未使用代理的网站通过CNAME方式接入WAF

应用场景

随着数字化应用的逐步深入，很多企业业务都通过Web应用来承载，如企业官网网站、网上商城、远程办公系统等，一般都直接暴露在互联网上，极易成为黑客攻击的目标，根据历史数据分析，约75%的信息安全攻击都是针对Web应用的，同时Web应用及组件的漏洞也较多，历史上就爆发过著名的Log4J漏洞，对大部分Web应用都产生了深远的影响。

本章节介绍在接入WAF前网站没有使用任何代理产品（如未使用DDoS高防、CDN等），如何通过云模式-CNAME接入方式将网站接入WAF进行防护，保障网站的安全性和可用性。

方案架构

当网站没有接入到WAF前，DNS直接解析到源站的IP。网站接入WAF后，需要把DNS解析到WAF的CNAME，这样流量才会先经过WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。

图1 未使用代理配置原理

方案优势

使网站流量经过WAF，WAF通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，拦截恶意流量，将正常流量转发回源站，保护了Web服务安全稳定。

资源与成本规划

步骤一：购买云模式标准版

1. 登录Web应用防火墙控制台。
2. 在页面右上角，单击“购买WAF实例”，进入购买页面，“WAF模式”选择“云模式”。
   • “区域”：根据防护业务的所在区域就近选择购买的WAF区域。
   • “版本规格”：选择“标准版”。
   • “扩展包”及“购买时长”：根据具体情况进行选择。

3. 确认参数配置无误后，在页面右下角单击“立即购买”。
4. 确认订单详情无误后，阅读并勾选《Web应用防火墙免责声明》，单击“去支付”，完成购买操作。
5. 进入“付款”页面，选择付款方式进行付款。

   订单支付成功后，单击“进入Web应用防火墙控制台”，进入WAF“总览”页面。将鼠标悬停在“产品信息”区域，查看已购实例版本及其详细规格。

步骤二：将网站信息添加到WAF

1. 在左侧导航树中，选择“网站设置”，进入网站设置列表。
2. 在网站列表的左上角，单击“添加防护网站”。
3. 选择“云模式-CNAME接入”并单击“开始配置”。
4. 根据界面提示，配置网站信息，如表2所示。
   图2 基础信息配置
   

   表2 重点参数说明

   参数	参数说明	取值样例
   防护域名	需要添加到WAF中防护的域名。 域名已完成备案 支持单域名（例如，一级域名example.com，二级域名www.example.com等）和泛域名（例如，*.example.com）。	www.example.com
   防护端口	需要防护的域名对应的业务端口。	标准端口
   服务器配置	网站服务器地址的配置。包括对外协议、源站协议、源站地址、源站端口和权重。 对外协议：客户端请求访问服务器的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站协议：Web应用防火墙转发客户端请求的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站地址：客户端访问的网站服务器的公网IP地址（一般对应该域名在DNS服务商处配置的A记录）或者域名（一般对应该域名在DNS服务商处配置的CNAME）。 源站端口：WAF转发客户端请求到服务器的业务端口。 权重：负载均衡算法将按权重将请求分配给源站。	对外协议：HTTP 源站协议：HTTP 源站地址：IPv4 XXX .XXX.1.1 源站端口：80
   是否使用七层代理	在WAF前是否使用了其他七层代理产品。此处选择“否”。	否

5. 单击“下一步”，完成防护网站基本信息填写。根据“添加防护网站”面板提示，完成如下操作：
   图3 添加域名完成
   
   1. 放行回源IP
   2. 本地验证

   完成上述步骤后，您可以在域名列表，查看已添加的域名“接入状态”。此时，域名“接入状态”为“未接入”，原因为“修改DNS解析”。

步骤三：修改DNS解析

如果您之前在DNS云解析服务上添加的域名主机记录的“类型”是“CNAME-将域名指向另外一个域名”，请参照以下操作步骤接入WAF。

以下操作以华为云云解析DNS为例介绍修改域名CNAME解析记录的方法。如果您的域名的DNS解析托管在华为云云解析DNS上，您可以直接参照以下步骤进行操作；若您使用华为云以外的DNS服务，请参考以下步骤在域名的DNS服务商的系统上进行类似配置。

