企业迁移到阿里云waf基础版的注意事项与实战经验分享

1.

迁移前的评估与准备

- 统计现网流量与攻击量（例如：日均请求量 500k 次，峰值 1.2M 次/小时）。
- 确认域名解析策略（是否支持 CNAME 或需修改 A 记录）。
- 备份 Nginx/Apache 配置、SSL 证书、访问日志与应用配置。
- 检查源站承载能力（CPU、内存、带宽、磁盘 IO），例如：8 核/16GB/1Gbps 链路。
- 列出必须白名单的内网/运维 IP 与第三方服务 IP（持续更新）。
- 测试备份环境：建议先在测试域名上完成 WAF 验证再切换生产域名。

2.

DNS 与接入方式选择

- 阿里云 WAF 基础版支持通过 CNAME 接入或修改解析到 WAF 的中间地址。
- 若无法使用 CNAME（泛域名或根域绑定限制），需在域名解析处把 A 记录指向 WAF 给出的 IP（按说明操作）。
- 切换 DNS 前将 TTL 调低到 60 秒以便回滚（建议 5-10 分钟观察窗口）。
- 检查 CDN 并发接入与加速策略：WAF + CDN 联动可减少源站带宽压力。
- 确认是否使用阿里云负载均衡（SLB），若有，需在 SLB 与 WAF 之间做好真实源 IP 传递设置（X-Forwarded-For）。

3.

源站与白名单策略（避免误拦断）

- 在迁移初期将 WAF 模式设为“观察”或“宽松”，观察误报率。
- 将阿里云 WAF 与 CDN 的出口 IP 加入源站白名单，仅允许这些 IP 访问源站端口（例如：放行 80/443）。
- 示例来源站安全组规则：允许 ALIYUN_WAF_IP_RANGE、ALLOW_CDN_IPS，拒绝其他公网访问源站 80/443。
- 配置 X-Forwarded-For 或 True-Client-IP 转发，以便应用识别真实客户端 IP。
- 若源站有基于 IP 的访问控制（如 iptables），同步更新规则列表并脚本化更新流程。

4.

TLS、证书与加密套件配置

- 推荐在 WAF 端终止 TLS（启用 HTTPS 加速），并在源站与 WAF 之间启用 HTTPS 回源，保证端到端加密。
- 证书管理：可使用阿里云托管证书或上传自有证书（确保私钥与链完整）。
- 建议禁用 TLS1.0/1.1，仅启用 TLS1.2+，并配置安全套件（例如：ECDHE-RSA-AES128-GCM-SHA256）。
- 样例 nginx 回源配置片段：proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_ssl_protocols TLSv1.2 TLSv1.3;。
- 监控证书到期并设置告警，避免证书过期导致链路中断。

5.

WAF 策略调优与规则管理

- 初始策略：开启通用规则集（SQLi、XSS、文件上传）并将执行级别设为“低”观察 24-72 小时。
- 根据日志逐步提高规则严格度，并将误报页面加入放行或自定义规则。
- 使用自定义规则屏蔽已知攻击者 User-Agent、IP、URI 模式。
- 启用 CC 防护阈值：示例阈值为 200 次/分钟 同源 IP -> 触发限流。
- 定期导出 WAF 告警与日志（按天、按 URI 聚合），用于业务和安全团队审计。

6.

真实案例：电商平台迁移实战（经脱敏）

- 背景：某电商平台日峰值请求 1.1M，原源站 8 核/16GB，带宽 1Gbps，经常受 CC 和爬虫扰动。
- 迁移步骤：先在测试子域配置 WAF，配置回源 HTTPS，降低 DNS TTL，逐步切换主域到 WAF。
- 迁移结果（30 天统计）：恶意请求拦截率 93%，源站带宽峰值从 900Mbps 降到 120Mbps（含 CDN 缓存后）。
- 具体拦截数据表（示例）：

指标	迁移前	迁移后（含 WAF+CDN）
日峰值请求量	1.1M	1.1M
源站带宽峰值	900 Mbps	120 Mbps
恶意请求数/天	45,000	3,150（被 WAF 拦截）
误报率	N/A	约 0.6%（调优后）

- 运维要点：对静态资源启用更长缓存，动态接口设定更严格 WAF 规则，业务端落地限流与熔断。

7.

回滚、监控与长期维护建议

- 预先准备回滚计划：记录 DNS 原始记录、TTL 值与回滚时间窗口。
- 建立 24/7 告警：带宽异常、响应错误率（5xx）、WAF 告警增长、证书到期提醒。
- 定期复核白名单与规则库，避免长期堆积不必要的放行规则。
- 演练 DDoS 与高并发故障恢复（通过脚本自动扩容或切换备用节点）。
- 文档化：把迁移步骤、问题与解决办法写成 runbook，便于下一次迁移或新人接手。

来源：企业迁移到阿里云waf基础版的注意事项与实战经验分享