通过“云模式-CNAME接入”将网站接入WAF

方案概述

云模式-CNAME模式下，将网站接入WAF，就是实现将网站流量牵引到WAF进行检测，再将检测后的流量转发到源站的过程。网站接入WAF后，流量访问示意图如图1所示。

图1 网站流量访问示意图

接入流程

根据网站是否使用代理（例如高防、CDN、云加速等），您需要完成如下接入操作。

前提条件

• 已购买WAF云模式，并已了解网站接入的相关信息。
• 确保域名经过ICP（Internet Content Provider）备案，WAF会检查域名备案情况，未备案域名将无法添加。具体操作请参见快速完成ICP备案。

步骤一：添加防护域名

为了将业务接入WAF防护，您需要将防护域名、源站信息等，添加到WAF。

1. 登录Web应用防火墙控制台。
2. 在控制台左上角，单击图标，选择区域或项目。
3. (可选) 如果您已开通企业项目，在左侧导航栏上方，单击“按企业项目筛选”下拉框，选择您所在的企业项目。完成后，页面将为您展示该企业项目下的相关数据。
4. 在左侧导航栏，单击“网站设置”。
   

   在开始添加防护网站前，您可以单击页面右上角的“流程引导”，了解云模式-CNAME接入的接入流程。

5. 在网站列表左上角，单击“添加防护网站”。
6. 选择“云模式-CNAME接入”并单击“开始配置”。
7. 在“添加防护网站”面板，填写网站基础信息。
   图2 基础信息配置
   

