更新时间:2024-03-05 GMT+08:00

步骤四:修改域名DNS解析设置

域名接入WAF后,WAF作为一个反向代理存在于客户端和服务器之间,服务器的真实IP被隐藏起来,Web访问者只能看到WAF的IP地址,所以您必须将域名的DNS解析指向WAF提供的CNAME地址,才可以使域名的Web请求解析到WAF进行安全防护。

域名接入前,为了确保WAF转发正常,请您先参照步骤三:本地验证通过本地验证确保一切配置正常。

前提条件

约束条件

如果接入Web应用防火墙的网站已使用如CDN、云加速等提供七层Web代理的产品,为了保证WAF的安全策略能够针对真实源IP生效,成功获取Web访问者请求的真实IP地址,请确保网站的“是否已使用代理”已配置为“是”

规格限制

将网站接入WAF后,网站的文件上传请求限制为10G。

工作原理

  • 未使用代理

    当网站没有接入到WAF前,DNS直接解析到源站的IP,所以当网站接入WAF后,需要把DNS解析到WAF的CNAME,这样流量才会先经过WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。

  • 使用了DDoS高防等代理

    当网站没有接入到WAF前,DNS解析到高防等代理,流量先经过高防等代理,高防等代理再将流量直接转到源站。网站接入WAF后,需要将高防等代理回源地址修改为WAF的“CNAME”,这样流量才会被高防等代理转发到WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。

    • 为了确保WAF转发正常,在修改DNS解析配置前,建议您参照本地验证进行本地验证确保一切配置正常。
    • 为了防止其他用户提前将您的域名配置到Web应用防火墙上,从而对您的域名防护造成干扰,建议您到DNS服务商处添加“子域名”,并为它配置“TXT记录”。WAF会据此判断域名的所有权真正属于哪个用户。

操作指导

添加域名后,WAF会根据添加的域名是否已在WAF前使用了代理,生成CNAME值或者CNAME、子域名和TXT记录,用于域名解析,使网站流量切入WAF,相关操作指导参见表1

表1 操作指导

场景

生成的参数值

域名解析的相关操作

未使用代理

CNAME

把DNS解析到WAF的“CNAME”

使用代理

CNAME、子域名和TXT记录

  • 将DDoS高防等代理回源地址修改为WAF的“CNAME”
  • (可选)在DNS服务商处添加一条WAF的“子域名”“TXT记录”

操作步骤

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域或项目。
  3. 单击页面左上方的,选择安全 > Web应用防火墙 WAF,进入“安全总览”页面。
  4. 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。
  5. 在目标域名所在行中,单击域名,进入域名基本信息页面。
  6. “CNAME”行中,单击,复制“CNAME”值。

    页面右上角弹出“复制成功”,则表示CNAME值复制成功。

  7. 域名接入。

    • 未使用代理

      到该域名的DNS服务商处,配置防护域名的别名解析,具体操作请咨询您的域名服务提供商。

    • 使用了代理

      将使用的代理类服务(高防、CDN服务等)的回源地址修改为复制的目标域名的CNAME。

      为了防止其他用户提前将您的域名配置到Web应用防火墙上,从而对您的域名防护造成干扰,建议您的DNS服务商处添加“子域名”“TXT记录”

      1. 获取“子域名”“TXT记录”:在“接入状态”所在行,单击“如何接入?”,在弹出的“接入指导”对话框中,复制“子域名”“TXT记录”
      2. 到DNS服务商处添加“子域名”,并为它配置“TXT记录”

      WAF会根据配置“子域名”“TXT记录”判断域名的所有权属于哪个用户。

  8. 验证域名的CNAME是否配置成功。

    1. 在Windows操作系统中,选择开始 > 运行,在弹出框中输入“cmd”,按“Enter”
    2. 执行nslookup命令,查询CNAME。

      如果回显的域名是配置的CNAME,则表示配置成功。

      以域名www.example.com为例。

      nslookup www.example.com

后续处理

  • 若用户的服务器在使用其他网络防火墙,请将其关闭或者将WAF的IP网段添加到网络防火墙的IP白名单中,否则,其他防火墙容易将WAF的IP当成恶意IP。
  • 若用户的服务器上已安装个人版安全软件,建议将其更换为企业版安全软件,并将WAF的IP网段添加到该软件的IP白名单中。

生效条件

  • 默认情况下,WAF每隔一小时就会自动检测每个防护域名的“接入状态”
  • 一般情况下,如果您确认已完成域名接入,“接入状态”“已接入”,表示域名接入成功。