接入WAF（云模式-CNAME接入）

购买云模式后，您需要将防护域名接入WAF，使网站流量切入WAF。WAF检测过滤恶意攻击流量后，将正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。

域名接入WAF前，请您确认防护域名是否使用了CDN、高防等代理。

未使用代理

在客户端和WAF之间未使用代理。

• 当网站没有接入到WAF前，DNS直接解析到源站的IP，用户直接访问服务器。
• 当网站接入WAF后，需要把DNS解析到WAF的CNAME，这样流量才会先经过WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。

图1 未使用代理配置原理图

使用代理

在客户端和WAF之间使用代理。

图2 使用代理配置原理图

• 当网站没有接入到WAF前，DNS解析到代理，流量先经过代理，代理再将流量直接转到源站。
• 网站接入WAF后，需要将域名解析到WAF，这样流量才会被代理转发到WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。

云模式接入WAF配置流程图

图3 网站接入WAF的操作流程图-云模式（CNAME接入）

请确保域名经过ICP备案，WAF会检查域名备案情况，未备案域名将无法添加。

1. 在左侧导航栏中，选择“网站设置”。
2. 单击“添加防护网站”。
3. 选择“云模式-CNAME接入”，单击“开始配置”。

   如果您的域名托管在华为云云解析服务上，您可以直接单击“快速添加云内域名”，快速添加域名。

   防护域名支持多级别单域名（例如，一级域名example.com，二级域名www.example.com等）和泛域名（例如，*.example.com）。

   

   如果各子域名对应的服务器IP地址相同：输入防护的泛域名。例如：子域名a.example.com，b.example.com和c.example.com对应的服务器IP地址相同，可以直接添加泛域名*.example.com。

4. 将网站接入WAF防护。
   执行以下四步，完成域名接入。

   1. 添加防护域名
   2. WAF回源IP加白

      域名接入WAF后，建议您卸载源站服务器上的其他安全软件，或者配置只允许来自WAF的访问请求访问您的源站，这样既可保证访问不受影响，又能防止源站IP暴露后被黑客直接攻击。

   3. 本地验证，确保WAF转发正常。

      为了确保WAF转发正常，在修改DNS解析配置前，建议您先通过本地验证确保一切配置正常，避免域名配置错误影响业务。

   4. 修改域名DNS解析设置

      场景	生成的参数值	域名解析的相关操作
      未使用代理	CNAME	把DNS解析到WAF的“CNAME”。
      使用代理	CNAME、子域名和TXT记录	将CDN、DDoS高防等代理回源地址修改为WAF的“CNAME”。 （可选）在DNS服务商处添加一条WAF的“子域名”和“TXT记录”。

5. 验证域名已接入。

   域名“接入状态”为“已接入”，说明域名接入成功，WAF即可对域名进行防护。域名接入后，WAF自动开启防护。

   

   WAF每隔一小时就会自动检测防护网站的 “接入状态”，当WAF统计防护网站在5分钟内达到20次访问请求时，将认定该防护网站已成功接入WAF。