   表1 基础信息参数说明

   参数		参数说明	取值样例
   防护域名		需要添加到WAF进行防护的域名。 该域名需经过ICP（Internet Content Provider）备案，WAF会检查域名备案情况，未备案域名将无法添加。 同一个域名对应不同端口视为不同的防护对象。例如“www.example.com:8080”和“www.example.com:8081”视为两个不同的域名，将占用两个域名额度。 支持添加以下类型的域名： 单域名，例如一级域名“example.com”，二级域名“www.example.com”等。 泛域名，例如“*.example.com”。 入门版不支持添加泛域名。 如果各子域名对应的服务器IP地址相同：输入防护的泛域名。例如：子域名“a.example.com”，“b.example.com”和“c.example.com”对应的服务器IP地址相同，可以直接添加泛域名“*.example.com”。 如果各子域名对应的服务器IP地址不相同：请将子域名按“单域名”方式逐条添加。 域名和证书需要一一对应，泛域名只能使用泛域名证书。如果您没有泛域名证书，只有单域名对应的证书，则只能在WAF中按照单域名的方式逐条添加域名进行防护。 单击“快速添加云内域名”，可直接选择已在华为云内使用的域名。	www.example.com
   网站名称（可选）		自定义网站名称。	WAF
   网站备注（可选）		添加网站的备注信息。	waftest
   防护端口		填写要防护的端口。此处只能添加一个端口，如果要防护同一个域名的不同端口时，需重复步骤一：添加防护域名，再次将域名和端口添加到WAF。 配置为80、443端口时，在下拉框中选择“标准端口”。 配置为其他端口时，选择可选端口范围内的端口。您可以单击“查看可添加端口”，查看WAF支持的HTTP和HTTPS端口。更多信息请参见WAF支持的端口范围。 如果配置为除80、443以外的其他端口，访问网站时，需要在网址后面增加非标准端口进行访问，否则访问网站时会出现404错误。	标准端口
   服务器配置		配置网站服务器相关信息，包括： 对外协议：客户端请求访问服务器的协议类型，支持： HTTP：“防护端口”选择“标准端口”时，HTTP协议默认防护的80端口。 HTTPS：“防护端口”选择“标准端口”时，HTTP协议默认防护的443端口。 HTTPS协议是HTTP的安全版本，它在HTTP基础上增加了SSL/TLS协议，提供了数据加密、完整性校验和身份验证。因此，选择HTTPS协议时，需要配置证书。 选择HTTPS协议时，支持开启HTTP2协议。 源站协议：网站服务器支持的协议类型，也是WAF转发客户端请求的协议类型，包括“HTTP”、“HTTPS”两种。 如果“对外协议”与“源站协议”不一致，WAF会将“对外协议”转换为“源站协议”，使用“源站协议”来转发客户端的请求。 源站地址：客户端访问的网站服务器的公网IP地址或域名。 公网IP地址：一般对应该域名在DNS服务商处配置的A记录。支持以下两种IP格式： IPv4，例如：XXX.XXX.1.1 IPv6，例如：fe80:0000:0000:0000:0000:0000:0000:0000 说明： 仅专业版和企业版支持IPv6防护。 域名：一般对应该域名在DNS服务商处配置的CNAME。 源站端口：WAF转发客户端请求到服务器的业务端口。 权重：负载均衡算法将按权重将请求分配给源站。 当负载均衡算法为“加权轮询”时，所有请求将按权重轮流分配给源站服务器。 当负载均衡算法为“源IP Hash”或“Session Hash”时，权重只区分是否为“0”，为“0”则不分发流量，不为“0”则分发流量。 权重可填0-65536，数值越大被分发的流量越多。 权重设置为“0”时，如果配置了多个服务器，该源站服务器不会再接受新请求；如果只配置一个服务器，所有请求都会分配给源站服务器。	对外协议：HTTP 源站协议：HTTP 源站地址：IPv4 XXX .XXX.1.1 源站端口：80
   证书选择		“对外协议”设置为“HTTPS”时，需要选择网站关联的证书，支持“国际证书”和“国密证书”。 域名和证书需要一一对应，泛域名只能使用泛域名证书。如果您没有泛域名证书，只有单域名对应的证书，则只能在WAF中按照单域名的方式逐条添加域名进行防护。 如果您的证书即将到期，为了不影响网站的使用，建议您在到期前重新使用新的证书，并在WAF中同步更新网站绑定的证书。 WAF支持证书过期时发送告警通知，您可以在“告警通知”界面配置证书过期提醒，具体的操作请参见开启告警通知。 WAF支持导入新证书、选择已有证书、选择SCM证书。 导入新证书：如果您未创建证书，单击“导入新证书”，在“导入新证书”对话框，填写证书相关参数。更多信息，请参见上传证书。 WAF当前仅支持PEM格式证书。如果证书为非PEM格式，请参考如何将非PEM格式的证书转换为PEM格式将证书转换为PEM格式，再上传。 成功导入的新证书，将同步添加到“证书管理”页面的证书列表。 选择已有证书：如果已创建证书，单击下拉框，在“已有证书”中选择正确、有效的证书。 选择SCM证书：如果您已经在同一个账号下使用了CCM中的证书，也可以直接在下拉框中选择SCM证书，此处选择的SCM证书名称与CCM里证书名称一致。 目前华为云SCM证书只能推送到“default”企业项目下。如果您使用其他企业项目，则不能选择使用SCM推送的SSL证书。 选择的SCM证书会自动在“证书管理”页面生成一条记录，该证书支持在“证书管理”页面修改证书名称，但不会同步修改CCM里显示的证书名称。	-
   最低TLS版本和加密套件		选择证书后，需要选择最低TLS版本和加密套件。更多信息，请参见配置PCI DSS/3DS合规与TLS。 最低TLS版本：默认为TLS v1.0。详细信息，请参见表1。 加密套件：默认为“安全加密套件”。详细信息，请参见表2。	最低TLS版本：TLS v1.0 加密套件：安全加密套件
   已使用七层代理		确认WAF前是否使用七层代理。七层代理为使用了DDoS高防（七层代理）、CDN、云加速等Web代理产品。 是：在WAF前使用了DDoS高防（七层代理）、CDN、云加速等Web代理产品。 使用七层代理后，WAF将从Header头中的相关字段获取用户真实客户端IP。如果WAF前使用的是华为云DDoS高防，要获取客户端真实IP，需要在域名基本信息页面的“流量标识”栏，将“IP标记”配置为“$remote_addr详细操作请参见”配置攻击惩罚的流量标识。 在WAF前使用代理时，不能切换为“Bypass”工作模式。如何切换工作模式请参考切换防护模式。 否：没有使用七层代理。	否

