同时部署CDN和WAF的配置指导

CDN加速原理

当用户访问使用CDN服务的网站时，本地DNS服务器通过CNAME方式将最终域名请求重定向到CDN服务。CDN通过一组预先定义好的策略(如内容类型、地理区域、网络负载状况等)，将当时能够最快响应用户的CDN节点IP地址提供给用户，使用户可以以最快的速度获得网站内容。

WAF防护原理

购买Web应用防火墙后，在Web应用防火墙的控制界面添加域名（配置源站服务器信息）并完成域名解析，即可启用Web应用防火墙。启用之后，您网站所有的公网流量都会先经过Web应用防火墙，恶意攻击流量在Web应用防火墙上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。

CDN+WAF的配置原理

先将域名解析到CDN，再将CDN回源地址修改为WAF的“CNAME”，这样流量才会被CDN转发到WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。配置完成后，流量会先经过CDN，再转发至WAF，实现联动防御。

同时，为了防止其他用户提前将您的域名配置到Web应用防火墙上，从而对您的域名防护造成干扰，建议您到DNS服务商处添加一条WAF的子域名和TXT记录。

前提条件

• 已有网站域名。
• 已购买WAF。
• 已将网站信息（源站服务器的IP、端口等信息）添加到WAF。
• 域名已接入CDN。
• 在域名的DNS服务商处有添加域名的权限。
• （可选）放行WAF回源段IP。源站服务器上已启用非华为云安全软件（如安全狗、云锁）时，您需要在这些软件上设置放行WAF回源段IP，防止由WAF转发到源站的正常业务流量被拦截。具体请参考源站保护最佳实践。

配置策略

以下操作以华为云CDN为例介绍配置域名解析的方法。如果您使用的是华为云CDN，您可以直接参照以下步骤进行操作；若您使用华为云以外的CDN，请参考以下步骤在其他CDN上进行类似配置。

1. 获取“CNAME”、“子域名”和“TXT记录”值。
   1. 登录管理控制台。
   2. 进入域名配置页面入口，如图1所示。
      图1 域名列表入口
      
   3. 在目标域名所在行的“防护域名”列中，单击目标域名，进入域名基本信息页面。
   4. 在域名基本信息页面，单击CNAME所在行的，复制“CNAME”。在“接入状态”所在行，单击“如何接入？”，在弹出的对话框中，复制“子域名”和“TXT记录”。
      图2 查看域名接入信息
      

2. 将CDN的主源站的源站域名修改为WAF的CNAME。
3. （可选）在DNS服务商添加一条WAF的子域名和TXT记录。
   

   为了防止其他用户提前将您的域名配置到Web应用防火墙上，从而对您的域名防护造成干扰，建议您完成此操作。

   1. 进入云解析页面的入口，如图3所示。
      图3 云解析页面入口
      
   2. 在页面的右上角，单击“添加记录集”，进入“添加记录集”页面，配置模式如图4所示。
      • “主机记录”：1.d中复制的TXT记录。
      • “类型”：选择“TXT-设置文本记录”。
      • “别名”：选择“否”。
      • “线路类型”：全网默认。
      • “TTL(秒)”：一般建议设置为5分钟，TTL值越大，则DNS记录的同步和更新越慢。
      • “值”：将1.d中复制的TXT记录加上引号后粘贴在对应的文本框，例如，"TXT记录"。
      • 其他的设置保持不变。
      图4 添加记录集
      
   3. 单击“确定”，完成子域名配置。

4. （可选）验证DNS配置。您可以Ping网站域名验证DNS解析是否生效。
   

   由于DNS解析记录生效需要一定时间，如果验证失败，您可以等待5分钟后重新检查。