文档首页> > 常见问题> 操作类> 如何使网站流量切入Web应用防火墙?

如何使网站流量切入Web应用防火墙?

分享
更新时间: 2019/08/20 09:53

将您的网站添加到WAF后,还需要完成域名接入,使网站流量切入WAF。流量切入WAF后,WAF帮助您过滤恶意请求放行合法的访问请求至源站服务器。

工作原理

  • 未使用代理

    当网站没有接入到WAF前,DNS直接解析到源站的IP,所以当网站接入WAF后,需要把DNS解析到WAF的CNAME,这样流量才会先经过WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。

  • 使用了DDoS高防等代理

    当网站没有接入到WAF前,DNS解析到DDoS高防等代理,流量先经过DDoS高防等代理,DDoS高防等代理再将流量直接转到源站。网站接入WAF后,需要将DDoS高防等代理回源地址修改为WAF的“接入地址”,并且需要在DNS服务商处添加一条WAF的子域名和TXT记录,将域名解析到WAF,这样流量才会被DDoS高防等代理转发到WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。

操作指导

添加域名后,WAF会根据添加的域名是否已在WAF前使用了代理,生成CNAME值或者接入地址、子域名和TXT记录,用于域名解析,使网站流量切入WAF,相关操作指导参见表1

表1 操作指导

场景

生成的参数值

域名解析的相关操作

未使用代理

CNAME

把DNS解析到WAF的“CNAME”

使用代理

接入地址、子域名和TXT记录

  • 将DDoS高防等代理回源地址修改为WAF的“接入地址”
  • 在DNS服务商处添加一条WAF的“子域名”“TXT记录”
    说明:

    “TXT记录”是WAF用来验证域名所有权的标识,当目标域名在WAF中第一次配置时,可以不配置“TXT记录”,此时解析也能成功。为了防止其他用户在WAF中添加同一个域名,给您的域名防护造成不便,建议您将“TXT记录”在您的DNS服务商进行配置,具体的配置方法请参见同时部署DDoS高防和WAF的配置指导

操作步骤

  1. 登录管理控制台
  2. 进入目标域名基本信息页面入口,如图1所示。

    图1 进入基本信息页面

  3. 在目标域名所在行的“防护域名”列中,单击域名,进入域名基本信息页面,完成域名接入。

    • 未使用代理
      1. “CNAME”行中,单击,复制“CNAME”值,页面右上角弹出“复制成功”,则表示CNAME值复制成功。
        图2 复制CNAME值
      1. 到该域名的DNS服务商处,配置防护域名的别名解析,具体操作请咨询您的域名服务提供商。

        以下为当前主流的域名服务商的CNAME绑定方法,仅供参考。如与实际配置不符,请以各自域名服务商的信息为准。

        1. 登录域名服务提供商(如:万网、DNSPod、新网)的管理控制台。
        2. 进入域名解析记录页。
        3. 设置CNAME解析记录。
          • “记录类型”选择为“CNAME”
          • “主机记录”一般填写域名前缀,例如:防护域名为 “admin.demo.com”“主机记录”填写为“admin”
          • “记录值”填写为WAF生成的CNAME,例如: “xxxxxxx.waf.huaweicloud.com”
          • “解析线路”“TTL” 保持默认值即可。
          说明:

          关于修改解析记录:

          • 对于同一个主机记录,CNAME解析记录值只能填写一个,您需要将其修改为WAF CNAME地址。
          • 不同DNS解析记录类型间存在冲突。例如,对于同一个主机记录,CNAME记录与A记录、MX记录、TXT记录等其他记录互相冲突。在无法直接修改记录类型的情况下,您可以先删除存在冲突的其他记录,再添加一条新的CNAME记录。删除其他解析记录并新增CNAME解析记录的过程应尽可能在短时间内完成。如果删除A记录后长时间没有添加CNAME解析记录,可能导致域名无法正常解析。
        4. 填写完成后,单击“保存”,完成解析设置。

        以上解析方法为第三方解析方法。本文档不对任何第三方内容进行控制或负责,包括但不限于其准确性、兼容性、可靠性、可用性、合法性、适当性、性能、不侵权、更新状态等。

      2. 验证域名的CNAME是否配置成功。
        1. 在Windows操作系统中,选择开始 > 运行,在弹出框中输入“cmd”,按“Enter”
        2. 执行以下命令,查询CNAME。如果回显的域名是配置的CNAME,则表示配置成功,示例如图3所示。

          nslookup www.domain.com

          图3 查询CNAME
    • 使用代理
      1. 在接入地址、子域名、TXT记录所在行中,单击,复制“接入地址”“子域名”“TXT记录”
        图4 复制接入地址和TXT记录
      2. 将使用的代理类服务(高防DDOS、CDN服务等)的回源地址修改为复制的目标域名的接入地址,具体的方法请参见网站业务接入,并且前往您的DNS服务商处添加子域名,并为它配置TXT记录,具体的方法请参见修改DNS解析。域名接入成功后,网站流量正常接入Web应用防火墙。
        说明:

        “TXT记录”是WAF用来验证域名所有权的标识,当目标域名在WAF中第一次配置时,可以不配置“TXT记录”,此时解析也能成功。为了防止其他用户在WAF中添加同一个域名,给您的域名防护造成不便,建议您将“TXT记录”在您的DNS服务商进行配置,具体的配置方法请参见同时部署DDoS高防和WAF的配置指导

    说明:
    • 默认情况下,服务每隔一小时就会自动检测每个防护域名的DNS解析状态。
    • 一般情况下,如果您确认已完成域名接入,“DNS解析状态”“正常”,表示域名接入成功。但是,如果添加的“防护域名”与在DNS服务商处设置的域名不一致(例如,DNS设置的域名example.com,添加的防护域名为子域名www.example.com或者泛域名*.www.example.com)。完成域名接入后,即使流量会正常接入WAF,但是,WAF无法检查域名是否接入成功,域名的“DNS解析状态”仍然会显示“异常”

如果您喜欢这篇文档,您还可以:

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区