购买WAF云模式后,您需要将防护域名接入WAF,使网站的访问流量全部流转到WAF 进行监控防护。
约束限制
● WAF云模式可以防护通过域名访问的Web应用/网站,包括华为云、非华为云或线 下的域名。有关WAF云模式功能特性的详细介绍,请参见服务版本差异 。
● 将网站接入WAF后,网站的文件上传请求限制为512MB。
背景信息
网站在接入WAF前使用代理或未使用代理的接入配置说明如下:
● 使用代理
网站在接入WAF前已使用高防、CDN(Content Delivery Network,内容分发网 络)、云加速等代理,如图4-1所示。
– 当网站没有接入到WAF前,DNS解析到代理,流量先经过代理,代理再将流 量直接转到源站。
– 网站接入WAF后,需要将域名解析到WAF,这样流量才会被代理转发到 WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。
i. 将代理回源地址修改为WAF的“CNAME”。
ii. (可选)在DNS服务商处添加一条WAF的子域名和TXT记录。
图4-1 使用代理配置原理图
● 未使用代理
网站在接入WAF前未使用代理,如图4-2所示。
– 当网站没有接入到WAF前,DNS直接解析到源站的IP,用户直接访问服务 器。
– 当网站接入WAF后,需要把DNS解析到WAF的CNAME,这样流量才会先经 过WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。
图4-2 未使用代理配置原理图
网站接入流程说明
购买WAF云模式后,您可以参照图4-3所示的配置流程,快速使用WAF。
用户指南 4 网站接入 WAF(云模式)
图4-3 网站接入 WAF 的操作流程图-云模式
表4-1 域名接入 WAF 操作流程说明
操作步骤 说明
步骤一:添加防护域名(云模 式)
配置域名、协议、源站等相关信息。
步骤二:本地验证 添加域名后,为了确保WAF转发正常,建议您先
通过本地验证确保一切配置正常,然后再修改 DNS解析。
步骤三:域名接入配置 ● 域名在接入WAF前未使用代理
到该域名的DNS服务商处,配置防护域名的别 名解析。
● 域名在接入WAF前使用代理(DDoS高防、
CDN等)
将使用的代理类服务(DDoS高防、CDN等)
的回源地址修改为的目标域名的“CNAME”
值。
操作步骤 说明
步骤四:放行WAF回源IP 如果您的源站服务器安装了其他安全软件或防火
墙,建议您配置只允许来自WAF的访问请求访问 您的源站,这样既可保证访问不受影响,又能防 止源站IP暴露后被黑客直接攻击。
域名接入WAF后,WAF作为一个反向代理存在于客户端和服务器之间,服务器的真实 IP被隐藏起来,Web访问者只能看到WAF的IP地址。
接入失败处理
如果域名接入失败,即域名接入状态为“未接入”,请参考域名/IP接入状态显示“未 接入”,如何处理?排查处理。