阿里云提供强大的Web 应用防火墙 (WAF)来保护您的基于云的服务和网站免受黑客的常见技术和威胁。

本教程将引导您完成购买 WAF 服务并设置服务以供使用的过程。

要学习本教程，您需要一个阿里云帐户，并且您需要知道如何登录并进入主控制台屏幕。如果您还没有帐户，可以在Alibaba Cloud: Cloud Computing Services
注册。作为新用户，您还将获得 300 美元的赠金。

关于阿里云WAF

传统防火墙通过阻止对指定 TCPIP 端口或对指定 IP 地址的访问来保护服务器，而Web 应用程序防火墙
旨在检测似乎试图未经授权访问基于 Web 的应用程序的流量，或进行欺诈。

它阿里云 WAF通过操作受保护站点的“上游”来工作。要使用它，您需要将站点的DNS
设置更改为指向 WAF。然后它过滤传入流量，拒绝违规数据包，并转发所有允许的流量。

在本教程中，我们将使用 WAF 来保护托管在阿里云服务器上的应用程序。​​​​​​​
还可用于保护在阿里云提供的服务器以外的服务器上运行的应用程序 - 如果您想了解更多信息，请在您的帐户上提出支持请求。

WAF 有效应对的威胁通常是 OWASP（开放 Web 应用程序安全项目）材料中涵盖的威胁，包括：

• SQL注入攻击
• XSS（跨站脚本）
• HTTP洪水攻击
• 网络犯罪分子使用的端口扫描和其他侦察技术
• 从已知的不良 IP 地址访问（来自各种威胁情报数据库）
• 攻击者试图从网站上抓取或以其他方式收集大量数据
• 针对特定应用程序的已知漏洞，例如 WordPress

WAF 检测传统黑客攻击和欺诈的能力尤为重要，它可以检测人类和自动机器人的欺诈尝试。这将对那些特别容易受到此类威胁的行业感兴趣，例如运输、银行和保险、医疗保健、政府、电子商务和房地产。

先决条件

要使用阿里云 WAF，您需要启动并运行您希望保护的基于 Web 的应用程序。您还需要：

• 受保护服务的域名和 IP 地址
• SSLTLS 证书和私钥（如果站点是安全的）
• 更新受保护服务的 DNS 设置的必要权限（尽管如果受保护站点托管在阿里云上，这可以为您自动完成）

如果您还没有建立并运行站点，您可以在阿里云上快速轻松地创建一个。在本教程中，我们将保护位于www.my-test-domain-123.com的 WordPress 安装，其公共 IP 地址为 184.168.221.42。用于创建站点的精确步骤超出了本教程的范围，但可以总结如下。

1. 在控制台中，使用“初学者”实例大小和“WordPress on Ubuntu”市场映像创建一个ECS实例。
   您还需要在出现提示时创建一个 VPC 和一个 VSwitch
    - 为每个名称选择一个名称，并为其他所有内容使用默认设置。
2. 在控制台中，购买弹性 IP (EIP)
   地址并将其分配给 ECS 实例。
3. 在控制台中，注册一个域名并将其 DNS“A”名称绑定到您购买的弹性 IP 地址。
4. 访问您购买的域名的新网站，您应该会在 WordPress 配置屏幕上找到自己，准备完成其安装。

一个月的服务器成本，包括域名注册在内，大约是 10 美元，如果你是阿里云的新用户，你可以使用 300 美元的新用户积分中的一部分来支付。

如何订阅 WAF 服务

在部署和配置 WAF 之前，您需要购买服务。如果您还没有这样做，请登录您的阿里云控制台，然后在安全下选择 Web 应用程序防火墙。

你会看到一个看起来像这样的屏幕

单击购买 WAF 订阅按钮。

然后您将看到以下屏幕，您可以在该屏幕上指定您的要求，然后再进行购买。

如果您要保护的服务托管在中国大陆，请选择屏幕顶部的中国大陆选项。否则选择全局。

依次单击 Pro、Business 和 Enterprise 按钮​​，并阅读为每个按钮显示的规范。选择最适合您的选项。在本教程中，我们将使用 Pro 选项。

Pro、Business 和 Enterprise 选项可让您分别保护 1、3 或 5 个顶级域。每个顶级域最多可以免费添加 9 个子域。因此，如果您希望保护 www.mycompany.com 和 mail.mycompany.com，那么您只需支付保护一个域的费用。

