更新时间:2025-08-18 GMT+08:00
分享

购买独享模式WAF

如果要通过独享模式接入将网站接入WAF,您需要购买独享模式的WAF。购买独享引擎实例后,您还需要为实例配置弹性负载均衡,弹性负载均衡可以通过流量分发扩展应用系统对外的服务能力,同时通过消除单点故障提升应用系统的可用性。

独享模式接入适用于业务服务器部署在华为云,业务规模较大,且基于业务特性具有制定个性化防护规则的安全需求的场景,防护对象为域名公网IP私网IP。更多信息,请参见通过独享模式接入将网站接入WAF

独享模式支持按需计费模式,按使用时长收费。

独享模式在部分区域已经停售,详见独享模式停售通知

建议至少购买2个WAF实例,并将业务分别部署到WAF实例上。当业务部署多个WAF实例时,如果某个WAF实例发生故障时,WAF会自动将流量切换到其它正在运行的WAF实例上,确保业务正常运行。

前提条件

  • 登录WAF控制台的IAM用户必须具有“WAF Administrator”或者“WAF FullAccess”权限。
  • 建议您使用租户账号购买WAF独享模式。如果您需要使用IAM用户购买WAF独享模式,需要为该IAM用户创建统一身份认证服务管理权限。
    • 首次购买,需要授予IAM系统角色权限“Security Administrator”
    • 非首次购买,需要授予IAM系统策略权限“IAM ReadOnlyAccess”或授予自定义权限,具体权限如下:
      • iam:agencies:listAgencies
      • iam:agencies:getAgency
      • iam:permissions:listRolesForAgency
      • iam:permissions:listRolesForAgencyOnProject
      • iam:permissions:listRolesForAgencyOnDomain

    具体操作请参见创建用户组并授权使用WAF

  • 已成功创建虚拟私有云VPC,详见创建虚拟私有云和子网
  • 当前Organizations服务正在公测中,使用组织合规规则功能需先申请Organizations服务公测。

约束条件

  • 如果WAF独享引擎实例与源站不在同一个VPC中,可通过对等连接打通两个VPC之间网络,但受限于网络的不稳定性,建议WAF独享引擎实例与源站在同一个VPC中。
  • 原则上,在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率,建议您在购买WAF时,根据防护业务的所在区域就近选择购买的WAF区域。有关支持购买WAF的区域说明,请参见Web应用防火墙支持防护哪些区域

规格限制

购买独享引擎实例后,实例规格不能修改。

购买WAF独享实例

  1. 登录Web应用防火墙控制台
  2. 在控制台左上角,单击图标,选择区域或项目。
  3. (可选) 如果您已开通企业项目,在左侧导航栏上方,单击“按企业项目筛选”下拉框,选择您所在的企业项目。完成后,页面将为您展示该企业项目下的相关数据。
  4. 在页面的右上角,单击“购买WAF实例”
  5. “总览”页面,单击“购买WAF实例”
  6. “购买Web应用防火墙”界面,“WAF模式”选择“独享模式”
  7. “购买Web应用防火墙”页面,参考相关参数说明表1,完成配置。

    表1 WAF独享引擎实例参数说明

    参数名称

    说明

    取值样例

    基础配置

    WAF模式

    要购买的WAF模式。选择“独享模式”,支持通过独享模式接入将网站接入WAF

    独享模式

    计费模式

    WAF结算费用的方式。选择“按需计费”,表示先使用后付费的结算方式。关于按需计费模式的详细说明,请参见按需计费

    按需计费

    区域

    要购买的WAF实例所在区域。单击“区域”下拉框,选择区域。同一个区域只支持购买一个WAF版本。

    原则上,在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率,建议您在购买WAF时,根据防护业务的所在区域就近选择购买的WAF区域。

    -

    通用可用区

    选择区域中的可用区。

    可用区是在同一区域下,电力、网络隔离的物理区域,可用区之间内网互通,不同可用区之间物理隔离。一个区域内有多个可用区,一个可用区发生故障后不会影响同一区域内下的其它可用区。

    • 随机分配可用区:云平台会根据您选择的ECS规格,分配弹性云服务器所在的可用区。不同规格的ECS,所在可用区不同。例如:ECS的S6实例规格仅在AZ1上线;S3实例规格在AZ2、AZ3可购买,在AZ1已售罄。
    • 指定可用区:选定指定的可用区,支持可用区1、可用区2、可用区3、可用区7。
    注意:

    可用区选定后不支持更换。

    -

    版本规格

    规格选择

    选择实例的规格,支持“WI-500”“WI-100”

    • WAF实例规格选择WI-500,参考性能:
      • HTTP业务:建议5,000QPS
      • HTTPS业务:建议 4,000QPS
      • Websocket业务:支持最大并发连接5,000
      • 最大回源长连接:60,000
    • WAF实例规格选择WI-100,参考性能:
      • HTTP业务:建议1,000QPS
      • HTTPS业务:建议800QPS
      • Websocket业务:支持最大并发连接1,000
      • 最大回源长连接:60,000

    WI-500

    WAF实例创建类别

    选择实例的资源类型,仅支持“资源租户类”

    WAF实例通过弹性网卡接入用户网络。仅支持与独享型ELB配套使用,接入方式请参见通过独享模式接入将网站接入WAF

    说明:

    如果需要选择“普通租户类”(WAF实例将直接创建在租户ECS中,租户可以在ECS服务页面看到WAF实例所在的弹性云服务器),需要提交工单申请,且仅部分Region支持,具体信息请以申请回复情况为准。