8. 填写网站高级配置信息。
   图3 高级配置
   

   表2 高级配置参数说明

   参数	参数说明	取值样例
   负载均衡算法	存在多个源站服务器地址时，需选择多源站服务器间的负载均衡算法，使WAF将回源请求转发到对应的服务器，实现负载均衡。更多信息请见修改负载均衡算法。 WAF支持的算法如下： 源IP Hash：将某个IP的请求定向到同一个服务器。 加权轮询：所有请求将按权重轮流分配给源站服务器，权重越大，回源到该源站的几率越高。 Session Hash：将某个Session标识的请求定向到同一个源站服务器，请确保在域名添加完毕后配置攻击惩罚的流量标识，否则Session Hash配置不生效。	加权轮询
   IPv6防护	如果该域名存在IPv6协议的访问请求，请选择“开启”，开启后WAF将为域名分配IPv6的接入地址。更多信息请参见开启IPv6防护。 “源站地址”选择“IPv6”时，默认开启“IPv6防护”。 当源站存在IPv6地址，默认开启IPv6防护。WAF为了防止客户IPv6的业务中断，禁止关闭IPv6的开关，如果确定不需要IPv6防护，需要先修改服务器配置，在源站删除IPv6的配置，具体的操作方法请参见修改服务器配置信息。 “源站地址”选择“IPv4”时，开启“IPv6防护”后，WAF将为域名分配IPv6的接入地址，即将IPv4源站转化成IPv6网站，将外部IPv6访问流量转化成对内的IPv4流量。具体的请参见WAF如何解析/访问IPv6源站？。 说明： 仅专业版和企业版支持IPv6防护。	开启
   HTTP2协议	仅“服务器配置”中至少有一条源站地址的“对外协议”配置为“HTTPS”时，才可以配置HTTP2协议。 HTTP2协议仅适用于客户端到WAF之间的访问。如果您的网站需要支持HTTP2协议的访问，开启该开关。开启后，请确认客户端最大支持TLS 1.2，否则HTTP2不生效。 说明： 仅专业版和企业版支持HTTP2协议。	使用
   防护策略	选择要启用的防护策略。 “系统自动生成策略”（默认）：详细说明如表3所示。如果已添加的防护策略达到配额，不支持选择该项。 自定义防护策略：根据防护需求创建的防护策略。更多信息，请参见配置防护策略。 说明： 仅专业版和企业版支持选择自定义防护策略。	系统自动生成策略

   表3 系统自动生成策略说明

   版本	防护策略	策略说明
   入门版、标准版	Web基础防护，默认开启常规检测： “规则集”：“默认规则集【中等】” “防护动作”：“仅记录”，即发现攻击行为后WAF只记录攻击事件不阻断攻击。	仅记录SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击行为。
   专业版、企业版	Web基础防护，默认开启常规检测： “规则集”：“默认规则集【中等】” “防护动作”：“仅记录”，即发现攻击行为后WAF只记录攻击事件不阻断攻击。	仅记录SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击行为。
   	网站反爬虫，默认开启扫“扫描器”检测、“防护动作”为“仅记录”（发现攻击行为后WAF只记录攻击事件不阻断攻击）。	仅记录漏洞扫描、病毒扫描等Web扫描任务，如OpenVAS、Nmap的爬虫行为。

9. 单击“下一步”，根据“接入验证”提示，完成以下操作：
   图4 添加域名完成
   
   1. 放行WAF回源IP
   2. 本地验证
   3. 修改域名DNS解析设置

步骤二：放行回源IP

回源IP是WAF转发正常客户端请求到服务器时用的源IP，在服务器看来，接入WAF后所有源IP都会变成WAF的回源IP，而真实的客户端地址会被加在HTTP头部的XFF字段中。

