文档首页/ Web应用防火墙 WAF/ 产品介绍/ 基本概念/ 网站接入
更新时间:2025-08-19 GMT+08:00
查看PDF
分享

网站接入

云模式-CNAME接入

云模式-CNAME接入为WAF云模式提供的一种网站接入方式,配置简单,可分钟级部署。该模式通过DNS解析,将防护域名解析到WAF集群提供的CNAME地址上。WAF检测过滤恶意攻击流量后,通过回源IP将正常流量返回给源站服务器。

云模式-CNAME接入可防护部署在华为云上非华为云上本地的Web业务,防护对象为域名

云模式-CNAME接入的适用场景优势支持的功能及对应规格等内容请参见服务版本差异接入指导请参见将网站接入WAF防护(云模式-CNAME接入)

云模式-ELB接入

云模式-ELB接入为WAF云模式提供的一种网站接入方式,配置简单,可分钟级部署。将网站接入WAF后,网站流量会被ELB镜像给WAF。WAF检测过滤恶意攻击流量后,将检测结果同步给ELB,由ELB根据WAF的检测结果决定是否将客户端请求转发到源站。

云模式-ELB接入可防护部署在华为云上的Web业务,防护对象为域名公网IP私网IP

云模式-ELB接入的适用场景优势支持的功能及对应规格等内容请参见服务版本差异接入指导请参见将网站接入WAF防护(云模式-ELB接入)

独享模式接入

独享模式接入为WAF独享模式提供的网站接入方式,部署在租户VPC内,资源独享,规格可定制。该模式下,网站流量会通过ELB传给WAF,经过WAF检测后,异常请求将被拦截,正常请求会通过WAF独享引擎回源IP转发到源站服务器。

独享模式可防护部署在华为云上的Web业务,防护对象为域名公网IP私网IP

独享模式的适用场景优势支持的功能及对应规格等内容请参见服务版本差异接入指导请参见将网站接入WAF防护(独享模式)

独享模式在部分区域已经停售,详见独享模式停售通知

防护域名

防护域名为要接入WAF防护的Web应用或网站的入口地址,例如“www.example.com”。该域名可以是单域名或泛域名。

防护端口

防护端口为WAF监听并接收用户流量的端口。WAF支持防护80、443标准端口,也支持防护除80、443以外的非标端口。详细信息,请参见WAF支持的端口范围

源站服务器

源站服务器是指实际托管Web应用、网站等核心服务的服务器,它是用户请求的最终目的地,也是WAF防护的终极保护目标。

网站接入WAF时,云模式-CNAME接入需要填写源站的对外协议、源站协议、源站地址、源站端口信息。独享模式接入除了要填写源站的对外协议、源站协议、源站地址、源站端口信息外,还需要填写VPC信息。

  • 对外协议:客户端请求访问防护域名时的协议类型,决定WAF以何种协议接收用户请求,支持HTTP、HTTPS。
  • 源站协议:源站服务器支持的协议类型,也是WAF将客户端请求转发给源站服务器的协议类型,支持HTTP、HTTPS。

    如果“对外协议”“源站协议”不一致,WAF会将“对外协议”转换为“源站协议”,使用“源站协议”来转发客户端的请求。

  • 源站地址:客户端访问的网站服务器的公网IP地址或域名。
    • 公网IP地址:一般对应该域名在DNS服务商处配置的A记录,支持IPv4、IPv6两种类型。
    • 域名:一般对应该域名在DNS服务商处配置的CNAME值。
  • 源站端口:WAF转发客户端请求到服务器的业务端口。
  • VPC:独享引擎实例所在的VPC。

网站接入WAF后,用户访问防护域名时,请求会经过WAF检测,然后将正常请求转发给源站服务器。源站服务器处理请求后,将数据返回给WAF,WAF进行内容过滤(例如脱敏)后,最终返回给用户。

CNAME值

CNAME值是指定域名的别名,用于将域名解析到另一域名上。在WAF云模式-CNAME接入模式下,添加防护域名后,WAF会生成一个CNAME(即网站防护域名的别名),通过DNS解析,将网站流量指向WAF服务节点,实现对网站流量的安全防护。更多信息,请参见将网站接入WAF防护(云模式-CNAME接入)

通常情况下,CNAME会被同时注册到华为云DNS和阿里云DNS(alidns.aliyuncs.com),华为云DNS和阿里云DNS互为容灾备份使用,从而保证用户业务正常运行。

WAF IP

WAF IP是WAF面向互联网、接收用户流量的公网IP地址,在云模式-CNAME接入模式下,用户直接连接到WAF IP,而不是真实服务器IP。

回源IP

回源IP是指WAF将过滤后的合法流量转发到后端源站服务器时使用的源IP。在云模式-CNAME接入模式下,WAF IP是面向用户的入口IP,回源IP是面向源站服务器的出口IP。在服务器看来,所有收到的请求都来自这些IP,而客户端的真实地址会被加在HTTP头部的XFF字段中。

图1 回源IP

如果源站服务器使用了其他防火墙、网络ACL、安全组、杀毒软件等,很容易把WAF的回源IP当作恶意IP进行拦截。因此,网站接入WAF后,需要在源站服务器上配置只放行WAF回源IP全部端口的访问控制策略,防止黑客获取源站IP后绕过WAF直接攻击源站。更多信息,请参见如何放行云模式WAF的回源IP段?

DNS解析

网站接入WAF前,用户访问域名的请求直接被解析到源站服务器。接入WAF后,需要将域名的DNS解析指向WAF提供的CNAME地址,从而将用户访问域名的请求牵引至WAF,便于WAF进行安全防护。更多信息,请参见修改域名DNS解析设置

父主题: 基本概念