阿里云waf简介和如何配置​

一，阿里云waf简介

阿里云WAF（Web应用程序防火墙）是一种高效、智能的云安全服务，旨在保护Web应用程序免受各种网络攻击的威胁。它可防止诸如SQL注入、跨站点脚本（XSS）和跨站点请求伪造（CSRF）等攻击，有效保障了Web应用程序的安全性与稳定性。 阿里云WAF在Web应用程序与互联网之间构建一道安全屏障，通过拦截和检测恶意流量，防止攻击者对您的Web应用程序进行攻击。它不仅覆盖了常见的网络攻击类型，还针对新兴的攻击手段进行了防护设计，确保您的Web应用程序在面对各种威胁时都能得到全方位的保护。

二，准备工作

在购买阿里云域名之前，

你需要注册一个阿里云账号，点击：注册阿里云账号

注册好了，然后到个人中心

做一下，实名认证，建议选择企业实名，这里建议不要选择个人实名，因为个人实名，阿里云是不会开具企业发票的。

实名完以后，则去购买阿里云waf，点击：购买阿里云waf

三，阿里云waf如何配置：CNAME接入

3.1，添加域名

1.登录Web应用防火墙3.0控制台。在顶部菜单栏，选择WAF实例的资源组和地域(中国内地、非中国内地)

2.在左侧导航栏，单击接入管理

3.在CNAME接入页签，单击接入。

4.在配置监听向导页，完成如下配置后，单击下一步

5.在配置转发向导页，完成如下配置后，单击提交

6.在接入完成向导页，获取WAF提供的CNAME地址，并根据页面提示将域名的DNS解析地址设置为WAF提供的CNAME地址

完成以上配置后，您可以执行如下操作，检测域名是否添加成功:

在浏览器输入已添加的域名，如果网站能正常访问，表示域名添加成功。

在览器输入日添加的域名和Web攻走码如 被防护域名/alertxss)，alertx5)为作测减的跨对本攻击码)，如果返回405载提示项面，表示攻击被拦载，WAF防护或功

3.2，修改域名DNS解析设置

一，获取WAF CNAME地址

修改域名DNS解析设置前，您需要先获取域名对应的WAF CNAME地址。如果您在添加域名时已经获得相关地址，请跳过以下操作

1.登录Web应用防火墙3.0控制台。在顶部菜单栏，选择WAF实例的资源组和地域(中国内地、非中国内地)。

2.在左侧导航栏，单击接入管理

3.单击CNAME接入页签

4.定位到已添加的域名，单击CNAME前的图标，复制域名对应的WAF CNAME地址

二，使用云解析DNS修改域名解析

如果您的城名解折托管在阿里云云解忻DNS，您可以直接参照以下步察进行操作，如果您使用其他服务商的DNS服务，请参明以下步察在域名DNS服务商的系统上进行类似否置

1.登录云解析DNS控制台。

2.在域名解析页面，定位到要设置的域名，单击其操作列下的解析设置

3.在解析设置页面，定位到要设置的主机记录，单击其操作列下的修改

关于主机记录的选择，以 aliyun.com 域名为例:

www: 用于精确匹配www开头的域名，例如 www.aliyun.com 。

用于匹配根域名，例如 aliyun.com 。

用于匹配泛域名，包括所有子域名，例如 blog.aliyun.com 、www.aliyun.com 等

4.在修改记录对话框，选择记录类型为CNAME，修改记录值为WAF CNAME地址，其余设置保持不变。

修改DNS解析记录时，需要注意以下情况：

TTL值一般建议设置为10分钟。TTL值越大，DNS记录的同步和更新越慢。

修改域名解析时，可能由于记录类型不同而产生冲突。

对于同一个主机记录，CNAME解析记录值只能填写一个，您需要将其修改为WAF CNAME地址。

不同DNS解析记录类型间存在冲突。例如，对于同一个主机记录，CNAME记录与A记录、MX记录、TXT记录等其他记录互相冲突。在无法直接修改记录类型的情况下，您可以先删除存在冲突的其他记录，再添加一条新的CNAME记录。

5.单击确定，完成解析设置修改，等待修改后的DNS解析记录生效.

6.验证DNS解析设置。您可以ping网站域名或使用DNS检测工具验证DNS解析是否生效

3.3，本地验证

以下操作以使用Windows操作系统的本地计算机为例进行描述。

1.打开本地计算机的文件资源管理器。

2.在地址栏输入C:WindowslSystem32ldriversletclhosts，并选择使用文本编辑器打开hosts文件

3.在hosts文件最后一行添加以下记录:

<被防护域名>

其中《被防护域名表示已在WAF添加的域名，

a.登录Web应用防火墙控制台

b.在顶部菜单栏，选择Web应用防火墙实例的资源组和地域 (中国内地、非中国内地)c.在左侧导航栏，选择资产中心， 网站接入

d.在域名列表中，定位到已添加的域名，将光标放置在域名上，然后单击0，复制域名对应的WAF Cname地址e.在Windows操作系统中，打开cmd命令行工具。

f. 执行以下命令:

g.在 ping 命令的返回结果中，记录域名对应的WAF IP地址示例:假设已在WAF添加的城名是 test,aliyundoc,com ，域名对应的WAF IP地址是 47,23,xx,xx ，则在hosts文件最后一行添加以下内容:

47.23.Xx.xx test.aliyundoc.com

4.保存修改后的hosts文件，并执行 ping <被防护域名>命令，验证hosts修改已生效

预期 ping 命令解析到的IP地址是域名对应的WAF IP地址，表示hosts修改已经生效

如果解析到了源站IP地址，请刷新本地的DNS缓存(可以执行 ,ipconfi /flushdns 命令) 并重新执ping命令，直到验证hosts修改已经生效.

