更新时间:2024-03-01 GMT+08:00
分享

网站接入流程(云模式-CNAME接入)

该配置指导您如何将防护域名以CNAME接入方式接入WAF,使网站的访问流量全部流转到WAF进行检测防护。

约束限制

  • WAF云模式的CNAME接入方式可以防护通过域名访问的Web应用/网站,包括华为云、非华为云或线下的域名。有关WAF云模式功能特性的详细介绍,请参见服务版本差异
  • 将网站接入WAF后,网站的文件上传请求限制为10G。

背景信息

网站在接入WAF前使用代理或未使用代理的接入配置说明如下:

  • 使用代理

    网站在接入WAF前已使用高防、CDN(Content Delivery Network,内容分发网络)、云加速等代理,如图1所示。

    • 当网站没有接入到WAF前,DNS解析到代理,流量先经过代理,代理再将流量直接转到源站。
    • 网站接入WAF后,需要将代理回源地址修改为WAF的“CNAME”,这样流量才会被代理转发到WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。
      1. 将代理回源地址修改为WAF的“CNAME”
      2. (可选)在DNS服务商处添加一条WAF的子域名和TXT记录。
    图1 使用代理配置原理图
  • 未使用代理

    网站在接入WAF前未使用代理,如图2所示。

    • 当网站没有接入到WAF前,DNS直接解析到源站的IP,用户直接访问服务器。
    • 当网站接入WAF后,需要把DNS解析到WAF的CNAME,这样流量才会先经过WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。
    图2 未使用代理配置原理图

网站接入流程说明

购买WAF云模式后,您可以参照图3所示的配置流程,快速使用WAF。

图3 网站接入WAF的操作流程图-云模式(CNAME接入)
表1 域名接入WAF操作流程说明

操作步骤

说明

步骤一:添加防护域名(云模式-CNAME接入)

配置域名、协议、源站等相关信息。

步骤二:放行WAF回源IP

如果您的源站服务器安装了其他安全软件或防火墙,建议您配置只允许来自WAF的访问请求访问您的源站,这样既可保证访问不受影响,又能防止源站IP暴露后被黑客直接攻击。

步骤三:本地验证

添加域名后,为了确保WAF转发正常,建议您先通过本地验证确保一切配置正常,然后再修改DNS解析。

步骤四:修改域名DNS解析设置

  • 域名在接入WAF前未使用代理

    到该域名的DNS服务商处,配置防护域名的别名解析。

  • 域名在接入WAF前使用代理(DDoS高防、CDN等)

    将使用的代理类服务(DDoS高防、CDN等)的回源地址修改为的目标域名的“CNAME”值。

域名接入WAF后,WAF作为一个反向代理存在于客户端和服务器之间,服务器的真实IP被隐藏起来,Web访问者只能看到WAF的IP地址。

收集防护域名的配置信息

在添加防护域名前,请获取防护域名如表2所示相关信息。

表2 准备防护域名相关信息

获取信息

参数

说明

示例

域名是否使用代理

是否已使用代理

  • 七层代理:使用了DDoS高防(七层代理)、CDN、云加速等Web代理产品。
  • 四层代理:使用了DDoS高防(四层转发)等Web代理产品。
  • 无代理:未使用任何代理产品。
说明:

选择“七层代理”后,WAF将从配置的Header头中字段中获取用户真实访问IP,详见配置Header字段转发

-

配置参数

防护域名

由一串用点分隔的英文字母组成(以字符串的形式来表示服务器IP),用户通过域名来访问网站。

www.example.com

防护域名端口

需要防护的域名对应的业务端口。

  • 标准端口
    • 80:HTTP对外协议默认使用端口
    • 443:HTTPS对外协议默认使用端口
  • 非标准端口

    80/443以外的端口

    须知:

    如果防护域名使用非标准端口,请查看WAF支持的端口范围,确保购买的WAF版本支持防护该非标准端口。

80

HTTP2协议

HTTP2协议仅适用于客户端到WAF之间的访问,且“对外协议”必须包含HTTPS才能支持使用。

-

对外协议

客户端(例如浏览器)请求访问网站的协议类型。WAF支持“HTTP”“HTTPS”两种协议类型。

HTTP

源站协议

WAF转发客户端(例如浏览器)请求的协议类型。包括“HTTP”“HTTPS”两种协议类型。

HTTP

源站地址

客户端(例如浏览器)访问网站所在源站服务器的公网IP地址(一般对应该域名在DNS服务商处配置的A记录)或者域名(一般对应该域名在DNS服务商处配置的CNAME)。

XXX.XXX.1.1

(可选)证书

证书名称

对外协议选择“HTTPS”时,需要在WAF上配置证书,将证书绑定到防护域名。

须知:

WAF当前仅支持PEM格式证书。如果证书为非PEM格式,请参考如何将非PEM格式的证书转换为PEM格式?转化证书格式。

-

接入失败处理

如果域名接入失败,即域名接入状态为“未接入”,请参考域名/IP接入状态显示“未接入”,如何处理?排查处理。

分享:

    相关文档

    相关产品