进阶配置概述
WAF针对网站接入后的业务安全、访问性能、运维管理等核心需求,围绕传输安全、协议支持、攻防防护、流量管理、运维监控五大维度展开,提供了一站式的配置能力体系。
网站接入WAF后,可在“网站设置”页面,单击网站域名后,在网站详情页面,快速配置。
支持的功能
详细功能说明如表1所示。
| 功能 | 支持功能 |
|---|---|
| HTTPS安全合规加固 |
|
| 真实客户端IP透传 |
|
| 回源链路与性能优化 |
|
| 网络扩展与高可用配置 |
|
| 运维监控效率提升 |
|
限制说明
由于网站接入WAF的方式不同,可使用的功能配置也不相同。
| 功能 | 云模式-CNAME接入 | 云模式-ELB接入 | 独享模式接入 |
|---|---|---|---|
| 支持 | 不支持。可在ELB控制台配置TLS安全策略实现加密通信。 | 支持 | |
| 专业版、企业版支持 | 不支持。ELB接入为旁路检测架构,WAF仅做旁路检测,无法还原会话,无法和客户端协商HTTP2。因此,不支持该功能。 | 支持 2023年05月及之后版本的独享引擎,全局开启HTTP2协议,无需手动设置。 | |
| 需提交工单申请开通 | |||
| 支持 | 不支持。ELB接入为旁路检测架构,真实报文全程在ELB与源站之间传输,WAF只有只读镜像副本,无权限修改原始流量,无法插入、 删除头部。 | 支持 | |
| 支持 | 支持自定义页面模板,不支持重定向页面模板。 | 支持 | |
| 支持 | 支持 | 支持 | |
| 专业版、企业版支持 | 云模式-ELB接入、独享模式是否支持IPv6防护,依赖独享模式、云模式-ELB接入所在的ELB。如果该ELB支持IPv6,则独享模式、云模式-ELB接入也支持IPv6。 | ||
| 支持 | 不支持。ELB接入源站调度主体是ELB,WAF不参与回源转发,内置的源站负载均衡模块无法生效。该场景下,需通过ELB自身负载均衡功能实现多源站分配。 | 支持 | |
| 支持 | 不支持。Cookie写入在响应报文内,ELB接入下,WAF不能改写源站返回的原始响应包,无法追加Cookie安全标识。 | 支持 | |
| 需提交工单申请开通 | |||
| 需提交工单申请开通 | 不支持。Trace ID需要WAF主动向请求头注入唯一标识。ELB接入为旁路模式,无报文修改能力,无法注入追踪ID。 | 需提交工单申请开通 | |
| 支持 | 支持 | 支持 | |
| 不支持 | 不支持。ELB接入源站调度主体是ELB,WAF不参与回源转发,内置的源站负载均衡模块无法生效。该场景下,需通过ELB自身负载均衡功能实现多源站分配。 | 支持 | |
| 标准版、专业版、企业版支持 | 不支持。ELB接入时, 超时时间由ELB监听器和源站控制,WAF不持有客户端TCP连接,无法独立设置、管控连接超时阈值。 | 支持 | |
| 默认支持,不支持手动关闭、修改 | 不支持。ELB接入为旁路模式,WAF无法阻断主链路流量、不能下发自定义响应,无法实现熔断逻辑。 | 支持手动开启、关闭、修改 | |
| 支持 | 不支持。ELB接入模式链路无法做Trace透传,所以不支持该功能。 | 支持 | |
| 仅企业版支持,需提交工单申请开通 | 不支持 | 不支持 | |