文档首页 > > 用户指南> 入门教程> 网站接入(云模式)> 域名接入WAF

域名接入WAF

分享
更新时间:2021/01/07 GMT+08:00

域名接入WAF后,WAF作为一个反向代理存在于客户端和服务器之间,服务器的真实IP被隐藏起来,Web访问者只能看到WAF的IP地址。

域名接入前,为了确保WAF转发正常,建议您先参照本地验证通过本地验证确保一切配置正常。

前提条件

已添加防护域名且域名未接入成功。

规格限制

将网站接入WAF后,网站的文件上传请求限制为512MB。

约束条件

若接入Web应用防火墙的网站已使用高防、CDN、云加速等代理,为了保证WAF的安全策略能够针对真实源IP生效,请确保网站的“是否已使用代理”已配置为“是”

工作原理

  • 未使用代理

    当网站没有接入到WAF前,DNS直接解析到源站的IP,所以当网站接入WAF后,需要把DNS解析到WAF的CNAME,这样流量才会先经过WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。

  • 使用了DDoS高防等代理

    当网站没有接入到WAF前,DNS解析到高防等代理,流量先经过高防等代理,高防等代理再将流量直接转到源站。网站接入WAF后,需要将高防等代理回源地址修改为WAF的“CNAME”,这样流量才会被高防等代理转发到WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。

    • 为了确保WAF转发正常,在修改DNS解析配置前,建议您参照本地验证进行本地验证确保一切配置正常。
    • 为了防止其他用户提前将您的域名配置到Web应用防火墙上,从而对您的域名防护造成干扰,建议您到DNS服务商处添加“子域名”,并为它配置“TXT记录”。WAF会据此判断域名的所有权真正属于哪个用户。具体的配置方法请参见未配置子域名和TXT记录的影响

操作指导

添加域名后,WAF会根据添加的域名是否已在WAF前使用了代理,生成CNAME值或者CNAME、子域名和TXT记录,用于域名解析,使网站流量切入WAF,相关操作指导参见表1

表1 操作指导

场景

生成的参数值

域名解析的相关操作

未使用代理

CNAME

把DNS解析到WAF的“CNAME”

使用代理

CNAME、子域名和TXT记录

  • 将DDoS高防等代理回源地址修改为WAF的“CNAME”
  • (可选)在DNS服务商处添加一条WAF的“子域名”“TXT记录”

操作步骤

  1. 登录管理控制台
  2. 进入网站设置页面入口,如图1所示。

    图1 网站设置入口

  3. 在目标域名所在行的“防护网站”列中,单击域名,进入域名基本信息页面。
  4. “CNAME”行中,单击,复制“CNAME”值,如图2

    图2 复制CNAME

    页面右上角弹出“复制成功”,则表示CNAME值复制成功。

  5. 域名接入。

    • 未使用代理

      到该域名的DNS服务商处,配置防护域名的别名解析,具体操作请咨询您的域名服务提供商。

      以下为华为云DNS的CNAME绑定方法,仅供参考。如与实际配置不符,请以各自域名服务商的信息为准。

      1. 进入云解析页面的入口,如图3所示。
        图3 云解析页面入口
      2. 在目标域名所在行的“操作”列,单击“修改”,进入“修改记录集”页面。
      3. 在弹出的“修改记录集”对话框中修改记录值,如图4所示。
        • “主机记录”:在WAF中配置的域名。
        • “类型”:选择“CNAME-将域名指向另外一个域名”
        • “线路类型”:全网默认。
        • “TTL(秒)”:一般建议设置为5分钟,TTL值越大,则DNS记录的同步和更新越慢。
        • “值”:修改为已复制的WAF CNAME地址。
        • 其他的设置保持不变。

        关于修改解析记录:

        • 对于同一个主机记录,CNAME解析记录不能重复,您需要将已存在的解析记录的CNAME修改为WAF CNAME地址。
        • 同一解析记录下,不同DNS解析记录类型间可能存在冲突。例如,对于同一个主机记录,CNAME记录与A记录、MX记录、TXT记录等其他记录互相冲突。在无法直接修改记录类型的情况下,您可以先删除存在冲突的其他记录,再添加一条新的CNAME记录。删除其他解析记录并新增CNAME解析记录的过程应尽可能在短时间内完成。如果删除A记录后没有添加CNAME解析记录,可能导致域名无法正常解析。

        域名解析类型的限制规则请参见为什么会提示解析记录集已经存在?

        图4 修改记录集
      4. 单击“确定”,完成DNS配置,等待DNS解析记录生效。
    • 使用了代理

      若接入Web应用防火墙的网站已使用高防、CDN、云加速等代理,为了保证WAF的安全策略能够针对真实源IP生效,请确保网站的“是否已使用代理”已配置为“是”,详细操作请参见查看基本信息

      将使用的代理类服务(高防、CDN服务等)的回源地址修改为复制的目标域名的CNAME,具体的方法请参见网站业务接入

      为了防止其他用户提前将您的域名配置到Web应用防火墙上,从而对您的域名防护造成干扰,建议您的DNS服务商处添加“子域名”“TXT记录”

      1. 获取“子域名”“TXT记录”:在“接入状态”所在行,单击“如何接入?”,在弹出的“接入指导”对话框中,复制“子域名”“TXT记录”
      2. 到DNS服务商处添加“子域名”,并为它配置“TXT记录”。具体的配置方法请参见未配置子域名和TXT记录的影响

      WAF会根据配置“子域名”“TXT记录”判断域名的所有权属于哪个用户。

  6. 验证域名的CNAME是否配置成功。

    1. 在Windows操作系统中,选择开始 > 运行,在弹出框中输入“cmd”,按“Enter”
    2. 执行nslookup命令,查询CNAME。

      如果回显的域名是配置的CNAME,则表示配置成功,示例如图5所示。

      以域名www.example.com为例。

      nslookup www.example.com
      图5 查询CNAME

后续处理

  • 若用户的服务器在使用其他网络防火墙,请将其关闭或者将WAF的IP网段添加到网络防火墙的IP白名单中,否则,其他防火墙容易将WAF的IP当成恶意IP。具体的操作请参见如何放行WAF回源IP段?
  • 若用户的服务器上已安装个人版安全软件,建议将其更换为企业版安全软件,并将WAF的IP网段添加到该软件的IP白名单中。

生效条件

  • 默认情况下,WAF每隔一小时就会自动检测每个防护域名的“接入状态”
  • 一般情况下,如果您确认已完成域名接入,“接入状态”“已接入”,表示域名接入成功。
分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!非常感谢您的反馈,我们会继续努力做到更好!
反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问