如果源站使用了其他防火墙、网络ACL、安全组、杀毒软件等，很容易把WAF的回源IP当作恶意IP进行拦截。因此，建议您在源站服务器上配置只放行WAF回源IP全部端口的访问控制策略，防止黑客获取源站IP后绕过WAF直接攻击源站。

• WAF的回源IP会因为扩容/新建集群而增加，对于一个客户的存量域名，一般回源IP会固定在2~4个集群的几个C类IP地址（192.0.0.0~223.255.255.255）上。
• 一般情况下，在没有灾备切换或其他调度切换集群的场景下，回源IP不会变。且WAF后台做集群切换时，会探测源站安全组配置，确保不会因为安全组配置导致业务整体故障。

1. 获取WAF的回源IP。
   完成步骤一：添加防护域名后展开“步骤一：放行回源IP”，或者在“网站设置”页面，在目标网站所在行的“接入状态”栏中，单击“回源IP加白”，单击，复制所有回源IP。

   图5 复制回源IP
   

2. 打开源站服务器上的安全软件，将复制的IP段添加到白名单。
   • 源站服务器部署在华为云ECS上，请参考源站服务器部署在ECS上，放行WAF回源IP进行操作。
   • 源站服务器部署在华为云ELB上，请参考源站服务器部署在华为云ELB上，放行WAF回源IP进行操作。
   • 如果您同时使用了华为云云防火墙（CFW），请参考添加防护规则放行WAF的回源IP。
   • 如果后端资源在其他云厂商，请在对应安全组、访问控制等中添加信任WAF的回源IP。
   • 如果源站服务器只安装了个人版杀毒软件，通常这些软件没有配置加白IP的界面。如果是对外提供Web业务的服务器，建议您安装服务器版本的企业安全软件，或华为云主机安全服务产品，这些产品会识别一些请求量较大的IP的socket，并偶发断开连接，一般情况下不会拦截WAF的回源IP。

3. 完成以上操作后，勾选“已完成回源IP加白”。

步骤三：本地验证

完成添加防护域名、放行回源IP后，可修改本地计算机的hosts文件，并设置本地计算机的域名寻址映射（仅对本地计算机生效的DNS解析记录），将网站域名的解析指向WAF的IP地址后，在本地计算机访问被防护的域名，验证WAF中添加的域名接入设置是否正确有效，避免域名接入配置异常导致网站访问异常。

进行此操作前请确认：

• 确保添加的域名（例如：www.example.com）的源站服务器协议、地址、端口配置正确，如果“对外协议”选择了“HTTPS”，也必须确保上传的证书和私钥正确。
• 已完成步骤二：放行回源IP。

1. 获取CNAME值。
   • 方式一：完成步骤二：放行回源IP后展开“步骤二：本地验证”，或者在“网站设置”页面中“接入状态”列单击“本地验证”，在弹出的页面中复制CNAME值。
   • 方式二：在网站设置页面，在目标域名所在行中，单击目标域名名称，进入域名基本信息页面，在“CNAME”信息行，单击，复制“CNAME”值。

2. ping“CNAME”值并记录“CNAME”对应的IP地址。

   以域名www.example.com为例，该域名已添加到WAF的网站配置中，且WAF为其分配了以下CNAME值：xxxxxxxdc1b71f718f233caf77.waf.huaweicloud.com。

   在Windows中打开cmd命令行工具或者Linux中的bash工具，运行ping xxxxxxxdc1b71f718f233caf77.waf.huaweicloud.com获取WAF的接入IP。如图6所示，在响应结果中可以看到用来防护您的域名的WAF接入IP。

   图6 ping cname
   
   

   如果ping CNAME没有获取到WAF的接入IP，可能是由于您的网络不稳定，请确保您的网络运行正常，再执行以上操作。

3. 在本地修改hosts文件，将域名及“CNAME”对应的WAF接入IP添加到“hosts”文件。
   1. 用文本编辑器打开hosts文件，hosts文件路径如下：
      • Windows：“C:\Windows\System32\drivers\etc\”
      • Linux：“/etc/hosts”
   2. 在hosts文件添加如图7内容，前面的IP地址即在2中获取的WAF接入IP地址，后面的域名即被防护的域名。
      图7 追加记录
      