    资源租户类

    网络配置

    虚拟私有云

    选择源站所在的VPC。

    -

    子网

    选择VPC中已配置的子网。

    -

    安全组

    选择区域中已有的安全组,或者单击“新建安全组”,创建新的安全组。选择安全组后,该实例将受到该安全组访问规则的保护。

    新建安全组时,WAF提供了三种安全组模板,您可以根据实际情况进行选择:

    • 通用Web服务器:默认放通22、3389、80、443端口和ICMP协议。适用于需要远程登录实例、使用ping命令验证实例的网络连通性,以及实例对外提供网站访问服务的场景。
    • 开放全部端口:开放全部端口即允许任意流量出入安全组内的实例,此操作存在一定安全风险,请您谨慎选择。
    • 快速添加规则:您可以勾选常见协议端口,在入方向快速添加规则放通对应的协议及端口。若您未勾选任何协议端口,则不会放通任何端口。您可在安全组创建后,根据实际访问需求添加或修改安全组规则。

    单击展开“查看模板规则”,可查看选择的对应安全组模板的入方向和出方向的访问规则。

    • 您也可以在虚拟私有云 VPC的控制台创建安全组建议配置以下访问规则:
      • 入方向规则

        根据业务需求添加指定端口入方向规则,放通指定端口入方向网络流量。例如,需要放通“80”端口时,您可以添加“策略”“允许”“TCP”“80”协议端口规则。

      • 出方向规则

        默认。放通全部出方向网络流量。

      详细操作请参见添加安全组规则

    • 如果WAF独享引擎实例与源站不在同一个VPC中,需要在安全组中设置实例与源站的子网互通。

    -

    高级配置(可选)

    WAF实例名称前缀

    设置WAF实例名称前缀,购买多个实例时,实例前缀名称相同。

    WAF

    企业项目

    企业项目针对企业用户使用,只有开通了企业项目的客户,或者权限为企业主账号的客户才可见。如需使用该功能,请开通企业管理功能。企业项目是一种云资源管理方式,企业项目管理服务提供统一的云资源按项目管理,以及项目内的资源管理、成员管理。

    • “default”为默认企业项目,账号下原有资源和未选择企业项目的资源均在默认企业项目内。
    • 只有注册的华为账号购买WAF时,“企业项目”下拉列表中才可以选择到“default”

    default

    标签

    添加实例的标签,用于标记实例。单击“添加标签”,并输入“标签键”“标签值”。最多可添加20个标签。

    如果您的组织已经设定WAF的相关标签策略,则需按照标签策略规则为独享引擎实例添加标签。标签如果不符合标签策略的规则,则可能会导致独享引擎实例创建失败,请联系组织管理员了解标签策略详情。

    如果您需要使用同一标签标识多种云资源,即所有服务均可选择同一标签,建议在标签管理服务TMS中创建预定义标签。具体操作,请参见创建预定义标签

    -

    服务授权

    首次购买WAF时,可配置此参数。勾选后,WAF将代您在IAM中创建委托,开通相关权限。

    -

    反亲和

    开启后,独享引擎在创建时,将尽量分散地创建在不同的物理主机上,以提高业务的可靠性。

    -

    您可能还需要

    内容安全检测

    选择是否购买内容安全检测。单击前往购买,在“购买内容安全检测服务”页面,完成购买。

    购买后,WAF会检测Web网站和新媒体平台上的关于涉黄、涉赌、涉毒、暴恐、涉政、惊悚、违禁广告等敏感违规内容,并提供文本内容纠错审校。更多信息,请参见配置内容安全检测

    使用该功能前,需提交工单申请开通。

    -

    用量配置

    购买数量

    设置购买的WAF实例个数。

    建议至少购买2个WAF实例,并将业务分别部署到WAF实例上。当业务部署多个WAF实例时,如果某个WAF实例发生故障时,WAF会自动将流量切换到其它正在运行的WAF实例上,确保业务正常运行。

    2

  8. 确认参数配置无误后,在页面右下角单击“立即购买”

    购买独享引擎实例后,实例规格不能修改,请仔细确认规格信息。

  9. “确认配置”页面,确认订单详情无误后,仔细阅读并勾选“我已经阅读并同意《Web应用防火墙免责声明》”“我同意WAF(Web应用防火墙)获取访问我的云资源权限”,单击“去支付”

    • 成功购买WAF独享引擎后,单击“返回独享引擎列表”,在“独享引擎”页面,查看并管理独享引擎实例。更多操作,请参见管理独享引擎
    • 成功购买WAF独享引擎后,WAF默认开启通信安全授权。更多信息,请参见WAF通信安全授权
    • 创建独享引擎实例大约需要5分钟。当实例的运行状态为“运行中”时,说明实例已经创建成功。

后续操作

  1. 接入WAF:通过独享模式将防护网站域名或IP接入WAF进行防护。
  2. 查看防护事件:防护网站域名或IP接入WAF后,默认开启“Web基础防护”的“常规检测”(拦截模式为“仅记录”,“防护等级”为“中等”)和“网站反爬虫”的“扫描器”检测(防护动作为“仅记录”),您可以在防护事件页面,查看并处置对应防护事件。
  3. 配置防护策略:如果默认开启的防护规则不能满足网站的安全需求,您可以配置有针对性的防护规则。
  4. 查询防护事件:查看网站防护详情。

相关文档