文档首页/ Web应用防火墙 WAF/ 帮助面板/ 帮助面板二级页面-网站设置/ Step1:添加防护域名/IP
更新时间:2025-04-25 GMT+08:00
分享

Step1:添加防护域名/IP

  • 接入Web应用防火墙的网站已使用公网ELB(Elastic Load Balance)代理用作负载均衡,为了保证WAF的安全策略能够针对真实源IP生效,“是否使用七层代理”请务必选择“是”,如果选择“否”,则Web应用防火墙无法获取Web访问者请求的真实IP地址。
  • 同一个域名对应不同端口为不同的防护对象。

    例如www.example.com:8080和www.example.com:8081为两个不同的防护对象,且占用两个域名防护配额。如果您需要防护同一域名的多个端口,您需要将该域名和端口逐一添加到WAF。

  • WAF支持防护多级别单域名(例如,一级域名example.com,二级域名www.example.com等)和泛域名(例如,*.example.com)。
表1 防护对象配置参数说明

参数

子参数

说明

示例

防护对象

-
  • 域名:由一串用点分隔的英文字母组成(以字符串的形式来表示服务器IP),用户通过域名来访问网站。
  • IP:访问网站所使用的IP地址。
  • 单域名:www.example.com
  • 一级域名:example.com
  • 泛域名:*.example.com

防护端口

-

需要防护的域名对应的业务端口。

  • 标准端口
    • 80:HTTP对外协议默认使用端口
    • 443:HTTPS对外协议默认使用端口
  • 非标准端口

    80/443以外的端口

    须知:
    • 如果防护域名使用非标准端口,请查看WAF支持哪些非标准端口?,确保购买的WAF版本支持防护该非标准端口。
    • 如果防护域名配置了非标准端口,访问网站时,需要在网址后面增加非标准端口进行访问(例如,www.example.com:81),否则访问网站时会出现404错误。

80

服务器配置

对外协议

客户端(例如浏览器)请求访问网站的协议类型。WAF支持“HTTP”“HTTPS”两种协议类型。

HTTP

源站协议

WAF转发客户端(例如浏览器)请求的协议类型。包括“HTTP”“HTTPS”两种协议类型。

HTTP

源站地址

网站服务器的私有IP地址。

登录ECS或ELB控制台,在实例列表中查看对应服务器的私有IP地址。

XXX.XXX.1.1

VPC

选择购买的独享引擎实例所在的VPC。

vpc-default

源站端口

WAF转发客户端请求到服务器的业务端口。

80

(可选)证书

-

对外协议选择“HTTPS”时,需要在WAF上配置证书,将证书绑定到防护域名。

须知:
  • WAF当前仅支持PEM格式证书。如果证书为非PEM格式,请参考如何将非PEM格式的证书转换为PEM格式?转化证书格式。
  • 您可以在华为云SCM管理控制台购买证书并推送到WAF,当前华为云SCM证书只能推送到“default”企业项目下。如果您使用其他企业项目,则不能选择使用SCM推送的SSL证书。

-

是否使用七层代理

-

接入WAF的网站已使用公网ELB(Elastic Load Balance)代理用作负载均衡,为了保证WAF的安全策略能够针对真实源IP生效,请务必选择“是”,否则Web应用防火墙无法获取Web访问者请求的真实IP地址。

-
  • 80/443端口业务防护配置
    1. 防护端口:选择“标准端口”
    2. 对外协议:
      • 防护80端口:选择“HTTP”协议。
      • 防护443端口:选择“HTTPS”协议。
      • 同时防护80端口和443端口:配置两条服务器地址,“对外协议”分别选择HTTP、HTTPS,如图1所示。
        图1 同时防护80端口和443端口
        • 图1中红框内的参数配置是固定的配置,其他参数配置根据实际情况进行配置。
        • 此场景下,访问网站时,域名后可以不加端口号进行访问。例如,在浏览器中直接输入“http://www.example.com”访问网站。
  • 客户端请求转发到不同的源站服务器

    配置场景:同一个防护对象,需要WAF将客户端请求转发到不同的源站服务器。

    例如,需要将防护域名www.example.com,防护端口8080添加到WAF防护,并需要WAF将请求转发到两台后端服务器。

    1. 防护域名:www.example.com
    2. 防护端口:8080
    3. 对外协议:系统会根据选择的防护端口,自动匹配对外协议。仅HTTP协议支持防护8080端口,因此,添加的两条服务器地址中的“对外协议”都配置为HTTP,具体配置如图2所示。
      图2 客户端请求转发到不同的源站服务器
      • 图2中红框内的参数配置是固定的配置,其他参数配置根据实际情况进行配置。
      • 此场景下,访问网站时,域名后必须加端口号进行访问,否则会报404错误。例如,在浏览器中输入“http://www.example.com:8080”访问网站。
  • 同一域名对应不同的防护端口

    同一个域名对应不同非标准端口视为不同的防护对象,例如www.example.com:8080和www.example.com:8081为两个不同的防护对象,且占用两个域名防护配额。如果您需要防护同一域名的多个端口,您需要将该域名和端口逐一添加到WAF。

根据您的业务场景的不同,WAF提供灵活的协议类型配置。以www.example.com为例,WAF可配置如下四种访问模式:

  • HTTP访问模式,“对外协议”“源站协议”都配置为HTTP,如图3所示。
    此场景下,客户端访问网站和WAF转发请求到源站,均使用HTTP传输,适用于不需要加密传输的场景。
    图3 HTTP协议访问模式
    • 图3中红框内的参数配置是固定的配置,其他参数配置根据实际情况进行配置。
    • 此种配置表示用户只能通过http://www.example.com访问网站,如果用户通过https://www.example.com访问网站,会收到302跳转响应,浏览器跳转到http://www.example.com。
  • HTTPS访问模式,“对外协议”“源站协议”全部配置为HTTPS时,当使用HTTP协议访问服务器时,会强制跳转为HTTPS协议,如图4所示。
    此场景下,客户端访问网站和WAF转发请求到源站,均使用HTTPS加密传输,适用于需要加密传输的场景。
    图4 HTTPS协议访问强制跳转模式
    • 图4中红框内的参数配置是固定的配置,其他参数配置根据实际情况进行配置。
    • 用户直接通过https://www.example.com访问网站,网站返回正常内容。
    • 用户通过http://www.example.com访问网站,用户会收到301跳转响应,浏览器跳转到https://www.example.com。
  • HTTP/HTTPS分别转发模式,配置两条服务器配置,一条“对外协议”“源站协议”全部配置为HTTP,一条“对外协议”“源站协议”全部配置为HTTPS,如图5所示。
    此场景仅适用于防护标准端口(80/443)的场景。
    图5 HTTP/HTTPS分别转发模式
    • 图5中红框内的参数配置是固定的配置,其他参数配置根据实际情况进行配置。
    • 用户通过http://www.example.com访问网站,网站返回正常内容,没有跳转,网站内容不加密传输。
    • 用户通过https://www.example.com访问网站,网站返回正常内容,没有跳转,网站内容加密传输。
  • 使用WAF做HTTPS卸载模式,“对外协议”选择“HTTPS”“源站协议”选择“HTTP”,如图6所示。
    此场景下,客户端访问网站时,采用HTTPS协议加密传输,WAF转发请求到源站使用HTTP协议。
    图6 使用WAF做HTTPS卸载模式
    • 图6中红框内的参数配置是固定的配置,其他参数配置根据实际情况进行配置。
    • 用户通过https://www.example.com访问网站,但是WAF到源站依然使用HTTP协议。
父主题: 帮助面板二级页面-网站设置

相关文档