域名接入WAF后,WAF作为一个反向代理存在于客户端和服务器之间,服务器的真实 IP被隐藏起来,Web访问者只能看到WAF的IP地址。
域名接入前,为了确保WAF转发正常,请您先参照步骤二:本地验证通过本地验证确 保一切配置正常。
前提条件
已添加防护域名且域名未接入成功。
约束条件
若接入Web应用防火墙的网站已使用高防、CDN、云加速等代理,为了保证WAF的安 全策略能够针对真实源IP生效,请确保网站的“是否已使用代理”已配置为“是”。
规格限制
将网站接入WAF后,网站的文件上传请求限制为512MB。
工作原理
● 未使用代理
当网站没有接入到WAF前,DNS直接解析到源站的IP,所以当网站接入WAF后,
需要把DNS解析到WAF的CNAME,这样流量才会先经过WAF,WAF再将流量转 到源站,实现网站流量检测和攻击拦截。
● 使用了DDoS高防等代理
当网站没有接入到WAF前,DNS解析到高防等代理,流量先经过高防等代理,高 防等代理再将流量直接转到源站。网站接入WAF后,需要将高防等代理回源地址 修改为WAF的“CNAME”,这样流量才会被高防等代理转发到WAF,WAF再将 流量转到源站,实现网站流量检测和攻击拦截。
说明
● 为了确保WAF转发正常,在修改DNS解析配置前,建议您参照本地验证进行本地验证 确保一切配置正常。
● 为了防止其他用户提前将您的域名配置到Web应用防火墙上,从而对您的域名防护造成 干扰,建议您到DNS服务商处添加“子域名”,并为它配置“TXT记录”。WAF会据此 判断域名的所有权真正属于哪个用户。具体的配置方法请参见未配置子域名和TXT记录 的影响。
操作指导
添加域名后,WAF会根据添加的域名是否已在WAF前使用了代理,生成CNAME值或者 CNAME、子域名和TXT记录,用于域名解析,使网站流量切入WAF,相关操作指导参 见表4-6。
表4-6 操作指导
场景 生成的参数值 域名解析的相关操作
未使用代理 CNAME 把DNS解析到WAF的
“CNAME”。
用户指南 4 网站接入 WAF(云模式)
场景 生成的参数值 域名解析的相关操作 使用代理 CNAME、子域名和TXT记录 ● 将DDoS高防等代理回源
地址修改为WAF的
“CNAME”。
● (可选)在DNS服务商处 添加一条WAF的“子域 名”和“TXT记录”。
操作步骤
步骤1 登录管理控制台。
步骤2 进入网站设置页面入口,如图4-28所示。
图4-28 网站设置入口
步骤3 在目标域名所在行的“防护网站”列中,单击域名,进入域名基本信息页面。
步骤4 在“CNAME”行中,单击 ,复制“CNAME”值,如图4-29。
图4-29 复制 CNAME
页面右上角弹出“复制成功”,则表示CNAME值复制成功。
步骤5 域名接入。
● 未使用代理
到该域名的DNS服务商处,配置防护域名的别名解析,具体操作请咨询您的域名 服务提供商。
以下为华为云DNS的CNAME绑定方法,仅供参考。如与实际配置不符,请以各自 域名服务商的信息为准。
a. 进入云解析页面的入口,如图4-30所示。
图4-30 云解析页面入口
b. 在目标域名所在行的“操作”列,单击“修改”,进入“修改记录集”页 面。
c. 在弹出的“修改记录集”对话框中修改记录值,如图4-31所示。
▪
“主机记录”:在WAF中配置的域名。▪
“类型”:选择“CNAME-将域名指向另外一个域名”。▪
“线路类型”:全网默认。▪
“TTL(秒)”:一般建议设置为5分钟,TTL值越大,则DNS记录的同步和 更新越慢。▪
“值”:修改为已复制的WAF CNAME地址。▪
其他的设置保持不变。说明
关于修改解析记录:
▪
对于同一个主机记录,CNAME解析记录不能重复,您需要将已存在的解析记录的 CNAME修改为WAF CNAME地址。▪
同一解析记录下,不同DNS解析记录类型间可能存在冲突。例如,对于同一个主 机记录,CNAME记录与A记录、MX记录、TXT记录等其他记录互相冲突。在无法 直接修改记录类型的情况下,您可以先删除存在冲突的其他记录,再添加一条新 的CNAME记录。删除其他解析记录并新增CNAME解析记录的过程应尽可能在短 时间内完成。如果删除A记录后没有添加CNAME解析记录,可能导致域名无法正 常解析。域名解析类型的限制规则请参见添加记录集时,为什么会提示“与已有解析记录冲 突”?。
用户指南 4 网站接入 WAF(云模式)
图4-31 修改记录集
d. 单击“确定”,完成DNS配置,等待DNS解析记录生效。
● 使用了代理
须知
若接入Web应用防火墙的网站已使用高防、CDN、云加速等代理,为了保证WAF 的安全策略能够针对真实源IP生效,请确保网站的“是否已使用代理”已配置为
“是”,详细操作请参见查看基本信息。
将使用的代理类服务(高防、CDN服务等)的回源地址修改为复制的目标域名的 CNAME,具体的方法请参见网站业务接入。
说明
为了防止其他用户提前将您的域名配置到Web应用防火墙上,从而对您的域名防护造成干 扰,建议您的DNS服务商处添加“子域名”和“TXT记录”。
1. 获取“子域名”和“TXT记录”:在“接入状态”所在行,单击“如何接入?”,在弹 出的“接入指导”对话框中,复制“子域名”和“TXT记录”。
2. 到DNS服务商处添加“子域名”,并为它配置“TXT记录”。具体的配置方法请参见未 配置子域名和TXT记录的影响。
WAF会根据配置“子域名”和“TXT记录”判断域名的所有权属于哪个用户。
步骤6 验证域名的CNAME是否配置成功。
1. 在Windows操作系统中,选择“开始 > 运行”,在弹出框中输入“cmd”,按
“Enter”。
2. 执行nslookup命令,查询CNAME。
如果回显的域名是配置的CNAME,则表示配置成功,示例如图4-32所示。
以域名www.example.com为例。
nslookup www.example.com
图4-32 查询 CNAME
----结束
后续处理
● 若用户的服务器在使用其他网络防火墙,请将其关闭或者将WAF的IP网段添加到 网络防火墙的IP白名单中,否则,其他防火墙容易将WAF的IP当成恶意IP。具体的 操作请参见如何放行WAF回源IP段?。
● 若用户的服务器上已安装个人版安全软件,建议将其更换为企业版安全软件,并 将WAF的IP网段添加到该软件的IP白名单中。
生效条件
网站以“云模式”成功接入WAF后,建议您在源站服务器上配置只放行WAF回源IP的 访问控制策略,防止黑客获取源站IP后绕过WAF直接攻击源站,以确保源站安全、稳 定、可用。
须知
网站以“云模式”成功接入WAF后,如果访问网站频繁出现502/504错误,建议您检 查并确保源站服务器已配置了放行WAF回源IP的访问控制策略。
用户指南 4 网站接入 WAF(云模式)