名稱，進入ECS實例的詳情頁面。

步驟 8 選擇“安全組”頁簽，單擊“更改安全組”。

步驟 9 在“更改安全組”對話框中，選擇目標安全組或新建安全組并單擊“確定”。

步驟 10 單擊安全組ID，進入安全組基本信息頁面。

步驟 11 選擇“入方向規則”頁簽，單擊“添加規則”，進入“添加入方向規則”頁面，參數配置說明如表所示。

步驟 12 單擊“確定”，安全組規則添加完成。

成功添加安全組規則后，安全組規則將允許獨享引擎回源IP地址的所有入方向流量。

您可以使用Telnet工具測試已接入WAF防護的源站IP對應的業務端口是否能成功建立連接驗證配置是否生效。

例如，執行以下命令，測試已接入WAF防護的源站IP對外開放的443端口是否能成功建立連接。如果顯示端口無法直接連通，但網站業務仍可正常訪問，則表示安全組規則配置成功。

Telnet 源站IP 443

回源到ELB

如果您的源站服務器使用ELB進行流量分發，請參考以下操作步驟設置訪問控制（白名單）策略，只放行獨享模式回源IP。

步驟 1 登錄管理控制臺。

步驟 2 單擊管理控制臺左上角，選擇區域。

步驟 3 單擊頁面左上方，選擇“安全 >Web應用防火墻（獨享版）”。

步驟 4 在左側導航樹中，選擇“系統管理> 獨享引擎”，進入“獨享引擎”頁面。

步驟 5 在獨享引擎列表的“IP地址”欄，獲取所有創建的獨享引擎對應的子網IP地址。

步驟 6 單擊頁面左上方，選擇“網絡 > 彈性負載均衡”。

步驟 7 在獨享引擎綁定的ELB所在行的“名稱”列中，單擊ELB名稱，進入ELB的詳情頁面。

步驟 8 選擇“監聽器”頁簽，在“訪問控制”列單擊“設置訪問控制”。

步驟 9 在彈出的對話框中，“訪問策略”選擇“白名單”。

• 單擊“創建IP地址組”，將步驟5中獨享引擎實例的回源IP地址添加到“IP地址組”中。
• 在“IP地址組”的下拉框中選擇創建的IP地址組。

步驟 10 單擊“確定”，白名單訪問控制策略添加完成。

• 成功配置訪問控制策略后，訪問控制策略將允許獨享引擎回源IP地址的所有入方向流量。
• 您可以使用Telnet工具測試已接入WAF防護的源站IP對應的業務端口是否能成功建立連接驗證配置是否生效。
• 例如，執行以下命令，測試已接入WAF防護的源站IP對外開放的443端口是否能成功建立連接。如果顯示端口無法直接連通，但網站業務仍可正常訪問，則表示安全組規則配置成功。

Telnet 源站IP 443