CLOUD技术笔记阿里云的SLB(Server Load Balancer,负载均衡)本身不具备WAF(Web应用防火墙)功能,它是一个四层(TCP/UDP)和七层(HTTP/HTTPS)的流量分发服务,核心能力是负载分担、健康检查、SSL卸载等,不提供Web攻击防护(如SQL注入、XSS、CC攻击、恶意爬虫等)能力。
✅ 正确答案:
- ❌ SLB 不内置WAF功能;
- ✅ 如需WAF防护,必须单独购买并使用阿里云WAF产品(即「Web应用防火墙」),它是一个独立的安全服务。
📌 补充说明:
-
WAF与SLB的协同方式:
实际部署中,常见架构是:
用户请求 → 阿里云WAF(公网IP/域名) → SLB(内网或私网地址) → 后端ECS
即WAF作为第一道安全网关,清洗恶意流量后,将干净流量转发给SLB;SLB再进行负载分发。二者通过VPC内网互通,低延迟、高可靠。 -
SLB的HTTPS监听 ≠ WAF:
虽然SLB支持HTTPS证书卸载和TLS协议处理,但这仅解决加密传输问题,不检测或阻断应用层攻击(如/admin?sql=1%27%20UNION%20SELECT...),而WAF会深度解析HTTP请求头/Body进行规则匹配与防护。 -
替代方案注意:
- 阿里云ALB(Application Load Balancer) 是新一代七层负载均衡器,虽增强可观测性与高级路由能力,但仍不包含WAF引擎;
- 部分云厂商(如腾讯云CLB+Web应用防火墙集成)有更紧密联动,但阿里云当前仍为解耦设计,WAF是独立产品。
-
计费方式:
- WAF需单独开通并按QPS峰值、带宽、请求数、规则扩展包等维度计费(支持包年包月/按量付费);
- SLB费用与WAF无关,按实例规格、带宽、LCU(Load Balancer Capacity Unit)等计费。
✅ 建议实践:
- 若业务面向公网且有合规/安全要求(如等保三级、防OWASP Top 10),务必部署WAF;
- 可结合SLB的访问控制(ACL)、安全组、DDoS基础防护,构建多层防御体系;
- 使用阿里云「云防火墙」或「WAF+CDN+SLB」组合,进一步提升防护深度与性能。
如需,我可为您提供典型部署架构图或WAF接入SLB的具体配置步骤(如DNS解析、回源设置、证书管理等)。