概览

云原生网关与 Web 应用防火墙（简称 WAF）深度集成，支持实例级别防护，为您的网站或业务提供一站式安全防护。

计费说明

云原生网关本身不收取 WAF 费用，由 WAF 收取相关费用，参见 应用防火墙 WAF 价格详情。

开启方式

在云原生网关控制台创建网关实例后，前往 WAF 控制台关联云原生网关实例。

前提条件

1. 已创建云原生网关实例，创建步骤可参见 创建云原生网关实例。
2. 已经完成相关域名的备案，若需要支持 HTTPS 协议，则需拥有 SSL 证书并且已经上传至 SSL 证书管理。

操作步骤

创建自定义域名

1. 登陆百度智能云 云原生网关控制台，在网关实例列表中点击目标实例名称进入实例详情页面。
2. 在左侧导航栏选择 路由管理 > 自定义域名，在自定义域名页面中点击【创建自定义域名】。
3. 在创建自定义域名弹窗中完成相关配置，然后点击【确定】。相关参数说明如下：

创建路由并关联自定义域名

1. 在左侧导航栏选择路由列表，点击【创建路由】。
2. 在创建路由页面创建路由规则，关联域名中选择【自定义域名】，在自定义域名中选择刚刚创建的自定义域名进行关联操作，并配置好目标服务。

创建成功后，路由列表返回如下。

开启 WAF 防护

创建 WAF 实例

1. 在云原生网关实例列表中找到目标实例，点击【前往购买 WAF 资源】，快速跳转至 WAF 控制台。也可在实例详情页面中点击【配置 WAF】 快速前往。

2. 在创建 WAF 实例页面选择 类型为【云原生 WAF】、类别为【云原生网关】，地域选择网关实例所在地域，并进行 WAF 实例相关配置。确认无误后点击确定完成购买。

将 WAF 实例与网关实例关联

1. WAF 实例创建成功后，返回 WAF 控制台，在接入管理中找到刚刚创建的 WAF 实例，在操作列点击【接入配置】。

2. 在关联资源中进行相关配置，点击【保存】关联成功。相关参数说明如下：

3. 在子域名配置模块可以新增需要防护的子域名信息，如图所示，在主域名 aigw.com 下新增子域名 dev.aigw.com 和 helloworld.aigw.com，点击 去添加 子域名，分别填写 dev 和 helloworld 点击保存。

4. 在云原生网关控制台，您可通过实例列表的 WAF 安全防护状态和实例详情页的 WAF 防护查看是否成功关联。

防护规则配置

Web 应用防火墙（Web Application Firewall，简称 WAF）服务防护配置详情可参见 WAF 防护配置。

实例级别防护

1. 在 WAF 控制台中选择 防护配置 > Web防护，在 Web 防护中选择【Web 基础防护】，点击【+规则模版】。

2. 在规则模版中接入类型选择【云原生WAF】。
3. 在防护站点中，系统会列出所有可选站点。找到和网关实例关联的 WAF 实例 ID，该 WAF 实例已经配置的所有完整域名和网关实例 IP 地址均会在可选站点中一次性展示。

4. 您可根据自身需求勾选对应站点：

   1. 若您期望 “IP + 域名访问” 全部经过 WAF 防护 —— 直接勾选最顶层的 WAF 实例 ID，即可一键将域名和 IP 同时纳入防护。
   2. 只希望域名访问走 WAF 防护 —— 仅勾选域名。

路由级别防护

1. 您可指定路由级别的防护规则，在 WAF 控制台中选择 防护配置 > Web防护，在 Web 防护中选择【自定义规则】。
2. 在自定义规则中点击【添加规则】。

3. 在添加规则抽屉中进行相应配置，更多说明可参见 自定义访问控制策略：

   1. 接入类型选择【云原生WAF】
   2. 匹配条件中选择【URL】，填写对应的路由 Path
   3. 处置动作选择观察/拦截/放行
   4. 在防护站点中找到与网关实例关联的 WAF 实例 ID ，选择需要防护的域名，点击【确定】保存配置
4. 以图示为例，则这条自定义规则会对 url 包含 /v1/chat/completions 的请求进行拦截，防护规则对域名 dev.aigw.com 生效。

测试请求

1. 通过子域名 helloworld.aigw.com 访问 url 包含 /v1/chat/completions 的请求，未被拦截，符合预期。

2. 通过子域名 dev.aigw.com 访问 url 包含 /v1/chat/completions 的请求，被 waf 防护拦截。
3. 可以在攻击详情看到 waf 拦截的具体信息。

关闭 WAF 防护

若您不再需要 WAF 防护，您可在 WAF 控制台释放 WAF 资源，释放后相关防护立即失效，注意： WAF 资源释放后，网关控制台的关联状态无法立即感知，存在约 30s 延迟，但实际已经生效。