购买WAF独享模式
如果您的业务服务器部署在华为云,您可以通过购买WAF独享引擎实例对重要的域名或仅有IP的Web服务进行防护。购买独享引擎实例后,您还需要为实例配置弹性负载均衡,弹性负载均衡可以通过流量分发扩展应用系统对外的服务能力,同时通过消除单点故障提升应用系统的可用性。
独享模式支持按需计费模式,按使用时长收费。
建议至少购买2个WAF实例,并将业务分别部署到WAF实例上。当业务部署多个WAF实例时,如果某个WAF实例发生故障时,WAF会自动将流量切换到其它正在运行的WAF实例上,确保业务正常运行。
前提条件
- 登录WAF控制台的账号必须具有“WAF Administrator”或者“WAF FullAccess”权限。
- 建议您使用租户账号购买WAF独享模式。如果您需要使用IAM用户购买WAF独享模式,需要为该IAM用户创建统一身份认证服务管理权限。
- 首次购买,需要授予IAM系统角色权限“Security Administrator”。
- 非首次购买,需要授予IAM系统策略权限“IAM ReadOnlyAccess”或授予自定义权限,具体权限如下:
- iam:agencies:listAgencies
- iam:agencies:getAgency
- iam:permissions:listRolesForAgency
- iam:permissions:listRolesForAgencyOnProject
- iam:permissions:listRolesForAgencyOnDomain
具体操作请参见创建用户组并授权使用WAF。
- 已成功创建虚拟私有云VPC。
- 当前Organizations服务正在公测中,使用组织合规规则功能需先申请Organizations服务公测。
约束条件
- 如果WAF独享引擎实例与源站不在同一个VPC中,可通过对等连接打通两个VPC之间网络,但受限于网络的不稳定性,建议WAF独享引擎实例与源站在同一个VPC中。
- 有关支持购买WAF的区域说明,请参见Web应用防火墙支持防护哪些区域?。
- 原则上,在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率,建议您在购买WAF时,根据防护业务的所在区域就近选择购买的WAF区域。
- 开启“反亲和”后,最多只能创建5个独享引擎实例。
规格限制
购买独享引擎实例后,实例规格不能修改。
应用场景
业务服务器部署在华为云,防护对象为域名或IP。
大型企业网站,具备较大的业务规模且基于业务特性具有制定个性化防护规则的安全需求。
操作步骤
- 登录管理控制台。
- 单击页面左上方的
,选择。 - 在页面的右上角,单击“购买WAF实例”。
- (可选)在“企业项目”下拉列表中选择您所在的企业项目。
企业项目针对企业用户使用,只有开通了企业项目的客户,或者权限为企业主账号的客户才可见。如需使用该功能,请开通企业管理功能。企业项目是一种云资源管理方式,企业项目管理服务提供统一的云资源按项目管理,以及项目内的资源管理、成员管理。
- “default”为默认企业项目,账号下原有资源和未选择企业项目的资源均在默认企业项目内。
- 只有注册的华为账号购买WAF时,“企业项目”下拉列表中才可以选择到“default”。
- 在“购买Web应用防火墙”界面,“WAF模式”选择“独享模式”。
- 配置WAF实例参数,如图1所示,相关参数说明如表1所示。
表1 WAF独享引擎实例参数说明 参数名称
说明
区域
支持购买WAF独享模式的区域说明,请参见Web应用防火墙支持防护哪些区域?。
原则上,在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率,减少网络时延,提高网络速度,建议您在购买WAF时,根据防护业务的所在区域就近选择购买的WAF区域。
项目
选择目标区域下的项目。
可用区
选择区域中的可用区。
说明:可用区选定后不支持更换。
WAF实例名称前缀
设置WAF实例名称前缀,购买多个实例时,实例前缀名称相同。
WAF实例数量
设置购买的WAF实例个数。
建议至少购买2个WAF实例,并将业务分别部署到WAF实例上。当业务部署多个WAF实例时,如果某个WAF实例发生故障时,WAF会自动将流量切换到其它正在运行的WAF实例上,确保业务正常运行。