如果您需要保护其他域，则可以通过“额外域”选项执行此操作，或者选择商业或企业包而不是 Pro。

您也可以从此屏幕购买额外的专有 IP 地址和额外流量（单击 Pro、Business 或 Enterprise 按钮​​时会显示每个包中包含的流量）。

选择服务时间，即您想要 WAF 的持续时间。目前我们将选择一个月，但您最多可以购买三年的服务。提前支付更长的时间将为您带来高达 15% 的折扣。

做出选择后，单击立即购买按钮，您将看到订单摘要。您还需要勾选方框以同意服务条款。

最后点击支付按钮查看最终订单摘要，然后再次点击支付按钮进行支付。您的付款将被处理。

完成支付并激活服务需要几分钟时间。要检查状态，请单击指向您的订单管理页面的链接。如果您需要稍后返回该页面，请从主控制台主页开始，然后在顶部菜单行的账单管理下，单击订单。

等到状态从 Paying 更改为 Paid，此时您的 WAF 就可以使用了。

配置WAF

购买完成后，我们现在可以继续部署 WAF。首先，登录到控制台，然后像以前一样从“安全”菜单中选择“ Web 应用程序防火墙”。

请注意，WAF 画面默认为中国大陆地区。如果您仍然看到“立即购买”按钮，并且您购买了国际 WAF 区域，这就是原因。将当前区域更改为国际。

您现在可以看到主 WAF 屏幕。

该屏幕显示您选择保护的域（目前还没有）、您的 WAF 订阅的到期日期以及一些进一步的信息。

单击添加域。

填写您要保护的站点的名称和 IP 地址。

如果您愿意，域名条目允许使用通配符（例如 .ourcompany.com）。

如果您的站点在不止一台服务器上运行，因此有不止一个 IP 地址，您最多可以指定 20 个 IP 地址。否则，只需输入您的单个服务器的地址。如果您指定多个 IP 地址，它们将自动进行负载平衡，在这种情况下，您可以选择 IP 哈希或循环算法。

在轮询负载均衡的情况下，列表中的每个 IP 地址都会被轮流使用。在 IP 哈希负载平衡中，数据包的源地址和目标地址的哈希用于确定使用输入的 IP 地址中的哪一个。除非您有特定的理由不这样做，否则我们建议您选择 IP 哈希。

准备好后，单击下一步。

如果您包含 HTTPS 协议，请注意，系统会要求您上传域的证书和私钥。为简单起见，我们将在本教程中坚持使用 HTTP。

WAF 通过将自身定位在您的站点前面来工作，以便它可以过滤所有传入流量。因此，您需要更改站点的 DNS 设置以指向 WAF 而不是您的实际站点。然后，WAF 将接受所有传入流量，对其进行过滤，并将过滤后的流量传递到您的实际站点。要激活 WAF，您需要更改站点的 DNS 设置。如果网站托管在阿里云上，那么这可以自动完成，出现的屏幕将告诉您如何操作。

只需确保选择了自动分辨率，然后单击下一步按钮。如果更改成功，您将看到以下内容

单击“确定”，然后单击“返回 Web 列表”以检查您的 WAF 的状态。您可能会看到一条错误消息，因为 DNS 尚未更新。

等待几分钟并再次检查（从控制台的安全菜单中选择Web 应用程序防火墙，然后在管理下单击网站配置）。

几分钟后，DNS 设置应该会生效，您会看到一切正常。

WAF 现在正在监视您的站点，并保护您免受数据库注入和跨站点脚本等常见威胁。如果你愿意，你可以把它留在那里。但是，您可能更愿意通过添加新规则或编辑现有规则来根据您的需要定制 WAF。如果您想这样做，只需单击“策略”链接即可开始。

监控 WAF

启动并运行 WAF 后，您可以选择让它在后台运行以保护您的站点。但是，您也可以偶尔登录以阅读有关已阻止威胁的报告。这是一个很好的安全实践。为此，首先登录控制台。从 Security 部分选择Web Application Firewall​​​​​​​
，然后使用屏幕左侧的 Reports 部分中的选项查看流量、被阻止的威胁等详细信息。