如果您的业务服务器部署在华为云上,您可以通过购买WAF独享引擎实例对重要的域 名或仅有IP的Web服务进行防护。购买独享引擎实例后,您还需要为实例配置弹性负 载均衡,弹性负载均衡可以通过流量分发扩展应用系统对外的服务能力,同时通过消 除单点故障提升应用系统的可用性。
独享模式支持按需计费模式,按使用时长收费。
须知
购买WAF独享模式前,请确认已提交工单申请开通独享模式。否则,您将无法购买独 享模式实例。
前提条件
● 已获取管理控制台的登录帐号(拥有WAF Administrator/WAF FullAccess与BSS Administrator权限)与密码。
● 已成功创建虚拟私有云VPC。
约束条件
如果WAF独享引擎实例与源站不在同一个VPC中,需要在安全组中设置实例与源站的 子网互通。您可以通过对等连接打通不同VPC之间的网络。
说明
有关支持购买WAF的区域说明,请参见Web应用防火墙支持防护哪些区域?。
原则上,在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发 效率,建议您在购买WAF时,根据防护业务的所在区域就近选择购买的WAF区域。
规格限制
步骤4 首次购买WAF时,在界面左侧,单击“立即购买WAF”。
说明
再次购买WAF时,请在界面右上角,单击“购买WAF/升级规格”。
步骤5 (可选)在“企业项目”下拉列表中选择您所在的企业项目。
● “default”为默认企业项目,帐号下原有资源和未选择企业项目的资源均在默认企业项目 内。
● 只有注册的华为云帐号购买WAF时,“企业项目”下拉列表中才可以选择到“default”。
步骤6 在“购买Web应用防火墙”界面,选择“独享模式”。
步骤7 配置WAF实例参数,如图2-3所示,相关参数说明如表2-1所示。
用户指南 2 开通 WAF
图2-3 配置 WAF 独享引擎实例
表2-1 WAF 独享引擎实例参数说明 参数名称 说明
区域 支持购买WAF独享模式的区域说明,请参见Web应用防火墙支持防 护哪些区域?。
原则上,在任何一个区域购买的WAF支持防护所有区域的Web业 务。但是为了提高WAF的转发效率,建议您在购买WAF时,根据防 护业务的所在区域就近选择购买的WAF区域。
可用区 选择区域中的可用区。
WAF实例名称 前缀
设置WAF实例名称前缀,购买多个实例时,实例前缀名称相同。
WAF实例数量 设置购买的WAF实例个数。
建议至少购买2个WAF实例,并将业务分别部署到WAF实例上。当 业务部署多个WAF实例时,如果某个WAF实例发生故障时,WAF会 自动将流量切换到其它正在运行的WAF实例上,确保业务正常运 行。
WAF实例规格 选择实例的规格,支持“WI-500”和“WI-100” 。
参数名称 说明 WAF实例创建 类别
选择实例的资源类型,相关说明如下:
● 资源租户类
WAF实例通过弹性网卡接入用户网络,如果使用ELB接入,仅支 持独享型ELB。
● 普通租户类
WAF实例将直接创建在用户ECS中,您可以在ECS管理控制台查 看创建的WAF实例。
CPU架构 选择实例的CPU架构。
ECS规格 选择实例的ECS规格。
虚拟私有云 选择源站所在的VPC。
的“TCP”、“80”协议端口规则。
– 出方向规则
默认。放通全部出方向网络流量。
有关添加安全组规则的详细操作,请参见添加安全组规则。
● 如果WAF独享引擎实例与源站不在同一个VPC中,需要在安全组中设置 实例与源站的子网互通。
步骤8 确认参数配置无误后,在页面右下角单击“立即购买”。
步骤9 确认订单详情无误并阅读《华为云Web应用防火墙免责声明》后,勾选“我已阅读并 同意《华为云Web应用防火墙免责声明》”,单击“去支付”,完成购买操作。
步骤10 进入“付款”页面,选择付款方式进行付款。
创建WAF独享引擎实例后,您可以查看实例信息、查看实例的监控信息、升级实例版 本以及删除实例。
WAF 通信安全授权
如果业务使用WAF独享模式部署方式,直接访问VPC内的数据需要开通相应的安全组 规则,而开通相应的安全组规则需要获取用户授权,此授权过程称为通信安全授权。
成功购买WAF独享引擎后,WAF默认开启通信安全授权,即开通如表2-2所示的安全 组规则。
表2-2 WAF 通信安全授权安全组规则
协议端口 类型 源地址 描述
入方向规则
TCP: 22 IPv4 100.64.0.0/10 WAF远程运维 出方向规则
TCP: 9011 IPV4 100.125.0.0/16 WAF事件日志上报 TCP: 9012 IPV4 100.125.0.0/16 WAF事件日志上报 TCP: 9013 IPV4 100.125.0.0/16 WAF事件日志上报 TCP: 9018 IPV4 100.125.0.0/16 WAF策略同步 TCP: 9019 IPV4 100.125.0.0/16 WAF心跳日志上报 TCP: 4505 IPV4 100.125.0.0/16 WAF策略同步 TCP: 4506 IPV4 100.125.0.0/16 WAF策略同步 TCP: 50051 IPV4 100.125.0.0/16 WAF性能日志上报 TCP: 443 IPV4 100.125.0.0/16 WAF策略同步