Article / 文章中心

创建独享集群

发布时间:2021-03-16 点击数:329

 

购买或升级至WAF独享版后,您可以选择使用虚拟独享防护集群和公共防护集群两种形式的防护资源对您的网站进行防护。使用独享集群前,需要根据您的业务特性创建独享集群。

  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地海外地区)。
  3. 在左侧导航栏,单击系统管理 > 独享集群设置
  4. 独享集群设置页面,根据业务特性设置集群配置。
    • 选择集群地区
      说明 独享集群创建完成后,集群地区无法变更。
    • 设置服务器端口范围:选择协议类型,单击自定义,填写服务器端口范围并单击保存。当您将网站域名配置接入独享集群时,可快速选择独享集群服务器端口范围中的端口。
    • 设置防护响应页面URL:填写已上传至阿里云CDN的静态页面URL,接入独享集群防护的网站业务将使用该页面作为WAF的防护响应页面。
    • 填写默认SNI证书文件私钥文件内容:上传默认SNI证书。
    • HTTPS协议加密设置。
      • TLS协议版本:默认为支持TLS1.0及以上版本,兼容性最高,安全性较低。您可以根据安全需要选择仅支持TLS1.1或TLS1.2以上版本。
      • 加密套件
        • 选择强加密套件,兼容性较低,安全性较高,仅支持以下强加密套件:
          • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
          • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
          • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
          • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
          • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
          • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
          • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
          • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
          • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
          • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
        • 选择全部加密套件,兼容性较高,安全性较低,则除上述强加密套件外还支持以下弱加密套件:
          • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
          • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
          • TLS_RSA_WITH_AES_128_GCM_SHA256
          • TLS_RSA_WITH_AES_256_GCM_SHA384
          • TLS_RSA_WITH_AES_128_CBC_SHA256
          • TLS_RSA_WITH_AES_256_CBC_SHA256
          • TLS_RSA_WITH_AES_128_CBC_SHA
          • TLS_RSA_WITH_AES_256_CBC_SHA
          • SSL_RSA_WITH_3DES_EDE_CBC_SHA
    • 设置长连接超时时长。
      • 链接超时时长:设置建立链接的超时时长,可设置5~3600秒间的值。
      • 读链接超时时长:设置读取类链接的超时时长,可设置120~3600秒间的值。
      • 写链接超时时长:设置写入类链接的超时时长,可设置120~3600秒间的值。
    独享集群设置
  5. 单击立即创建
    系统将根据所设定的集群配置为您创建独享集群,创建集群大约需要20分钟。独享集群创建完成后,您可以在页面查看和修改独享集群的相关设置。

后续步骤

独享集群创建完成后,您就可以将具有定制化需求的业务接入独享集群进行防护。具体分为以下场景:
  • 您可以在新添加网站域名配置时,将业务接入独享集群进行防护。
  • 对于已添加的网站域名配置,您可以在网站接入页面将该域名配置记录的防护资源修改为独享集群,将业务接入独享集群进行防护。
    您也可以使用该方法将已接入独享集群的域名配置切换至公共集群。
    注意 由于独享集群和公共集群的自定义端口范围存在差异,切换时请务必确认网站域名的自定义端口配置的兼容性。

    我公司为阿里云代理商通过此页面下单购买,新老阿里云会员,均可享受我公司代理商价格!

说明 独享集群创建完成后,集群地区无法变更。
  • 设置服务器端口范围:选择协议类型,单击自定义,填写服务器端口范围并单击保存。当您将网站域名配置接入独享集群时,可快速选择独享集群服务器端口范围中的端口。
  • 设置防护响应页面URL:填写已上传至阿里云CDN的静态页面URL,接入独享集群防护的网站业务将使用该页面作为WAF的防护响应页面。
  • 填写默认SNI证书文件私钥文件内容:上传默认SNI证书。
  • HTTPS协议加密设置。
    • TLS协议版本:默认为支持TLS1.0及以上版本,兼容性最高,安全性较低。您可以根据安全需要选择仅支持TLS1.1或TLS1.2以上版本。
    • 加密套件
      • 选择强加密套件,兼容性较低,安全性较高,仅支持以下强加密套件:
        • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
        • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
        • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
        • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
        • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
        • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
        • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
        • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
        • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
        • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
      • 选择全部加密套件,兼容性较高,安全性较低,则除上述强加密套件外还支持以下弱加密套件:
        • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
        • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
        • TLS_RSA_WITH_AES_128_GCM_SHA256
        • TLS_RSA_WITH_AES_256_GCM_SHA384
        • TLS_RSA_WITH_AES_128_CBC_SHA256
        • TLS_RSA_WITH_AES_256_CBC_SHA256
        • TLS_RSA_WITH_AES_128_CBC_SHA
        • TLS_RSA_WITH_AES_256_CBC_SHA
        • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • 设置长连接超时时长。
    • 链接超时时长:设置建立链接的超时时长,可设置5~3600秒间的值。
    • 读链接超时时长:设置读取类链接的超时时长,可设置120~3600秒间的值。
    • 写链接超时时长:设置写入类链接的超时时长,可设置120~3600秒间的值。
    独享集群设置
  • 单击立即创建
    系统将根据所设定的集群配置为您创建独享集群,创建集群大约需要20分钟。独享集群创建完成后,您可以在页面查看和修改独享集群的相关设置。

    后续步骤

    独享集群创建完成后,您就可以将具有定制化需求的业务接入独享集群进行防护。具体分为以下场景:
    • 您可以在新添加网站域名配置时,将业务接入独享集群进行防护。更多信息,请参见网站接入
    • 对于已添加的网站域名配置,您可以在网站接入页面将该域名配置记录的防护资源修改为独享集群,将业务接入独享集群进行防护。
      您也可以使用该方法将已接入独享集群的域名配置切换至公共集群。
      注意 由于独享集群和公共集群的自定义端口范围存在差异,切换时请务必确认网站域名的自定义端口配置的兼容性。