从零开始阿里云服务器waf自己部署安全策略配置教程
2026年4月14日
1.
准备工作与架构设计(概览)
1) 确认资源:ECS(如 ecs.c6.large: 2 vCPU / 4GB)、公网 EIP、域名已备案并可修改 DNS。2) 确认服务:购买阿里云 WAF(基础或高级)、阿里云 CDN 可选以降低源站压力。
3) 网络拓扑:浏览器 -> CDN(可选)-> WAF(CNAME 或透明模式)-> 负载均衡/独立 ECS 后端。
4) 端口与协议:常用 80/443,后台健康检查端口 80 或自定义 8080;WAF 作为七层防护,不替代 DDoS 高防。
5) 证书与 HTTPS:建议在 WAF 侧配置证书(阿里云 CA 或自签证书用于测试),同时后台也启用 HTTPS 双向或单向加密以保证链路安全。
6) 日志与监控:开启访问日志、攻击日志并接入 Log Service 进行可视化与告警。
2.
阿里云 WAF 开通与基础配置步骤
1) 控制台开通:登录阿里云控制台 -> Web 应用防火墙 -> 购买对应实例(选择地域与计费方式)。2) 域名接入:在 WAF 控制台添加网站,填写域名 example.com,选择接入方式(CNAME 或 IP 方式)。
3) 回源配置:设置回源地址为内网或负载均衡地址(示例:回源 192.168.10.5:80 或后端域名 origin.example.net)。
4) SSL 配置:上传证书或使用阿里云证书服务,配置证书链并启用 HTTPS 转发。
5) 健康检查:配置检测路径 /health 或 /status,期望 200 返回码;默认间隔 10s,超时 5s,连续失败 3 次触发回源切换。
3.
关键安全策略与规则模板配置
1) 默认策略:启用 SQL 注入、XSS、命令注入 和 本地文件包含 的默认托管规则集。2) CC/速率限制:为接口 /login 设置阈值:20 次/10 秒/单 IP 拒绝 60 秒(示例策略)。
3) IP 白/黑名单:将管理 IP(如 203.0.113.5)加入白名单;将恶意来源 IP(如 198.51.100.23)加入黑名单。
4) 自定义正则规则:对 header、body、URI 进行正则匹配,例如:匹配常见 SQL 注入关键字 (?i)(union|select|sleep)\b。
5) 风险评分与放行策略:设置基于累计风险评分的阻断阈值(如评分>=80 拒绝),低于阈值仅告警。
4.
示例规则表(真实案例演示)
以下为一组示例策略表,展示规则 ID、名称、动作与优先级,便于在控制台中逐项对照配置:| 规则ID | 规则名称 | 匹配条件 | 动作 | 优先级 |
|---|---|---|---|---|
| 1001 | SQLi 默认拦截 | URI/Body 包含 union/select | 阻断(403) | 10 |
| 1002 | XSS 防护 | 存在 |