文档首页> > 常见问题> 操作类> 如何使网站流量切入Web应用防火墙?

如何使网站流量切入Web应用防火墙?

分享
更新时间: 2019/06/05 10:07

将您的网站添加到WAF后,还需要完成域名接入,使网站流量切入WAF。流量切入WAF后,WAF帮助您过滤恶意请求放行合法的访问请求至源站服务器。

工作原理

  • 未使用代理

    当网站没有接入到WAF前,DNS直接解析到源站的IP,所以当网站接入WAF后,需要把DNS解析到WAF的CNAME,这样流量才会先经过WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。

  • 使用了DDoS高防等代理

    当网站没有接入到WAF前,DNS解析到DDoS高防等代理,流量先经过DDoS高防等代理,DDoS高防等代理再将流量直接转到源站。网站接入WAF后,需要将DDoS高防等代理回源地址修改为WAF的“接入地址”,并且需要在DNS服务商处添加一条WAF的子域名和TXT记录,将域名解析到WAF,这样流量才会被DDoS高防等代理转发到WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。

操作步骤

  1. 登录管理控制台(https://console.huaweicloud.com/)。
  2. 单击管理控制台左上角的,选择区域或项目。
  3. 单击页面上方的“服务列表”,选择安全 > Web应用防火墙,在左侧导航树中选择“域名配置”,进入“域名配置”页面,如图1所示。

    图1 域名配置页面

  4. 在目标域名所在行的“防护域名”列中,单击域名,进入域名基本信息页面,完成域名接入。

    • 未使用代理
      1. “CNAME”行中,单击,复制“CNAME”值,页面右上角弹出“复制成功”,则表示CNAME值复制成功。
        图2 复制CNAME值
      1. 到该域名的DNS服务商处,配置防护域名的别名解析,具体操作请咨询您的域名服务提供商。

        以下为当前主流的域名服务商的CNAME绑定方法,仅供参考。如与实际配置不符,请以各自域名服务商的信息为准。

        1. 登录域名服务提供商(如:万网、DNSPod、新网)的管理控制台。
        2. 进入域名解析记录页。
        3. 设置CNAME解析记录。
          • “记录类型”选择为“CNAME”
          • “主机记录”一般填写域名前缀,例如:防护域名为 “admin.demo.com”“主机记录”填写为“admin”
          • “记录值”填写为WAF生成的CNAME,例如: “xxxxxxx.waf.huaweicloud.com”
          • “解析线路”“TTL” 保持默认值即可。
          说明:

          关于修改解析记录:

          • 对于同一个主机记录,CNAME解析记录值只能填写一个,您需要将其修改为WAF CNAME地址。
          • 不同DNS解析记录类型间存在冲突。例如,对于同一个主机记录,CNAME记录与A记录、MX记录、TXT记录等其他记录互相冲突。在无法直接修改记录类型的情况下,您可以先删除存在冲突的其他记录,再添加一条新的CNAME记录。删除其他解析记录并新增CNAME解析记录的过程应尽可能在短时间内完成。如果删除A记录后长时间没有添加CNAME解析记录,可能导致域名无法正常解析。
        4. 填写完成后,单击“保存”,完成解析设置。

        以上解析方法为第三方解析方法。本文档不对任何第三方内容进行控制或负责,包括但不限于其准确性、兼容性、可靠性、可用性、合法性、适当性、性能、不侵权、更新状态等。

      2. 验证域名的CNAME是否配置成功。
        1. 在Windows操作系统中,选择开始 > 运行,在弹出框中输入“cmd”,按“Enter”
        2. 执行以下命令,查询CNAME。如果回显的域名是配置的CNAME,则表示配置成功,示例如图3所示。

          nslookup www.domain.com

          图3 查询CNAME
    • 使用代理
      1. 在接入地址、子域名、TXT记录所在行中,单击,复制“接入地址”“子域名”“TXT记录”
        图4 复制接入地址和TXT记录
      2. 将使用的代理类服务(高防DDOS、CDN服务等)的回源地址修改为复制的目标域名的接入地址,具体的方法请参见网站业务接入,并且前往您的DNS服务商处添加子域名,并为它配置TXT记录,具体的方法请参见修改DNS解析。域名接入成功后,网站流量正常接入Web应用防火墙。
    说明:

    默认情况下,服务每隔一小时就会自动检测每个防护域名的DNS解析状态。如果您确认已完成域名接入,“DNS解析状态”“正常”,则表示域名接入成功。

如果您喜欢这篇文档,您还可以:

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区