步骤四：修改域名DNS解析设置

域名接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址，所以您必须将域名的DNS解析指向WAF提供的CNAME地址，才可以使域名的Web请求解析到WAF进行安全防护。

域名接入前，为了确保WAF转发正常，请您先参照步骤三：本地验证通过本地验证确保一切配置正常。

前提条件

已将防护域名以云模式的CNAME接入方式添加到WAF，具体的操作请参见步骤一：添加防护域名（云模式）。
您拥有在域名的DNS服务商处修改域名解析设置的权限。
已在源站服务器上放行WAF回源IP段。
（可选）已通过本地验证确保转发配置生效。

约束条件

如果接入Web应用防火墙的网站已使用如CDN、云加速等提供七层Web代理的产品，为了保证WAF的安全策略能够针对真实源IP生效，成功获取Web访问者请求的真实IP地址，请确保网站的“是否已使用代理”已配置为“是”。

规格限制

将网站接入WAF后，网站的文件上传请求限制为10G。

工作原理

未使用代理
 当网站没有接入到WAF前，DNS直接解析到源站的IP，所以当网站接入WAF后，需要把DNS解析到WAF的CNAME，这样流量才会先经过WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。
使用了DDoS高防等代理
 当网站没有接入到WAF前，DNS解析到高防等代理，流量先经过高防等代理，高防等代理再将流量直接转到源站。网站接入WAF后，需要将高防等代理回源地址修改为WAF的“CNAME”，这样流量才会被高防等代理转发到WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。
- 为了确保WAF转发正常，在修改DNS解析配置前，建议您参照本地验证进行本地验证确保一切配置正常。
- 为了防止其他用户提前将您的域名配置到Web应用防火墙上，从而对您的域名防护造成干扰，建议您到DNS服务商处添加“子域名”，并为它配置“TXT记录”。WAF会据此判断域名的所有权真正属于哪个用户。

操作指导

添加域名后，WAF会根据添加的域名是否已在WAF前使用了代理，生成CNAME值或者CNAME、子域名和TXT记录，用于域名解析，使网站流量切入WAF，相关操作指导参见表1。

表1 操作指导
场景	生成的参数值	域名解析的相关操作
未使用代理	CNAME	把DNS解析到WAF的“CNAME”。
使用代理	CNAME、子域名和TXT记录	将DDoS高防等代理回源地址修改为WAF的“CNAME”。（可选）在DNS服务商处添加一条WAF的“子域名”和“TXT记录”。

操作步骤

登录管理控制台。
单击管理控制台左上角的，选择区域或项目。
单击页面左上方的，选择“安全 > Web应用防火墙”。
在左侧导航树中，选择“网站设置”，进入“网站设置”页面。
在目标域名所在行中，单击域名，进入域名基本信息页面。
在“CNAME”行中，单击，复制“CNAME”值。

页面右上角弹出“复制成功”，则表示CNAME值复制成功。
域名接入。
- 未使用代理
   到该域名的DNS服务商处，配置防护域名的别名解析，具体操作请咨询您的域名服务提供商。
- 使用了代理
   将使用的代理类服务（高防、CDN服务等）的回源地址修改为复制的目标域名的CNAME。
  为了防止其他用户提前将您的域名配置到Web应用防火墙上，从而对您的域名防护造成干扰，建议您的DNS服务商处添加“子域名”和“TXT记录”。
  1. 获取“子域名”和“TXT记录”：在“接入状态”所在行，单击“如何接入？”，在弹出的“接入指导”对话框中，复制“子域名”和“TXT记录”。
  2. 到DNS服务商处添加“子域名”，并为它配置“TXT记录”。
  WAF会根据配置“子域名”和“TXT记录”判断域名的所有权属于哪个用户。
验证域名的CNAME是否配置成功。
1. 在Windows操作系统中，选择“开始 > 运行”，在弹出框中输入“cmd”，按“Enter”。
2. 执行nslookup命令，查询CNAME。
  如果回显的域名是配置的CNAME，则表示配置成功。
  
  以域名www.example.com为例。
```
nslookup www.example.com
```