1. 获取CNAME值。
   1. 登录Web应用防火墙控制台。
   2. 在控制台左上角，单击图标，选择区域或项目。
   3. 在左侧导航栏，单击“网站设置”。
   4. 在目标域名所在行中，单击目标域名名称，进入域名基本信息页面。
      图4 查看基本信息
      
   5. 在“CNAME”信息行，单击，复制“CNAME”值。

2. 域名解析。
   1. 进入云解析页面的入口，如图5所示。
      图5 云解析页面入口
      
   2. 在目标域名所在行的“操作”列，单击“修改”，进入“修改记录集”页面。
   3. 在弹出的“修改记录集”对话框中修改记录值。
      图6 修改记录集
      

      表3 修改记录集

      参数	参数说明	取值样例
      记录类型	记录集的类型，此处为CNAME类型。 对于同一个主机记录，CNAME解析记录不能重复，您需要将已存在的解析记录的CNAME修改为WAF CNAME地址。 同一解析记录下，不同DNS解析记录类型间可能存在冲突。 例如，对于同一个主机记录，CNAME记录与A记录、MX记录、TXT记录等其他记录互相冲突。 在无法直接修改记录类型的情况下，您可以先删除存在冲突的其他记录，再添加一条新的CNAME记录。删除其他解析记录并新增CNAME解析记录的过程应尽可能在短时间内完成。如果删除A记录后没有添加CNAME解析记录，可能导致域名无法正常解析。 域名解析类型的限制规则请参见添加记录集时，为什么会提示“与已有解析记录冲突”。	CNAME
      主机记录	解析域名的前缀，默认为空。 例如，创建的域名为“example.com”，其“主机记录”设置包括： www：用于网站解析，表示解析的域名为“www.example.com”。 空：用于网站解析，表示解析的域名为“example.com”。 主机记录置为空，还可用于为空头域名“@”添加解析。 abc：用于子域名解析，表示解析的域名为“example.com”的子域名“abc.example.com”。 mail：用于邮箱解析，表示解析的域名为“mail.example.com”。 *：用于泛解析，表示解析的域名为“*.example.com”，匹配“example.com”的所有子域名。	www
      线路类型	解析的线路类型用于DNS服务器在解析域名时，根据访问者的来源，返回对应的服务器IP地址。默认值为“全网默认”。	全网默认
      TTL(秒)	解析记录在本地DNS服务器的缓存时间，以秒为单位。默认值为“300”。取值范围为：1~2147483647。 如果您的服务地址经常更换，建议TTL值设置相对小些，反之，建议设置相对大些。	300
      记录值	填写您要指向的别名，只能填写一个域名，此处为1已复制的WAF CNAME地址。 请勿将当前CNAME解析对应的IP直接配置为防护域名。	xxxxxxxdc1b71f718f233caf77.waf.huaweicloud.com
      高级配置(可选)	设置记录集的别人、权重、描述。此处保持默认即可。	--

   4. 单击“确定”，完成DNS配置，等待DNS解析记录生效。

      完成以上配置后，您可以在域名解析记录页签，查看修改的域名解析记录。

3. （可选）验证DNS配置。您可以Ping网站域名验证DNS解析是否生效。

   由于DNS解析记录生效需要一定时间，如果验证失败，您可以等待5分钟后重新检查。

操作结果验证

• 接入状态验证。

  完成以上配置后，WAF会根据是否为网站域名配置了CNAME记录，每隔30分钟自动检测两周内新增或更新的域名接入状态。如果域名创建时间在两周前，且最近两周内没有任何修改，您可以在域名“接入状态”栏，单击，手动刷新接入状态。

  接入状态说明：

  • 未接入：网站域名没有配置CNAME记录。您可参照域名/IP接入状态显示“未接入”，如何处理？重新完成域名接入。
  • 已接入：域名已成功接入WAF，即域名已配置CNAME记录。
• 网站访问验证

  在浏览器中输入防护域名，测试网站域名是否能正常访问；手动模拟简单的Web攻击命令，验证WAF防护是否生效。