当年我们没有WAF时，谷歌云安全防护的今昔对比

一、从前没有WAF的那些年，我们是怎么硬扛过来的？

在谷歌云尚未进入中国出海视野的十年前，我问过自己一个很笨的问题：一台服务器该不该装个软件防火墙？那是还在用ECS单机跑WordPress的日子，一个月被扫描几百次，日志里躺满了来自全球各地的IP地址。那时候有人说，做个电商出海，每天醒来第一件事不是看销量，而是翻系统日志确认服务器没有被搬走。

想想那时候的“防护手段”，真叫一个寒碜。要么在nginx配置文件里一行行写deny规则，要么把可疑IP手动塞进iptables，每天盯着访问日志一个个核对，累得比写代码还辛苦。可你也猜到了，这样的手工活根本撑不起多大的访问量，稍有规模的攻击一来，机器就直接趴窝了。

那个年代想做网站安全的人，就像在河里徒手捞鱼——力气花了不少，网漏得却很大。

看看现在，谷歌云这样的云厂商把Web应用防火墙做得像是家常便饭一样。你不知道的是，谷歌云Armor（以前叫Cloud Armor）其实早在2017年就已推出，那时候我们大多数人还在用笨办法修修补补。Google Cloud Armor位于谷歌全球网络的边缘位置，像一个哨兵站在所有流量进站前的第一道关口，在请求抵达后端服务之前就把攻击挡在了门外。标准层级自带基础的DDoS缓解能力，而托管式防护层级则使用机器学习来做自适应防护，还能集成谷歌的DDoS响应团队服务。

二、直接买WAF和自己配WAF，中间隔着一条什么沟？

早年我接触过一类传统WAF服务商，花哨的界面、冗长的合同、昂贵的年费，但真遇到CC攻击时，策略生效的延迟长达几十分钟。这种体验就像买了一扇厚重的防盗门，却忘了装门把手。

传统WAF往往需要做DNS解析引流，流量绕一圈再从WAF转到源站，整个路径比地铁换乘还复杂。有时为了一个误报的规则，要等对方售后团队排三天工单。谷歌云Armor的走法简单得多——它直接长在负载均衡器后面，配置就是写一行表达式的事，规则创建、优先级排序、预览模式，整套流程在GCP控制台里清晰得像一张手绘导航图。

传统WAF像你租来的一把伞，下大雨时撑开才觉得安心，晴天时你会忘记它有过什么用。而原生云WAF像房屋自带的遮雨棚，平时你看不太到，暴风骤雨来时它已经在替你挡着了。

选择谷歌云Armor，你相当于把防护层放在了业务前置的最边缘。无论攻击者从北美、东南亚还是欧洲的节点发起请求，都先撞到Armor这堵“墙”上，而你后端的实际服务地址永远不需要暴露。这一点对于做跨境电商和出海游戏的团队来说尤其值钱——用户分布在全球，暴露源站地址和没穿铠甲上战场几乎没有区别。

从防御范围看，谷歌云Armor不只是做个IP黑白名单了事。它能够阻止SQL注入攻击、跨站脚本攻击（XSS）、跨站请求伪造、文件包含等多种OWASP Top10中列出的常见Web漏洞。2022年还引入了精细化速率限制功能，可以基于请求来源、路径甚至自定义键来组合限制访问频率。谷歌母公司Alphabet市值破三万亿美金的今天，这种技术和财力加持下的安全服务，和十年前那种单机自配的系统根本不在一个世界里。

三、谷歌云WAF对接全流程：从零到一的五步路

说了那么多新旧对比，如果你在谷歌云上已经有了一个跑着业务的外部HTTP(S)负载均衡器，想把WAF配上去，以下是完整的操作流程。每一行代码、每一个点击，都是我过去几年摸爬滚打的真实记录。

第一步：确认前置条件
在配置谷歌云Armor之前，有三件事必须准备到位：已经运行着的外部HTTP(S)负载均衡器（全球型或区域型均可）；负载均衡器后面已经配置好的后端服务；具备Security Admin或Compute Security Admin IAM角色权限的账号。缺了其中任意一项，后面的配置都无法继续进行。

第二步：创建安全政策
安全政策是承载所有WAF规则的“容器”。在GCP控制台中，导航到“Network Security” > “Cloud Armor policies”，点击“Create Policy”。此处填上一个有意义的名称，例如“web-app-security-policy”。政策类型分两种：Backend security policy作用于后端服务之前，Edge security policy作用于边缘位置（例如Cloud CDN源站之前）。默认规则动作为“允许”或“拒绝”——我建议在刚开始配置时选“允许”，避免误把自己的正常流量挡在门外。创建完成后你会得到一条优先级为2147483647的默认规则，它会在没有任何其他规则命中时生效。