5.打开本地计算机的浏览器，在地址栏输入被防护域名进行访问。如果网站路正常访间，说明WAF中添加的域名设置正有效，您以在将h0s文件复原后，放心修改域名的DNS近，将网流量近至WAF进行护，更多信息，请参见修改域名DNS释听设置如果网站访问不正常，说明WAF中添加的城名设置可能有问题，建议您检查WAF中的域名接入设置，修复问题后重新进行本地验证，更多信息，请参见添加域名。

5.可选: 本地模拟简单的Web攻击命令，查看WAF的防护效果。

例如，您可以在浏览器的地址栏输入<被防护域名>/alert(xss) (这是一个用作测试的Web攻击请求)，查看针对Web应用攻击的防御效果，

预期WAF会返回一个拦截页面。

7.完成本地验证后，重新修改hosts文件，删除步骤3中添加的记录

3.4，放行WAF回源IP段

1.登录Web应用防火墙3.0控制台

2.在顶部菜单栏，选择Web应用防火墙实例的资源组和地域 (中国内地、非中国内地)

3.在左侧导航栏，单击接入管理

4.单击CNAME接入页签

5.在域名列表上方，单击Web应用防火墙回源IP网段列表

6.在回源IP段对话框，单击复制，将所有WAF回源IP复制到剪贴板.

3.5，验证域名归属权

3.6，WAF支持的加密套件

只有通过CNAME接入方式接入域名时，您可以在接入域名配置向导的配置监听任务中，自定义允许WAF使用的加密套件类型（如下图所示）。自定义加密套件类型后，WAF只监听支持指定加密套件的客户端的请求。更多信息

自定义加密套件

CNAME接入方式下，您可以通过自定义加密套件，只允许WAF监听支持以下一种或多种加密套件的客户端的业务请求：

ECDHE-ECDSA-AES128-GCM-SHA256

ECDHE-ECDSA-AES256-GCM-SHA384

ECDHE-ECDSA-AES128-SHA256

ECDHE-ECDSA-AES256-SHA384

ECDHE-RSA-AES128-GCM-SHA256

ECDHE-RSA-AES256-GCM-SHA384

ECDHE-RSA-AES128-SHA256

ECDHE-RSA-AES256-SHA384

AES128-GCM-SHA256

AES256-GCM-SHA384

AES128-SHA256

AES256-SHA256

ECDHE-ECDSA-AES128-SHA

ECDHE-ECDSA-AES256-SHA

ECDHE-RSA-AES128-SHA

ECDHE-RSA-AES256-SHA

AES128-SHA

AES256-SHA

DES-CBC3-SHA

3.7，智能负载均衡

只有在CNAME接入方式下，您可以为接入WAF防护的域名启用智能负载均衡。

启用智能负载均衡的方法如下:

1.在Web应用防火墙3.0控制台的接入管理页面，单击CNAME接入页签下的接入，打开接入域名配置向导

2.在配置监听任务中，通过更多配置，将防护资源设置为共享集群智能负载均衡.

3.在配置转发任务中，选择负载均衡算法为Least time。

3.8，域名独享IP

只有在CNAME接入方式下，您可以为接入WAF防护的域名启用独享IP.启用独享IP的方法如下:

1.在Web应用防火墙3.0控制台的接入管理页面，单击CNAME接入页签下的接入，打开接入域名配置向导.

2.在配置监听任务中，通过更多配置，为域名打开开启独享IP开关如下图所示)。

开启独享IP后，WAF为该域名生成的CNAME地址将自动解析到一个新的WAF独享IP。您可以通过Ping域名的CNAME地址进行验证。

四，阿里云waf优势

 阿里云WAF的创建与配置过程非常便捷。在阿里云控制台中，您只需选择“Web应用程序防火墙”并单击“创建WAF实例”，然后根据您的地域、计费方式以及业务需求设置实例的名称和描述即可完成创建。在WAF实例页面上，您可以添加您要保护的域名，并根据防护策略来确保您的Web应用程序免受不同类型的攻击。此外，您还可以配置哪些IP地址或IP地址段可以访问您的Web应用程序以及哪些URL路径需要进行访问控制，有效提升了应用流量的防护效果。 阿里云WAF还支持多种接入方式，如CNAME、云原生、混合云/多云等，使其能够轻松适应不同的IT环境。它通过采用DNS配置方式，将被防护域名的访问流量指向WAF，然后WAF将处理后的请求转发回源站，实现网站服务器网络隐身。这种设计无需修改DNS及对外IP，也无需源站保护，大大提升了安全性和稳定性。同时，由于所有流量转发均有ALB（负载均衡）负责，摆脱了网络限制，实现了更好的稳定性和性能。 阿里云WAF适用于各种场景，无论是云上云下、多云混合、线下IDC、专有云环境，还是互联专线或VPC之间的私网流量，都可以得到有效的防护。它支持流量的全程全量本地/其他公有云处理，并且阿里云仅设置控制台，便于统一的安全管理和运维控制。 总的来说，阿里云WAF是一种强大且高效的云安全服务，可以全方位地保护Web应用程序免受网络攻击的威胁。它不仅适用于各种场景，还具有易用性和智能性等特点，以及灵活的技术架构和高效的规则配置和统一管控能力。无论您是大型企业还是小型企业，阿里云WAF都能够为您提供安全、可靠、高效的解决方案。