华为云"DDoS高防+云模式WAF"联动

操作场景

该任务指导用户如何配置域名解析，实现华为云“DDoS高防+WAF（Web应用防火墙）”联动。

DDoS高防和云模式WAF联动后，流量会先经过DDoS高防，再转发至WAF，实现联动防御。

图1 联动原理

如果您在DDoS高防使用同一实例和端口防护了多个域名，且域名源站为WAF CNAME时。当您在WAF侧的CNAME对应源站IP不同时，将WAF CNAME都Bypass后，会导致DDoS高防所有绑定相同高防IP和端口的域名不可用。

前提条件

• 已成功购买高防实例。
• 已购买Web应用防火墙云模式，并且已配置防护域名。

约束条件

• “DDoS高防+云模式WAF”联动仅支持域名防护。

例如，example.com和www.example.com是两个不同的域名，在配置“DDoS高防+WAF”时，需要分别进行配置。

操作步骤

1. 获取WAF CNAME值。
   1. 登录管理控制台。
   2. 单击管理控制台左上角的，选择区域或项目。
   3. 单击页面左上方的，选择“安全与合规 > Web应用防火墙 WAF”。
   4. 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。
   5. 在“域名”列，单击要获取CNAME值的域名。
   6. 在“基本信息”界面，单击“是否使用七层代理”后的。
      图2 基本信息
      
   7. 在弹出界面，选择“否”，单击“确认”。
   8. 在“基本信息”界面，复制CNAME。
      图3 复制CNAME
      

2. 把WAF CNAME值配置到DDoS高防。
   

   配置WAF联动后，网站类业务不需要上传证书。

   1. 单击页面左上方的，选择“安全与合规 > DDoS防护 AAD”。
   2. 选择“DDoS高防 > 域名接入”，进入“域名接入”页面。
   3. 根据实际选择“中国大陆”或“中国大陆外”。
   4. 单击“添加域名”。
   5. 填写域名信息，单击“下一步”。
      图4 配置网站类域名信息
      

      表1 参数说明

      参数	说明
      防护域名	用户的实际业务对外提供服务所使用的域名。域名填写支持泛域名，例如 *.domain.com。
      源站类型	选择“源站域名”。 填写源站域名的转发协议和源站端口。 填写复制的WAF CNAME。
      服务器配置	填写源站服务器使用的转发协议和端口。

   6. 在“选择实例与线路”界面，选择需要使用的高防实例和对应的高防IP，单击“提交并继续”。
      图5 选择实例与线路
      

3. 单击“下一步”。
4. 在“修改DNS解析”页面，复制DDoS高防的CNAME，单击“完成”。
   图6 复制DDoS高防CNAME
   

5. 修改DNS解析。
   1. 单击页面左上方的，选择“网络 > 云解析服务 DNS”，进入云解析服务管理控制台。
   2. 单击“公网域名”。
   3. 在目标域名所在行，单击“管理解析”。
   4. 单击“添加记录集”，添加CNAME记录集。
      图7 添加记录集
      

      表2 关键参数

      参数	说明
      主机记录	填写DDoS高防中配置的域名。
      记录类型	选择“CNAME-将域名指向另外一个域名”。
      线路类型	选择“全网默认”。
      TTL (秒)	指解析记录在本地DNS服务器的缓存时间。如果您的服务地址经常更换，建议TTL值设置相对小些，反之，建议设置相对大些。
      记录值	填写复制的DDoS高防CNAME地址。

      

      DNS解析发布需要一定时间，大部分域名在5分钟内可以切换完成。