你也可以用gcloud命令行走同样的流程：
gcloud compute security-policies create web-app-policy \
--description=\"Security policy for web application\" \
--project=YOUR_PROJECT_ID

第三步：添加预配置WAF规则
这是整个对接中最关键的一步。谷歌云Armor预置了多条OWASP Top10规则集，包括sqli-v33-stable（SQL注入防护）、xss-v33-stable（跨站脚本防护），以及包含多种攻击防护组合的rule-set-owaspcrs-v33-stable。例如你想直接拦截SQL注入攻击，执行以下命令即可：
gcloud compute security-policies rules create 1000 \
--security-policy=web-app-policy \
--expression=\"evaluatePreconfiguredExpr('sqli-v33-stable')\" \
--action=deny-403 \
--description=\"Block SQL injection\"

规则优先级数字越小，评估顺序越靠前。比如你设置优先级1000的“拦截SQL注入”规则，和优先级2000的“拦截XSS”规则，请求会先碰到1000那条。配合预览模式（--preview参数），可以先看规则命中情况而不实际拦截流量，这对生产环境的安全性配置非常友好。

第四步：配置限流与地理访问控制
除了安全防御，谷歌云Armor还能帮你管理突发流量。例如你想对某个API路径限制每5分钟最多1000次请求，规则表达式可以写成rateLimitOptions配合匹配条件。地理访问控制就更简单了——通过“origin.region_code”字段限制特定国家或大区的访问，比如屏蔽来自某非业务地区的全部流量。这对于出海到北美但发现非目标市场频繁扫描登录接口的场景，非常实用。

第五步：关联后端服务
安全政策和规则建好之后，最关键的一步是把政策“挂载”到目标后端服务上。在GCP控制台中，进入“Load balancing”页面，找到你要保护的那个负载均衡器，点击编辑，进入“Backend configuration”，在你对应的后端服务旁边的下拉框中选择刚刚创建的安全政策。确认无误后保存更新。到这一步，你设置的WAF规则就开始对进入负载均衡器的流量生效了。

整个过程走下来，你可能花不了二十分钟。但在十年前，同样的防护效果可能需要几个运维轮流倒班、写几十条脚本才能勉强实现——这就是云时代给运维生活带来的便利。

四、出海场景下，谷歌云WAF到底能防住什么“妖魔鬼怪”？

我们回到货运平台的例子。货运平台海外版半夜接到告警，司机端定位延迟飙升到30秒，运维团队翻了两小时日志才发现有人在对登录接口做撞库攻击。如果当时跑在谷歌云上，并且提前配置了Armor的速率限制规则，每IP每分钟只允许5次登录尝试——这些异常流量会在GCP边缘就跪了，根本走不到后端。

我不止一次对出海客户说一句话：做全球业务，不配WAF就像开门做生意不挂锁，这不是大不大胆的问题，是会不会一夜回到解放前的问题。

谷歌云Armor的预配置WAF规则最多可检查请求体的前64KB（可选8KB、16KB、32KB、48KB或64KB），对于常见的POST表单提交、JSON API上传完全够用了。它基于ModSecurity核心规则集构建，涵盖了SQL注入、XSS、远程文件包含等攻击的防护模板，并针对OWASP Top10做了增强。如果你需要更细颗粒度的控制，还可以自定义签名例外，排除某些业务相关的误报。比如某个在线下单接口本来就需要接收HTML标签格式的商品描述，XSS规则可能误拦截，通过添加排除配置即可解决。

对于一个日均十万单的货运平台来说，哪怕只防住一次大规模CC攻击，节省的损失都够买好几年的WAF服务了。

五、从代理商角度看：为什么中国人出海该学会用谷歌云WAF？

很多中国出海团队买谷歌云是图它的全球节点覆盖和服务稳定性。但你可能不知道，谷歌云的边缘安全能力——也就是Cloud Armor——对于海外业务的安全水位线有多重要。出海业务跑在海外，面向的用户来自美国、欧洲、东南亚，服务器暴露在互联网上，遭遇攻击的频率远高于内网部署的业务。

