文档首页 > > 最佳实践> WAF接入配置最佳实践> 单独使用WAF配置指导

单独使用WAF配置指导

分享
更新时间:2020/08/17 GMT+08:00

当网站没有接入到WAF前,DNS直接解析到源站的IP。网站接入WAF后,需要把DNS解析到WAF的CNAME,这样流量才会先经过WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。本文介绍通过DNS配置模式接入WAF时,如何在已添加网站配置后,配置域名解析,实现业务接入。

原理图

图1 未使用代理配置原理图

前提条件

  • 已有网站域名。
  • 购买WAF
  • 已将网站信息(源站服务器的IP、端口等信息)添加到WAF
  • 在域名的DNS服务商处有更新DNS记录的权限。
  • (可选)放行WAF回源段IP。源站服务器上已启用非华为云安全软件(如安全狗、云锁)时,您需要在这些软件上设置放行WAF回源段IP,防止由WAF转发到源站的正常业务流量被拦截。具体请参考源站保护最佳实践
  • (可选)进行本地验证。通过本地验证确保WAF转发规则配置正常后,再修改网站域名的DNS解析记录,防止因配置错误导致业务中断。具体请参考本地验证

操作背景

  • 如果您之前在DNS云解析服务上添加的域名主机记录的“类型”“CNAME-将域名指向另外一个域名”,可参照CNAME接入完成配置。
  • 如果您之前在DNS云解析服务上添加的域名主机记录的“类型”“A-将域名指向IPv4地址”,可参照A记录接入完成配置。

CNAME接入

以下操作以华为云云解析DNS为例介绍修改域名CNAME解析记录的方法。如果您的域名的DNS解析托管在华为云云解析DNS上,您可以直接参照以下步骤进行操作;若您使用华为云以外的DNS服务,请参考以下步骤在域名的DNS服务商的系统上进行类似配置。

  1. 获取CNAME值。

    • 如果您正在添加防护域名,在配置域名基本信息后,请参考以下方式获取域名的CNAME值。

      单击“复制”,获取防护域名的CNAME值,如图2图3所示。

      图2 域名接入(使用代理)
      图3 域名接入(未使用代理)
    • 如果您已完成添加域名,请参考以下操作步骤获取域名的CNAME值。
      1. 进入域名配置页面入口,如图4所示。
        图4 网站列表入口
      2. 在目标域名所在行的“防护网站”列中,单击目标域名,进入域名基本信息页面。
        图5 查看基本信息
      3. “CNAME”信息行,单击,复制“CNAME”值。

  2. 域名解析。

    1. 进入云解析页面的入口,如图6所示。
      图6 云解析页面入口
    2. 在目标域名所在行的“操作”列,单击“修改”,进入“修改记录集”页面。
    3. 在弹出的“修改记录集”对话框中修改记录值,如图7所示。
      • “主机记录”:在WAF中配置的域名。
      • “类型”:选择“CNAME-将域名指向另外一个域名”
      • “线路类型”:全网默认。
      • “TTL(秒)”:一般建议设置为5分钟,TTL值越大,则DNS记录的同步和更新越慢。
      • “值”:修改为已复制的WAF CNAME地址。
      • 其他的设置保持不变。

      关于修改解析记录:

      • 对于同一个主机记录,CNAME解析记录不能重复,您需要将已存在的解析记录的CNAME修改为WAF CNAME地址。
      • 同一解析记录下,不同DNS解析记录类型间可能存在冲突。例如,对于同一个主机记录,CNAME记录与A记录、MX记录、TXT记录等其他记录互相冲突。在无法直接修改记录类型的情况下,您可以先删除存在冲突的其他记录,再添加一条新的CNAME记录。删除其他解析记录并新增CNAME解析记录的过程应尽可能在短时间内完成。如果删除A记录后没有添加CNAME解析记录,可能导致域名无法正常解析。

      域名解析类型的限制规则请参见为什么会提示解析记录集已经存在?

      图7 修改记录集
    4. 单击“确定”,完成DNS配置,等待DNS解析记录生效。

  3. (可选)验证DNS配置。您可以Ping网站域名验证DNS解析是否生效。

    由于DNS解析记录生效需要一定时间,如果验证失败,您可以等待5分钟后重新检查。

A记录接入

A记录接入和CNAME接入的流程大体相同,区别在于以下两点:

  • 获取WAF CNAME后,执行以下步骤,获取WAF IP地址。
    1. 在Windows操作系统中,打开cmd命令行工具。
    2. 执行以下命令:ping "已复制的WAF Cname地址"。
    3. 返回结果中,记录WAF IP地址。
  • 5中修改记录时,执行以下操作:
    • “类型”:修改为“A-将域名指向IPv4地址”
    • “值”:修改为已获得的WAF IP地址。
    • 其他设置保持不变。
分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!非常感谢您的反馈,我们会继续努力做到更好!
反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问