步骤四：修改域名DNS解析设置

前提条件

• 已将防护域名以云模式的CNAME接入方式添加到WAF，具体的操作请参见步骤一：添加防护域名（云模式）。
• 您拥有在域名的DNS服务商处修改域名解析设置的权限。
• 已在源站服务器上放行WAF回源IP段。
• （可选）已通过本地验证确保转发配置生效。

约束条件

如果接入Web应用防火墙的网站已使用如CDN、云加速等提供七层Web代理的产品，为了保证WAF的安全策略能够针对真实源IP生效，成功获取Web访问者请求的真实IP地址，请确保网站的“是否已使用代理”已配置为“七层代理”。

规格限制

将网站接入WAF后，网站的文件上传请求限制为10G。

工作原理

• 未使用代理

  当网站没有接入到WAF前，DNS直接解析到源站的IP，所以当网站接入WAF后，需要把DNS解析到WAF的CNAME，这样流量才会先经过WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。

• 使用了DDoS高防等代理

  当网站没有接入到WAF前，DNS解析到高防等代理，流量先经过高防等代理，高防等代理再将流量直接转到源站。网站接入WAF后，需要将高防等代理回源地址修改为WAF的“CNAME”，这样流量才会被高防等代理转发到WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。

  

  • 为了确保WAF转发正常，在修改DNS解析配置前，建议您参照本地验证进行本地验证确保一切配置正常。
  • 为了防止其他用户提前将您的域名配置到Web应用防火墙上，从而对您的域名防护造成干扰，建议您到DNS服务商处添加“子域名”，并为它配置“TXT记录”。WAF会据此判断域名的所有权真正属于哪个用户。具体的配置方法请参见未配置子域名和TXT记录的影响。

操作指导

添加域名后，WAF会根据添加的域名是否已在WAF前使用了代理，生成CNAME值或者CNAME、子域名和TXT记录，用于域名解析，使网站流量切入WAF，相关操作指导参见表1。

操作步骤

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域或项目。
3. 单击页面左上方的，选择“安全与合规 > Web应用防火墙 WAF”。
4. 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。
5. 在目标域名所在行中，单击域名，进入域名基本信息页面。
6. 在“CNAME”行中，单击，复制“CNAME”值，如图1。
   图1 复制CNAME
   

   页面右上角弹出“复制成功”，则表示CNAME值复制成功。

7. 域名接入。
   • 未使用代理

     到该域名的DNS服务商处，配置防护域名的别名解析，具体操作请咨询您的域名服务提供商。

     以下为华为云DNS的CNAME绑定方法，仅供参考。如与实际配置不符，请以各自域名服务商的信息为准。

     1. 单击页面左上方的，选择“网络 > 云解析服务 DNS”。
     2. 在左侧导航栏中，选择“公网域名”，进入“公网域名”页面。
     3. 在目标域名所在行的“操作”列，单击“管理解析”，进入“解析记录”页面。
     4. 在目标记录集的所在行“操作”列，单击“修改”。
     5. 在弹出的“修改记录集”对话框中修改记录值，如图2所示。
        • “主机记录”：在WAF中配置的域名。
        • “类型”：选择“CNAME-将域名指向另外一个域名”。
        • “线路类型”：全网默认。
        • “TTL(秒)”：一般建议设置为5分钟，TTL值越大，则DNS记录的同步和更新越慢。
        • “值”：修改为已复制的WAF CNAME地址。
        • 其他的设置保持不变。
        

        关于修改解析记录：

        • 对于同一个主机记录，CNAME解析记录不能重复，您需要将已存在的解析记录的CNAME修改为WAF CNAME地址。
        • 同一解析记录下，不同DNS解析记录类型间可能存在冲突。例如，对于同一个主机记录，CNAME记录与A记录、MX记录、TXT记录等其他记录互相冲突。在无法直接修改记录类型的情况下，您可以先删除存在冲突的其他记录，再添加一条新的CNAME记录。删除其他解析记录并新增CNAME解析记录的过程应尽可能在短时间内完成。如果删除A记录后没有添加CNAME解析记录，可能导致域名无法正常解析。

        域名解析类型的限制规则请参见添加记录集时，为什么会提示“与已有解析记录冲突”？。

        图2 修改记录集
        
     6. 单击“确定”，完成DNS配置，等待DNS解析记录生效。
   • 使用了代理

     将使用的代理类服务（高防、CDN服务等）的回源地址修改为复制的目标域名的CNAME，具体的方法请参见网站业务接入。

     

     为了防止其他用户提前将您的域名配置到Web应用防火墙上，从而对您的域名防护造成干扰，建议您的DNS服务商处添加“子域名”和“TXT记录”。

     1. 获取“子域名”和“TXT记录”：在域名基本信息页面顶部，单击“未接入”旁边的，在弹出的对话框中，复制“子域名”和“TXT记录”。
     2. 到DNS服务商处添加“子域名”，并为它配置“TXT记录”。具体的配置方法请参见未配置子域名和TXT记录的影响。

     WAF会根据配置“子域名”和“TXT记录”判断域名的所有权属于哪个用户。

8. 验证域名的CNAME是否配置成功。
   1. 在Windows操作系统中，选择“开始 > 运行”，在弹出框中输入“cmd”，按“Enter”。
   2. 执行nslookup命令，查询CNAME。

      如果回显的域名是配置的CNAME，则表示配置成功，示例如图3所示。

      以域名www.example.com为例。

      nslookup www.example.com

      图3 查询CNAME
      

后续处理

• 若用户的服务器在使用其他网络防火墙，请将其关闭或者将WAF的IP网段添加到网络防火墙的IP白名单中，否则，其他防火墙容易将WAF的IP当成恶意IP。具体的操作请参见如何放行WAF回源IP段？。
• 若用户的服务器上已安装个人版安全软件，建议将其更换为企业版安全软件，并将WAF的IP网段添加到该软件的IP白名单中。

生效条件

• 默认情况下，WAF每隔一小时就会自动检测每个防护域名的“域名接入进度”。
• 一般情况下，如果您确认已完成域名接入，“域名接入进度”为“已接入”，表示域名接入成功。

相关操作

• 为什么会提示解析记录集已经存在？
• 未配置子域名和TXT记录的影响