网站接入流程(云模式)
该配置指导您如何将防护域名以CNAME接入方式接入WAF,使网站的访问流量全部流转到WAF进行检测防护。
约束限制
- WAF云模式的CNAME接入方式可以防护通过域名访问的Web应用/网站,包括云上或云下的域名。
- 将网站接入WAF后,网站的文件上传请求限制为10G。
背景信息
网站在接入WAF前使用代理或未使用代理的接入配置说明如下:
- 使用代理
网站在接入WAF前已使用高防、CDN(Content Delivery Network,内容分发网络)、云加速等代理,如图1所示。
- 当网站没有接入到WAF前,DNS解析到代理,流量先经过代理,代理再将流量直接转到源站。
- 网站接入WAF后,需要将代理回源地址修改为WAF的“CNAME”,这样流量才会被代理转发到WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。
- 将代理回源地址修改为WAF的“CNAME”。
- (可选)在DNS服务商处添加一条WAF的子域名和TXT记录。
- 未使用代理
网站在接入WAF前未使用代理,如图2所示。
- 当网站没有接入到WAF前,DNS直接解析到源站的IP,用户直接访问服务器。
- 当网站接入WAF后,需要把DNS解析到WAF的CNAME,这样流量才会先经过WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。
网站接入流程说明
购买WAF云模式后,您可以参照图3所示的配置流程,快速使用WAF。
|
操作步骤 |
说明 |
|---|---|
|
配置域名、协议、源站等相关信息。 |
|
|
如果您的源站服务器安装了其他安全软件或防火墙,建议您配置只允许来自WAF的访问请求访问您的源站,这样既可保证访问不受影响,又能防止源站IP暴露后被黑客直接攻击。 |
|
|
添加域名后,为了确保WAF转发正常,建议您先通过本地验证确保一切配置正常,然后再修改DNS解析。 |
|
域名接入WAF后,WAF作为一个反向代理存在于客户端和服务器之间,服务器的真实IP被隐藏起来,Web访问者只能看到WAF的IP地址。
收集防护域名的配置信息
在添加防护域名前,请获取防护域名如表2所示相关信息。
|
获取信息 |
参数 |
说明 |
示例 |
|---|---|---|---|
|
域名是否使用代理 |
是否已使用代理 |
网站在接入WAF前已使用高防、CDN(Content Delivery Network,内容分发网络)、云加速等代理,如果是,请务必配置成“是”。 |
- |
|
配置参数 |
防护域名 |
由一串用点分隔的英文字母组成(以字符串的形式来表示服务器IP),用户通过域名来访问网站。 |
www.example.com |
|
防护域名端口 |
需要防护的域名对应的业务端口。
|
80 |
|
|
对外协议 |
客户端(例如浏览器)请求访问网站的协议类型。WAF支持“HTTP”、“HTTPS”两种协议类型。 |
HTTP |
|
|
源站协议 |
WAF转发客户端(例如浏览器)请求的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 |
HTTP |
|
|
源站地址 |
客户端(例如浏览器)访问网站所在源站服务器的公网IP地址(一般对应该域名在DNS服务商处配置的A记录)或者域名(一般对应该域名在DNS服务商处配置的CNAME)。 |
XXX.XXX.1.1 |
|
|
(可选)证书 |
证书名称 |
对外协议选择“HTTPS”时,需要在WAF上配置证书,将证书绑定到防护域名。
须知:
WAF当前仅支持PEM格式证书。如果证书为非PEM格式,请参考如何将非PEM格式的证书转换为PEM格式?转化证书格式。 |
- |
接入失败处理
如果域名接入失败,即域名接入状态为“未接入”,请参考域名/IP接入状态显示“未接入”,如何处理?排查处理。
