步骤四:修改域名DNS解析设置
域名接入WAF后,WAF作为一个反向代理存在于客户端和服务器之间,服务器的真实IP被隐藏起来,Web访问者只能看到WAF的IP地址,所以您必须将域名的DNS解析指向WAF提供的CNAME地址,才可以使域名的Web请求解析到WAF进行安全防护。
域名接入前,为了确保WAF转发正常,请您先参照步骤三:本地验证通过本地验证确保一切配置正常。
前提条件
- 已将防护域名以云模式的CNAME接入方式添加到WAF,具体的操作请参见步骤一:添加防护域名(云模式)。
- 您拥有在域名的DNS服务商处修改域名解析设置的权限。
- 已在源站服务器上放行WAF回源IP段。
- (可选)已通过本地验证确保转发配置生效。
约束条件
如果接入Web应用防火墙的网站已使用如CDN、云加速等提供七层Web代理的产品,为了保证WAF的安全策略能够针对真实源IP生效,成功获取Web访问者请求的真实IP地址,请确保网站的“是否已使用代理”已配置为“是”。
规格限制
将网站接入WAF后,网站的文件上传请求限制为10G。
工作原理
- 未使用代理
当网站没有接入到WAF前,DNS直接解析到源站的IP,所以当网站接入WAF后,需要把DNS解析到WAF的CNAME,这样流量才会先经过WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。
- 使用了DDoS高防等代理
当网站没有接入到WAF前,DNS解析到高防等代理,流量先经过高防等代理,高防等代理再将流量直接转到源站。网站接入WAF后,需要将高防等代理回源地址修改为WAF的“CNAME”,这样流量才会被高防等代理转发到WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。
- 为了确保WAF转发正常,在修改DNS解析配置前,建议您参照本地验证进行本地验证确保一切配置正常。
- 为了防止其他用户提前将您的域名配置到Web应用防火墙上,从而对您的域名防护造成干扰,建议您到DNS服务商处添加“子域名”,并为它配置“TXT记录”。WAF会据此判断域名的所有权真正属于哪个用户。
操作指导
添加域名后,WAF会根据添加的域名是否已在WAF前使用了代理,生成CNAME值或者CNAME、子域名和TXT记录,用于域名解析,使网站流量切入WAF,相关操作指导参见表1。
操作步骤
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域或项目。
- 单击页面左上方的,选择“安全总览”页面。 ,进入
- 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。
- 在目标域名所在行中,单击域名,进入域名基本信息页面。
- 在“CNAME”行中,单击,复制“CNAME”值。
页面右上角弹出“复制成功”,则表示CNAME值复制成功。
- 域名接入。
- 验证域名的CNAME是否配置成功。
- 在Windows操作系统中,选择“cmd”,按“Enter”。 ,在弹出框中输入
- 执行nslookup命令,查询CNAME。
如果回显的域名是配置的CNAME,则表示配置成功。
以域名www.example.com为例。
nslookup www.example.com
后续处理
- 若用户的服务器在使用其他网络防火墙,请将其关闭或者将WAF的IP网段添加到网络防火墙的IP白名单中,否则,其他防火墙容易将WAF的IP当成恶意IP。
- 若用户的服务器上已安装个人版安全软件,建议将其更换为企业版安全软件,并将WAF的IP网段添加到该软件的IP白名单中。
生效条件
- 默认情况下,WAF每隔一小时就会自动检测每个防护域名的“接入状态”。
- 一般情况下,如果您确认已完成域名接入,“接入状态”为“已接入”,表示域名接入成功。