   3. 修改hosts文件后保存，然后在命令行中对防护域名执行连通性测试。
      图8 ping域名
      

      预期此时解析到的IP地址应该是2中绑定的WAF的接入IP地址。如果依然是源站地址，可尝试刷新本地的DNS缓存（Windows的cmd下可以使用ipconfig/flushdns命令，Linux的bash下可以使用systemd-resolved命令）。

4. 访问验证。
   1. 清理浏览器缓存，在浏览器中输入防护域名，测试网站域名是否能正常访问。

      如果hosts绑定已经生效（域名已经本地解析为WAF回源IP）且WAF的配置正确，访问该域名，预期网站能够正常打开。

   2. 手动模拟简单的Web攻击命令，测试Web攻击请求。
      1. 将Web基础防护的状态设置为“拦截”模式，具体方法请参见配置Web基础防护规则。
      2. 清理浏览器缓存，在浏览器中输入模拟SQL注入攻击的测试域名，测试WAF是否拦截了此条攻击，如图9所示。
         图9 访问被拦截
         
      3. 在左侧导航树中，选择“防护事件”，进入“防护事件”页面，查看防护域名测试的各项数据。

5. 完成上述步骤后，勾选“已完成本地验证”。

步骤四：修改域名DNS解析设置

将域名添加到WAF后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址，所以您必须将域名的DNS解析指向WAF提供的CNAME地址，才可以使域名的Web请求解析到WAF进行安全防护。本地验证通过后，您需要在DNS服务商处修改DNS解析设置，将网站的Web请求解析到WAF进行安全防护。

修改域名DNS解析设置前请确认：

• 已完成步骤一：添加防护域名、步骤二：放行回源IP、步骤三：本地验证。
• 您拥有在域名的DNS服务商处修改域名解析设置的权限。

步骤五：接入验证

• 接入状态验证
  完成以上配置后，WAF会根据以下条件，每隔30分钟自动检测两周内新增或更新的域名接入状态。如果域名创建时间在两周前，且最近两周内没有任何修改，您可以在域名“接入状态”栏，单击，手动刷新接入状态。

  • 是否为网站域名配置了CNAME记录或者TXT记录（有代理场景）
  • 是否有流量经过，即网站在5分钟内的访问请求是否达到20次

  接入状态判断逻辑如图17所示。

  图17 接入状态判断逻辑
  
  接入状态说明：

  • 未接入：网站域名没有配置CNAME记录和TXT记录，且网站没有流量经过。您可以根据接入状态提示，进行回源IP加白、本地验证、修改DNS解析。如果手动刷新接入状态后，仍然为“未接入”，可参照域名/IP接入状态显示“未接入”，如何处理？重新完成域名接入。
  • 已接入：域名已成功接入WAF，即域名已配置CNAME记录；或域名已配置TXT记录，且网站有流量经过。
  • DNS解析异常：网站域名配置了TXT记录，但网站没有流量经过。您可以在5分钟内访问网站20次以上后，手动刷新接入状态，查看是否更新为“已接入”。
• 防护效果验证

  手动模拟简单的Web攻击命令，验证WAF防护是否生效。

配置视频

后续操作

1. （可选）网站接入后推荐配置：域名接入成功后，您也可以根据实际需要，进行针对性的安全配置。
2. 配置防护策略：如果默认开启的防护规则不能满足网站的安全需求，您可以配置有针对性的防护规则。
3. 查询防护事件：查看网站防护详情。

常见问题

• 添加域名时提示“非法的源站地址”，如何处理？
• 添加防护域名时，提示“其他人已经添加了该域名，请确认该域名是否属于你”，如何处理？
• 添加防护域名时，为什么无法选择SCM证书？
• 网站、应用接入WAF后，访问出现404/502/504报错处理方法
• 如何解决网站接入WAF后程序访问页面卡顿？
• 如何处理网站接入WAF后，文件不能上传？
• 域名接入WAF后，为什么无法开启防护模式？