更新时间:2023-03-01 GMT+08:00
华为云"DDoS高防+WAF"联动
操作场景
该任务指导用户如何配置域名解析,实现华为云“DDoS高防+WAF(Web应用防火墙)”联动。
如果您在DDoS高防防护的多个WAF Cname使用的是同一个高防IP和端口。后续您在WAF控制台将该域名工作模式切换为“Bypass”模式时,会导致DDoS高防所有绑定相同高防IP和端口的域名不可用。
前提条件
- 已成功购买高防实例。
- 已购买Web应用防火墙,并且已配置防护域名。
约束条件
- “DDoS高防+WAF”联动仅支持域名防护。
xxx.com和www.xxx.com是两个域名。例如,example.com和www.example.com是两个不同的域名,在配置“DDoS高防+WAF”时,需要分别进行配置。
- 同一个高防IP+端口只能配置一种源站类型,若您配置过源站域名后,无法再配置源站IP。
操作步骤
- 获取WAF CNAME值。
- 登录管理控制台。
- 单击管理控制台左上角的
,选择区域或项目。 - 单击页面左上方的
,选择。 - 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。
- 在网站列表左上角,单击“添加防护网站”。
- 在“防护网站”列,单击要获取CNAME值的域名。
- 在“基本信息”界面,单击“是否已使用代理”后的
。
- 在弹出的“是否已使用代理”界面,选择“是”,单击“确定”。
- 在“基本信息”界面,复制“接入地址”、“子域名”和“TXT记录”。
图1 Web应用防火墙“防护域名”基本信息
- 单击页面左上方的
,选择,进入云解析服务管理控制台。 - 添加记录集。
图2 添加记录集-TXT
表1 参数说明 参数
说明
主机记录
填写复制的“子域名”。
类型
选择“TXT – 设置文本记录”。
线路类型
选择“全网默认”。
TTL(秒)
指解析记录在本地DNS服务器的缓存时间。如果您的服务地址经常更换,建议TTL值设置相对小些,反之,建议设置相对大些。
值
填写复制的“TXT记录”。
- 把WAF CNAME值配置到DDoS高防。
- 进入域名列表入口,如图3所示。
- 在域名列表左上角,单击“添加域名”。
- 填写域名信息,单击“下一步”。
图4 配置网站类域名信息
表2 参数说明 参数
说明
防护域名
用户的实际业务对外提供服务所使用的域名。域名填写支持泛域名,例如 *.domain.com。
源站类型
- 选择“源站域名”。
- 填写复制的WAF CNAME(接入地址)。
- 在“选择实例与线路”界面,选择需要使用的高防实例和对应的高防IP,单击“下一步”。
图5 选择实例与线路
- 在“修改DNS解析”界面,复制自动生成的DDoS高防CNAME地址,单击“下一步”。
图6 修改DNS解析
- 配置WAF联动后,网站类业务不需要上传证书。
- 配置WAF联动后,“WEB基础防护”和“CC防护”按钮不需要开启。
- 修改DNS解析。
- 单击页面左上方的,选择,进入云解析服务管理控制台。
- 单击“删除”,删除防护域名类型为“A”的记录集。
删除“A”类型记录集时,可能会影响当前业务,建议在业务较少时段配置。
- 单击“添加记录集”,添加记录集方法详见表3。
图7 添加记录集-CNAME
表3 参数说明 参数
说明
主机记录
填写DDoS高防中配置的域名。
类型
选择“CNAME-将域名指向另外一个域名”。
线路类型
选择“全网默认”。
TTL (秒)
指解析记录在本地DNS服务器的缓存时间。如果您的服务地址经常更换,建议TTL值设置相对小些,反之,建议设置相对大些。
值
填写复制的DDoS高防CNAME地址。
DNS解析发布需要一定时间,大部分域名在5分钟内可以切换完成。
- 单击页面左上方的
以上步骤完成后,流量会先经过DDoS高防,再转发至WAF,实现联动防御。
父主题: DDoS高防最佳实践
