购买独享模式WAF
如果要通过独享模式接入将网站接入WAF,您需要购买独享模式的WAF。购买独享引擎实例后,您还需要为实例配置弹性负载均衡,弹性负载均衡可以通过流量分发扩展应用系统对外的服务能力,同时通过消除单点故障提升应用系统的可用性。
独享模式接入适用于业务服务器部署在华为云,业务规模较大,且基于业务特性具有制定个性化防护规则的安全需求的场景,防护对象为域名、公网IP、私网IP。更多信息,请参见通过独享模式接入将网站接入WAF。
独享模式支持按需计费模式,按使用时长收费。
独享模式在部分区域已经停售,详见独享模式停售通知。
建议至少购买2个WAF实例,并将业务分别部署到WAF实例上。当业务部署多个WAF实例时,如果某个WAF实例发生故障时,WAF会自动将流量切换到其它正在运行的WAF实例上,确保业务正常运行。
前提条件
- 登录WAF控制台的IAM用户必须具有“WAF Administrator”或者“WAF FullAccess”权限。
- 建议您使用租户账号购买WAF独享模式。如果您需要使用IAM用户购买WAF独享模式,需要为该IAM用户创建统一身份认证服务管理权限。
- 首次购买,需要授予IAM系统角色权限“Security Administrator”。
- 非首次购买,需要授予IAM系统策略权限“IAM ReadOnlyAccess”或授予自定义权限,具体权限如下:
- iam:agencies:listAgencies
- iam:agencies:getAgency
- iam:permissions:listRolesForAgency
- iam:permissions:listRolesForAgencyOnProject
- iam:permissions:listRolesForAgencyOnDomain
具体操作请参见创建用户组并授权使用WAF。
- 已成功创建虚拟私有云VPC,详见创建虚拟私有云和子网。
- 当前Organizations服务正在公测中,使用组织合规规则功能需先申请Organizations服务公测。
约束条件
- 如果WAF独享引擎实例与源站不在同一个VPC中,可通过对等连接打通两个VPC之间网络,但受限于网络的不稳定性,建议WAF独享引擎实例与源站在同一个VPC中。
- 原则上,在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率,建议您在购买WAF时,根据防护业务的所在区域就近选择购买的WAF区域。有关支持购买WAF的区域说明,请参见Web应用防火墙支持防护哪些区域。
规格限制
购买独享引擎实例后,实例规格不能修改。
购买WAF独享实例
- 登录Web应用防火墙控制台。
- 在控制台左上角,单击
图标,选择区域或项目。 - (可选) 如果您已开通企业项目,在左侧导航栏上方,单击“按企业项目筛选”下拉框,选择您所在的企业项目。完成后,页面将为您展示该企业项目下的相关数据。
- 在页面的右上角,单击“购买WAF实例”。
- 在“总览”页面,单击“购买WAF实例”。
- 在“购买Web应用防火墙”界面,“WAF模式”选择“独享模式”。
- 在“购买Web应用防火墙”页面,参考相关参数说明表1,完成配置。
表1 WAF独享引擎实例参数说明 参数名称
说明
取值样例
基础配置
WAF模式
要购买的WAF模式。选择“独享模式”,支持通过独享模式接入将网站接入WAF。
独享模式
计费模式
WAF结算费用的方式。选择“按需计费”,表示先使用后付费的结算方式。关于按需计费模式的详细说明,请参见按需计费。
按需计费
区域
要购买的WAF实例所在区域。单击“区域”下拉框,选择区域。同一个区域只支持购买一个WAF版本。
原则上,在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率,建议您在购买WAF时,根据防护业务的所在区域就近选择购买的WAF区域。
-
通用可用区
选择区域中的可用区。
可用区是在同一区域下,电力、网络隔离的物理区域,可用区之间内网互通,不同可用区之间物理隔离。一个区域内有多个可用区,一个可用区发生故障后不会影响同一区域内下的其它可用区。
- 随机分配可用区:云平台会根据您选择的ECS规格,分配弹性云服务器所在的可用区。不同规格的ECS,所在可用区不同。例如:ECS的S6实例规格仅在AZ1上线;S3实例规格在AZ2、AZ3可购买,在AZ1已售罄。
- 指定可用区:选定指定的可用区,支持可用区1、可用区2、可用区3、可用区7。
注意:可用区选定后不支持更换。
-
版本规格
规格选择
选择实例的规格,支持“WI-500”和“WI-100” 。