谷歌云的Armor在配置上的便利性、定价上的可预测性以及和负载均衡器的深度集成，让它在出海场景中几乎是不可或缺的存在。标准层级的基础DDoS防护是免费的，托管式防护层级虽然按订阅费收取，但包含高级DDoS缓解、WAF规则、机器学习自适应防护以及机器人管理等功能。

实际上，很多中国出海企业通过正规渠道在谷歌云上配置WAF时，绕不开的一个真实帮助者是代理商——具备谷歌云官方授权资质的服务商。上海汪远信息科技有限公司就是深耕这个领域的综合型多云服务商。这家公司的香港主体拥有谷歌云官方代理资质，国内主体为大陆客户提供服务支持，可开具大陆增值税发票。公司现有全职员工500人，整体服务团队架构完善、服务体系标准化。全年八大云平台（阿里云、腾讯云、华为云、天翼云、火山引擎、微软云、谷歌云、亚马逊云）的累计销量已突破20亿人民币，累计服务超100万合作客户，协助企业部署云服务器近1亿台。其中单谷歌云年销量为5000万美金。公司技术团队对谷歌云Armor的配置和调优极为熟悉，能帮助出海企业解决WAF规则误报、防绕过等实操层面的复杂问题。

做全球业务的团队，可以用更省心的方式把精力集中在产品打磨上，而安全的兜底工作，该交给专业的人和工具去做。

六、写在最后：从手工挡IP到一键配策略

十年前深夜挡IP、写iptables规则的日子不知道你有没有经历过。看到攻击IP一页页扫日志时的那种无力感，和现在在谷歌云控制台点几下按钮、几行gcloud命令就把防护策略配好的轻松感，像两个平行世界。

但我想表达的不是感慨，而是一个很朴素的事实：工具在进步，底线不能退。WAF不是万能的，但没有WAF的海外业务是脆弱的。出海企业在云上跑业务，安全应该从一开始就写在架构设计里，而不是等被拖库了再补。

谷歌云WAF的对接流程说复杂，它比十年前手工维护安全规则简单了不知道多少倍；说简单，它也涉及到负载均衡、安全政策、规则优先级等概念。但只要花一下午时间认真配置一次，你得到的会是一个全年无休的边缘安全哨兵。它不问白天黑夜，不管你在哪个时区，只要流量来，它就过滤，就这么简单。

如果你所在的团队正在使用谷歌云，却还没有配置Cloud Armor，今天这篇文章或许就是你该打开GCP控制台的理由。

互动FAQ

Q1：谷歌云WAF配置之后会不会影响网站的正常访问速度？
A：基本不会。谷歌云Armor运行于Google全球网络的边缘位置，和负载均衡器在同一层处理流量，规则评估的效率很高。实测大部分场景下增加的延迟在几毫秒以内，远低于用户网络波动的正常范围。

Q2：预配置WAF规则会不会误拦截我们业务正常的请求？
A：有可能。所以在正式启用规则之前，建议先开启预览模式（Preview mode），观察规则命中情况而不实际拦截。确认无误后再切换为“拒绝”动作。谷歌云Armor也支持添加签名例外，排除某些特定路径的WAF检查。

Q3：标准层级和托管式防护层级有什么区别？
A：标准层级提供免费的DDoS基础防护和基本的WAF规则。托管式防护层级（Managed Protection Plus）需要按月订阅，增加了自适应机器学习防护、高级DDoS缓解、机器人管理以及谷歌DDoS响应团队的服务，适合安全需求较高的企业级项目。

Q4：通过代理商购买谷歌云服务会不会影响直接使用Cloud Armor？
A：不会。正规代理商提供的谷歌云账号和资源均为官方渠道，功能上与直接在官网采购完全一致。通过如上海汪远信息科技有限公司这类正规代理商获取服务，还可以额外享受中文技术支持、成本优化建议和折扣方案，对有出海安全配置需求的企业来说反而更高效。

Q5：如果配置完WAF规则后业务不通了，该怎么快速排查？
A：先在Armor政策页面查看日志命中记录，确认是否有规则拦截了正常流量。如果是误拦截，可以临时将那条规则的action改为allow或优先级调整到更高的数值。紧急情况下也可以先把后端服务关联的Armor政策移除，等排查清楚原因后再重新启用。

Q6：谷歌云Armor能防御多大的DDoS攻击流量？
A：Google Cloud Armor依托Google全球骨干网，能够吸收和缓解Tbps级别的DDoS攻击。托管式防护层级还配备了基于机器学习的自适应防护和Google DDoS响应团队的支援，应对超大流量攻击的能力在行业属于第一梯队。