WAF实例规格
选择实例的规格,支持“WI-500”和“WI-100” 。
- WAF实例规格选择WI-500,参考性能:
- HTTP业务:建议QPS 5,000;极限QPS 10,000
- HTTPS业务:建议QPS 4,000;极限QPS 8,000
- Websocket业务:支持最大并发连接5,000
- 最大回源长连接:60,000
- WAF实例规格选择WI-100,参考性能:
- HTTP业务:建议QPS 1,000;极限QPS 2,000
- HTTPS业务:建议QPS 800;极限QPS 1,600
- Websocket业务:支持最大并发连接1,000
- 最大回源长连接:60,000
WAF实例创建类别
选择实例的资源类型,仅支持“资源租户类”。
WAF实例通过弹性网卡接入用户网络。仅支持与独享型ELB配套使用,接入方式请参见网站接入流程(独享模式)。
说明:如果需要选择“普通租户类”(WAF实例将直接创建在租户ECS中,租户可以在ECS服务页面看到WAF实例所在的弹性云服务器),需要提交工单申请,且仅部分Region支持,具体信息请以申请回复情况为准。
虚拟私有云
选择源站所在的VPC。
子网
选择VPC中已配置的子网。
安全组
选择区域中已有的安全组,或者单击“管理安全组”,跳转到VPC管理控制台创建新的安全组。选择安全组后,该实例将受到该安全组访问规则的保护。
须知:- 安全组建议配置以下访问规则:
有关添加安全组规则的详细操作,请参见添加安全组规则。
- 如果WAF独享引擎实例与源站不在同一个VPC中,需要在安全组中设置实例与源站的子网互通。
标签
如果您需要使用同一标签标识多种云资源,即所有服务均可在标签输入框下选择同一标签,建议在TMS中创建预定义标签。
如您的组织已经设定Web应用防火墙(Web Application Firewall,WAF)服务的相关标签策略,则需按照标签策略规则为独享引擎实例添加标签。标签如果不符合标签策略的规则,则可能会导致独享引擎实例创建失败,请联系组织管理员了解标签策略详情。
服务授权
首次购买WAF时,可配置此参数。勾选后,WAF将代您在IAM中创建委托,开通相关权限。
反亲和
- 开启后,最多只能创建5个独享引擎实例。
- 开启后,独享引擎在创建时,将尽量分散地创建在不同的物理主机上,以提高业务的可靠性。
- WAF实例规格选择WI-500,参考性能:
- 确认参数配置无误后,在页面右下角单击“立即购买”。
- 确认订单详情无误后,单击“去支付”,完成购买操作。
- 进入“付款”页面,选择付款方式进行付款。
- 成功付款后,单击“返回独享引擎列表”,在独享引擎实例列表界面,可以查看实例的创建情况。
生效条件
创建实例大约需要5分钟。当实例的运行状态为“运行中”时,说明实例已经创建成功。
WAF通信安全授权
如果业务使用WAF独享模式部署方式,直接访问VPC内的数据需要开通相应的安全组规则,而开通相应的安全组规则需要获取用户授权,此授权过程称为通信安全授权。
成功购买WAF独享引擎后,WAF默认开启通信安全授权,即开通如表2所示的安全组规则。
协议端口 |
类型 |
源地址 |
描述 |
|---|---|---|---|
入方向规则 |
|||
TCP: 22 |
IPv4 |
100.64.0.0/10 |
WAF远程运维 |
出方向规则 |
|||
TCP: 9011 |
IPV4 |
100.125.0.0/16 |
WAF事件日志上报 |
TCP: 9012 |
IPV4 |
100.125.0.0/16 |
WAF事件日志上报 |
TCP: 9013 |
IPV4 |
100.125.0.0/16 |
WAF事件日志上报 |
TCP: 9018 |
IPV4 |
100.125.0.0/16 |
WAF策略同步 |
TCP: 9019 |
IPV4 |
100.125.0.0/16 |
WAF心跳日志上报 |
TCP: 4505 |
IPV4 |
100.125.0.0/16 |
WAF策略同步 |
TCP: 4506 |
IPV4 |
100.125.0.0/16 |
WAF策略同步 |
TCP: 50051 |
IPV4 |
100.125.0.0/16 |
WAF性能日志上报 |
TCP: 443 |
IPV4 |
100.125.0.0/16 |
WAF策略同步 |