- WAF实例规格选择WI-500,参考性能:
- HTTP业务:建议5,000QPS
- HTTPS业务:建议 4,000QPS
- Websocket业务:支持最大并发连接5,000
- 最大回源长连接:60,000
- WAF实例规格选择WI-100,参考性能:
- HTTP业务:建议1,000QPS
- HTTPS业务:建议800QPS
- Websocket业务:支持最大并发连接1,000
- 最大回源长连接:60,000
WI-500
WAF实例创建类别
选择实例的资源类型,仅支持“资源租户类”。
WAF实例通过弹性网卡接入用户网络。仅支持与独享型ELB配套使用,接入方式请参见通过独享模式接入将网站接入WAF。
说明:如果需要选择“普通租户类”(WAF实例将直接创建在租户ECS中,租户可以在ECS服务页面看到WAF实例所在的弹性云服务器),需要提交工单申请,且仅部分Region支持,具体信息请以申请回复情况为准。
资源租户类
网络配置
虚拟私有云
选择源站所在的VPC。
-
子网
选择VPC中已配置的子网。
-
安全组
选择区域中已有的安全组,或者单击“新建安全组”,创建新的安全组。选择安全组后,该实例将受到该安全组访问规则的保护。
新建安全组时,WAF提供了三种安全组模板,您可以根据实际情况进行选择:
- 通用Web服务器:默认放通22、3389、80、443端口和ICMP协议。适用于需要远程登录实例、使用ping命令验证实例的网络连通性,以及实例对外提供网站访问服务的场景。
- 开放全部端口:开放全部端口即允许任意流量出入安全组内的实例,此操作存在一定安全风险,请您谨慎选择。
- 快速添加规则:您可以勾选常见协议端口,在入方向快速添加规则放通对应的协议及端口。若您未勾选任何协议端口,则不会放通任何端口。您可在安全组创建后,根据实际访问需求添加或修改安全组规则。
单击
展开“查看模板规则”,可查看选择的对应安全组模板的入方向和出方向的访问规则。- 您也可以在虚拟私有云 VPC的控制台创建安全组建议配置以下访问规则:
详细操作请参见添加安全组规则。
- 如果WAF独享引擎实例与源站不在同一个VPC中,需要在安全组中设置实例与源站的子网互通。
-
高级配置(可选)
WAF实例名称前缀
设置WAF实例名称前缀,购买多个实例时,实例前缀名称相同。
WAF
企业项目
企业项目针对企业用户使用,只有开通了企业项目的客户,或者权限为企业主账号的客户才可见。如需使用该功能,请开通企业管理功能。企业项目是一种云资源管理方式,企业项目管理服务提供统一的云资源按项目管理,以及项目内的资源管理、成员管理。
- “default”为默认企业项目,账号下原有资源和未选择企业项目的资源均在默认企业项目内。
- 只有注册的华为账号购买WAF时,“企业项目”下拉列表中才可以选择到“default”。
default
标签
添加实例的标签,用于标记实例。单击“添加标签”,并输入“标签键”和“标签值”。最多可添加20个标签。
如果您的组织已经设定WAF的相关标签策略,则需按照标签策略规则为独享引擎实例添加标签。标签如果不符合标签策略的规则,则可能会导致独享引擎实例创建失败,请联系组织管理员了解标签策略详情。
如果您需要使用同一标签标识多种云资源,即所有服务均可选择同一标签,建议在标签管理服务TMS中创建预定义标签。具体操作,请参见创建预定义标签。
-
服务授权
首次购买WAF时,可配置此参数。勾选后,WAF将代您在IAM中创建委托,开通相关权限。
-
反亲和
开启后,独享引擎在创建时,将尽量分散地创建在不同的物理主机上,以提高业务的可靠性。
-
您可能还需要
内容安全检测
选择是否购买内容安全检测。单击,在“购买内容安全检测服务”页面,完成购买。
购买后,WAF会检测Web网站和新媒体平台上的关于涉黄、涉赌、涉毒、暴恐、涉政、惊悚、违禁广告等敏感违规内容,并提供文本内容纠错审校。更多信息,请参见配置内容安全检测。
使用该功能前,需提交工单申请开通。
-
用量配置
购买数量
设置购买的WAF实例个数。
建议至少购买2个WAF实例,并将业务分别部署到WAF实例上。当业务部署多个WAF实例时,如果某个WAF实例发生故障时,WAF会自动将流量切换到其它正在运行的WAF实例上,确保业务正常运行。
2
- 确认参数配置无误后,在页面右下角单击“立即购买”。
购买独享引擎实例后,实例规格不能修改,请仔细确认规格信息。
- 在“确认配置”页面,确认订单详情无误后,仔细阅读并勾选“我已经阅读并同意《Web应用防火墙免责声明》”、“我同意WAF(Web应用防火墙)获取访问我的云资源权限”,单击“去支付”。
