943      人物

接入手册__常见接入问题_Web 应用防火墙-阿里云

Web应用防火墙(Web Application Firewall, 简称 WAF)基于云安全大数据能力实现，通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击，过滤海量恶意访问，避免您的网站资产数据泄露，保障网站的安全与可用性。

Web应用防火墙是针对单个域名提供安全防护的产品，接入前后对比如下图：

接入准备

• 以a.com及其子域名为例：

注意：

1) a.com 和 www.a.com 对WAF来说是不同的域名，如两个都需访问，都需要配置

2） 当泛域名*.a.com和精确www.a.com 同时存在时，首先进行精确匹配，匹配不到的再走泛域名

• 检查需要接入Web应用防火墙的业务域名和服务器IP，同时确认如下几点：
  • 该域名仅提供80,443端口的业务。（如有其他端口如8081、8082，请提前说明，我们会确认是否支持）
  • 该服务器IP未安装相关安全防护软件，如果安装需将Web应用防火墙回源地址加入白名单中防止被误拦截。
  • 该域名是否已经在阿里云完成备案，未备案的域名无法访问会被阿里云备案系统拦截。

接入Web应用防火墙

• 第1-4步不影响实际业务，可以提前完成配置，并且完成Web应用防火墙的配置检查。
• 第5步可能会影响修改dns解析的链路访问，如果有出现问题可以进行操作回滚来恢复，影响范围较小。经过第4步确认出现问题概率较低。
• 第7步可能会影响全部链路访问，如果出现问题可以进行操作回滚来恢复，影响范围大。经过第6步确认出现问题概率低。

  详细步骤

1. 登陆云盾控制台-网络安全-Web应用防火墙 控制台地址，如未开通请先开通该服务。

2. 添加防护业务

   • 域名：需要接入的域名（支持泛解析，a.com 和 www.a.com 是2个不同的域名）
   • 协议类型：业务对外提供的协议类型（如果有https业务，需要在此处勾选https协议，证书在配置完成后上传）
   • 源站ip：业务对应的真实服务器地址

3. 上传https证书（如有）

4. 修改电脑的本地hosts文件，让本地的访问经过Web应用防火墙，在不变更业务的情况下，即可进行业务通过Web防火墙墙后的测试，hosts文件修改方式参照 帮助文档

5. 修改dns记录，切换部分链路（移动、海外线路或小流量运营商）流量到Web应用防火墙，并使用 17测平台测试对应运营商的业务联通性和访问速度情况。

6. 确认切换的部分业务是否正常。

7. 修改dns记录，切换全部链路流量到Web应用防火墙，并使用 17测平台测试所有运营商的业务联通性和访问速度情况。(DNS配置方式：https://help.aliyun.com/document_detail/35620.html)

8. 确认全部业务是否正常。

9. 如果所有域名都已经切至Web应用防火墙。为了防止直接攻击源站，可以按照如下方式，配置ECS安全组或SLB白名单：https://help.aliyun.com/document_detail/42726.html

常见问题解决

故障切换

Web应用防火墙在企业版、旗舰版中(查看详情)提供多机房冗灾备份的能力，能够在Web应用防火墙单机房故障或者不可用的时候自动切换到备份机房，无需您人工参与，切换生效时间在1-30分钟（视各地DNS缓存为准）

其他版本或者极端情况所有Web应用防火墙不可用的情况下，我们会直接解析cname地址到您的真实服务器上保证您业务的可用性。切换生效时间在1-30分钟（视各地DNS缓存为准,如果您源站做了访问限制如ecs安全组、防火墙访问控制等，则需要收到我们短信通知后进行限制解除来保证业务的可用。）

504错误

504错误说明该域名未在Web应用防火墙进行配置或者配置未生效，出现此错误后请检查是否遗漏了相关域名的配置，如果确认配置正常且出现504错误，请先修改dns解析到源站ip恢复业务，再与我们联系进行问题排查。

客户端访问https业务失败

目前Web应用防火墙使用SNI协议对https协议进行支持，部分客户端可能无法支持sni协议。详细信息

最后更新：2016-11-23 17:16:08

  上一篇： cname接入指南__常见接入问题_Web 应用防火墙-阿里云

  下一篇： CDN结合WAF___常见接入问题_Web 应用防火墙-阿里云