943      小米6  小米 note

接入手冊__常見接入問題_Web 應用防火牆-阿裏雲

Web應用防火牆(Web Application Firewall, 簡稱 WAF)基於雲安全大數據能力實現，通過防禦SQL注入、XSS跨站腳本、常見Web服務器插件漏洞、木馬上傳、非授權核心資源訪問等OWASP常見攻擊，過濾海量惡意訪問，避免您的網站資產數據泄露，保障網站的安全與可用性。

Web應用防火牆是針對單個域名提供安全防護的產品，接入前後對比如下圖：

接入準備

• 以a.com及其子域名為例：

注意：

1) a.com 和 www.a.com 對WAF來說是不同的域名，如兩個都需訪問，都需要配置

2） 當泛域名*.a.com和精確www.a.com 同時存在時，首先進行精確匹配，匹配不到的再走泛域名

• 檢查需要接入Web應用防火牆的業務域名和服務器IP，同時確認如下幾點：
  • 該域名僅提供80,443端口的業務。（如有其他端口如8081、8082，請提前說明，我們會確認是否支持）
  • 該服務器IP未安裝相關安全防護軟件，如果安裝需將Web應用防火牆回源地址加入白名單中防止被誤攔截。
  • 該域名是否已經在阿裏雲完成備案，未備案的域名無法訪問會被阿裏雲備案係統攔截。

接入Web應用防火牆

• 第1-4步不影響實際業務，可以提前完成配置，並且完成Web應用防火牆的配置檢查。
• 第5步可能會影響修改dns解析的鏈路訪問，如果有出現問題可以進行操作回滾來恢複，影響範圍較小。經過第4步確認出現問題概率較低。
• 第7步可能會影響全部鏈路訪問，如果出現問題可以進行操作回滾來恢複，影響範圍大。經過第6步確認出現問題概率低。

  詳細步驟

1. 登陸雲盾控製台-網絡安全-Web應用防火牆 控製台地址，如未開通請先開通該服務。

2. 添加防護業務

   • 域名：需要接入的域名（支持泛解析，a.com 和 www.a.com 是2個不同的域名）
   • 協議類型：業務對外提供的協議類型（如果有https業務，需要在此處勾選https協議，證書在配置完成後上傳）
   • 源站ip：業務對應的真實服務器地址

3. 上傳https證書（如有）

4. 修改電腦的本地hosts文件，讓本地的訪問經過Web應用防火牆，在不變更業務的情況下，即可進行業務通過Web防火牆牆後的測試，hosts文件修改方式參照 幫助文檔

5. 修改dns記錄，切換部分鏈路（移動、海外線路或小流量運營商）流量到Web應用防火牆，並使用 17測平台測試對應運營商的業務聯通性和訪問速度情況。

6. 確認切換的部分業務是否正常。

7. 修改dns記錄，切換全部鏈路流量到Web應用防火牆，並使用 17測平台測試所有運營商的業務聯通性和訪問速度情況。(DNS配置方式：https://help.aliyun.com/document_detail/35620.html)

8. 確認全部業務是否正常。

9. 如果所有域名都已經切至Web應用防火牆。為了防止直接攻擊源站，可以按照如下方式，配置ECS安全組或SLB白名單：https://help.aliyun.com/document_detail/42726.html

常見問題解決

故障切換

Web應用防火牆在企業版、旗艦版中(查看詳情)提供多機房冗災備份的能力，能夠在Web應用防火牆單機房故障或者不可用的時候自動切換到備份機房，無需您人工參與，切換生效時間在1-30分鍾（視各地DNS緩存為準）

其他版本或者極端情況所有Web應用防火牆不可用的情況下，我們會直接解析cname地址到您的真實服務器上保證您業務的可用性。切換生效時間在1-30分鍾（視各地DNS緩存為準,如果您源站做了訪問限製如ecs安全組、防火牆訪問控製等，則需要收到我們短信通知後進行限製解除來保證業務的可用。）

504錯誤

504錯誤說明該域名未在Web應用防火牆進行配置或者配置未生效，出現此錯誤後請檢查是否遺漏了相關域名的配置，如果確認配置正常且出現504錯誤，請先修改dns解析到源站ip恢複業務，再與我們聯係進行問題排查。

客戶端訪問https業務失敗

目前Web應用防火牆使用SNI協議對https協議進行支持，部分客戶端可能無法支持sni協議。詳細信息

最後更新：2016-11-23 17:16:08

  上一篇： cname接入指南__常見接入問題_Web 應用防火牆-阿裏雲

  下一篇： CDN結合WAF___常見接入問題_Web 應用防火牆-阿裏雲