通过“云模式-ELB接入”将网站接入WAF

方案概述

ELB接入模式下，将网站接入WAF后，网站流量会被ELB镜像给WAF。WAF检测后，将结果同步给ELB，由ELB根据WAF检测结果决定是否将客户端请求转发到源站。该过程中，WAF不参与流量转发，避免因额外引入一层转发而带来各种兼容性和稳定性问题。

接入WAF后，网站访问示意图如图1所示。

图1 网站访问示意图

前提条件

• 已购买WAF的云模式，并已了解网站接入的相关信息。
  

  • 购买云模式WAF后，还需要提交工单申请开通云模式-ELB接入，才能使用。支持使用的Region请参考功能总览。
  • 购买了标准版、专业版或企业版后，才支持使用云模式-ELB接入。

    云模式-ELB接入的域名、QPS、规则扩展包的配额与云模式-CNAME接入共用，且业务规格与购买的云模式基础套餐版本的对应规格一致。

• 已在购买WAF云模式的账号下购买了独享型负载均衡，且“规格”为“应用型（HTTP/HTTPS）”，详见创建独享型负载均衡器。

网站以“云模式-ELB接入”方式接入WAF

1. （可选）在弹性负载均衡ELB控制台，创建独享型负载均衡器、并为其添加监听器。如果已创建独享型负载均衡器、并添加监听器，可跳过该步骤。
   1. 创建独享型负载均衡器。
      • “规格”选择“应用型（HTTP/HTTPS）”
      • 其他参数根据业务需要进行配置。
   2. 为1.a中创建的负载均衡添加监听器，详细操作请参见添加HTTP监听器或添加HTTPS监听器。
   3. 创建后端服务器组。
      • “所属负载均衡器”：选择“关联已有”，并在下拉框中选择1.a中创建的负载均衡器。
      • 后端服务器配置为2中需要添加到WAF中的网站对应的服务器地址。
   4. 执行以下命令，测试业务联通性是否正常。

      curl -kv -H "Host: {源站域名}" {监听器对应的协议}://{ELB的IP}:{监听器端口}

      返回码为“200”，则表示业务流量联通正常。

2. 在WAF中配置需要检测流量的网站。
   1. 在页面左上方，单击图标，选择“安全与合规 > Web应用防火墙 WAF”。
   2. 在左侧导航栏，单击“网站设置”。
   3. 在网站列表左上角，单击“添加防护网站”。
   4. 选择“云模式-ELB接入”，并单击“开始配置”。
   5. 配置域名基本信息，如图2所示，相关参数说明如表1所示。
      图2 配置防护网站基本信息
      

      表1 基本信息参数说明

      参数	参数说明	取值样例
      ELB（负载均衡器）	选择1.a中创建的负载均衡器，确认防护网站对应的服务器地址已添加到该ELB。	elb-waf-test
      ELB监听器	选择的ELB配置的监听器，支持选择其他账号的ELB监听器。 “所有监听器”：表示选择ELB下的所有监听器。 “指定监听器”：表示选择ELB下的指定监听器。	所有监听器
      网站名称	可选参数，自定义网站名称。	-
      防护域名	要防护的域名或IP（公网IP/私网IP），且该域名已解析到1.a中创建的负载均衡器的弹性公网IP上。 域名：支持单域名和泛域名。 单域名：输入防护的单域名。例如：www.example.com。 泛域名： 如果各子域名对应的服务器IP地址相同：输入防护的泛域名。例如：子域名a.example.com，b.example.com和c.example.com对应的服务器IP地址相同，可以直接添加泛域名*.example.com。 如果各子域名对应的服务器IP地址不相同：请将子域名按“单域名”方式逐条添加。 WAF支持添加“*”的泛域名。 一个ELB只支持一个泛域名。 IP：支持防护公网IP、私网IP。如果配置为私网IP，必须确保相应的网络路径是可访问的，以便于WAF能够正确地对流量进行监控和过滤。	单域名：www.example.com 泛域名：*.example.com IP： XXX.XXX.1.1
      网站备注	可选参数，网站补充信息。	-
      策略配置	选择要启用的防护策略。 “系统自动生成策略”（默认）：详细说明如下： Web基础防护：默认开启常规检测，可防护SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击行为。 常规检测包含： “规则集”：“默认规则集【中等】” “防护动作”：“仅记录”，即发现攻击行为后WAF只记录攻击事件不阻断攻击。 网站反爬虫：默认开启扫“扫描器”检测、“防护动作”为“仅记录”（发现攻击行为后WAF只记录攻击事件不阻断攻击），可防护漏洞扫描、病毒扫描等Web扫描任务，如OpenVAS、Nmap的爬虫行为。 自定义防护策略：根据防护需求创建的防护策略。更多信息，请参见配置防护策略。 说明： 仅专业版和企业版支持选择自定义防护策略。	系统自动生成策略
      服务授权	为WAF授予访问云资源权限。如果需要在防护事件列表显示“ELB名称”列，需要执行该操作。 单击“前往授权”。 在“服务授权”对话框，确认要授予的权限名称后，单击“确定”。 要授予的权限名称如下： Tenant Guest：请求全局云服务只读权限（除IAM权限），用于配置独享引擎相关参数。 Server Administrator：请求服务器管理员权限，用于创建、升级、删除独享引擎。 VPC Administrator：请求虚拟私有云管理员权限，用于配置独享引擎网络。 ELB Administrator：请求弹性负载均衡服务管理员，用于配置ELB以接入WAF独享实例。 同意授权后，WAF将在统一身份认证服务 IAM为您自动创建委托premium_waf_svc_trust，并授予相关权限。您可以登录统一身份认证服务 IAM 管理控制台，查看委托及授予的相关权限。 您可以在防护事件列表，自定义显示“ELB名称”列。具体操作，请参见2。	已授权

   6. 单击“确定”，防护网站添加成功。

      您可在防护网站列表中查看已添加的防护网站。

接入验证

• 接入状态验证

  防护网站的初始“接入状态“为“未接入“，当5分钟内网站的访问请求达到20次时，该防护网站的接入状态将自动切换为“已接入“。

• 访问验证

  清理浏览器缓存，在浏览器中输入防护域名，验证网站域名是否能正常访问。

  

  访问网站时，请求URL中请勿包含未编码的空格，否则网站将无法正常被访问。

• 防护效果验证

  手动模拟简单的Web攻击命令，验证WAF防护是否生效。

后续操作

• （可选）网站接入后推荐配置：域名接入成功后，您也可以根据实际需要，进行针对性的安全配置。
• 配置防护策略：如果默认开启的防护规则不能满足网站的安全需求，您可以配置有针对性的防护规则。
• 查询防护事件：查看网站防护详情。

常见问题

• 域名/IP接入状态显示“未接入”，如何处理？
• 网站、应用接入WAF后，访问出现404/502/504报错处理方法
• 如何处理网站接入WAF后，文件不能上传？
• 域名接入WAF后，为什么无法开启防护模式？