添加策略适用的防护域名_Web应用防火墙 WAF_用户指南_策略管理_华为云

(1)

Web 应用防火墙

用户指南

文档版本 129

发布日期 2022-02-22

(2)

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明

和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意

您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

(3)

1 ^{WAF 使用概览}

开通Web应用防火墙（WAF）服务后并将您的网站域名接入WAF，使网站的访问流量全部流转到WAF进行监控防护。

Web应用防火墙的使用概览如表1-1所示。

表1-1 Web 应用防火墙的使用概览

子流程说明

购买WAF 云模式支持包年/包月计费方式购买，独享模式和ELB模式支持按需计费方式购买。

须知独享模式和ELB模式需要提交工单申请开通后才能购买。

详细操作请参见开通WAF。

添加防护网站添加需要防护的网站。

● 云模式：详细操作请参见网站接入（云模式）。

● 独享模式：详细操作请参见网站接入（独享模式）。

● ELB模式：详细操作请参见网站接入（ELB模式）。

开启WAF防护添加防护域名后，可开启WAF防护，保护网站业务安全稳定。

说明

● WAF引擎不是运行在客户的Web服务器上的，所以对客户的Web服务器的资源性能没有影响。

● 接入WAF之后，根据请求页面的大小和数量，会有几十毫秒的延迟。

配置自定义规

则 WAF除了内置的防护规则外，还提供了丰富全面的自定义防护配置规则，全方位的防护您的网站。详细操作请参见配置防护规则。

开启告警通知开启告警通知后，用户可以第一时间接收被拦截和仅记录的攻击日志。详细操作请参见开启告警通知。

处理误报事件 WAF拦截或者记录的攻击事件为误报时，可对误报进行屏蔽处理。

详细操作请参见处理误报事件。

安全总览可查看到昨天、今天、3天、7天或者30天范围内的防护数据。详细操作请参见安全总览。

(7)

2 ^{开通 WAF}

2.1 购买 WAF 云模式

Web应用防火墙云模式支持包年/包月（预付费）计费方式。同时，包周期（包年/包月）提供四个服务版本：检测版、标准版（原专业版）、专业版（原企业版）和铂金版（原旗舰版），三种扩展包：域名扩展包、带宽扩展包和规则扩展包。您可以根据业务需求购买WAF云模式。

前提条件

已获取管理控制台的登录帐号（拥有WAF Administrator与BSS Administrator权限）

与密码。

约束条件

● 检测版不支持购买扩展包。

● 同一帐号在同一个大区域（例如华东区域）只能选择一个服务版本。

说明

有关支持购买WAF的区域说明，请参见Web应用防火墙支持防护哪些区域？。

原则上，在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率，建议您在购买WAF时，根据防护业务的所在区域就近选择购买的WAF区域。

● WAF不支持降低购买版本的规格。如果您需要降低购买的WAF规格，您可以先退订当前的WAF，再重新购买较低版本的WAF。

● 铂金版（原旗舰版）支持定制非标准端口，您可以提交工单申请开通定制的非标准端口。定制的非标准端口数将统计到非标准端口配额中（铂金版支持防护58个非标准端口），例如，如果您添加了6个铂金版支持的非标准端口，2个定制的非标准端口，则您还可以添加50个非标准端口。

● 扩展包与WAF版本绑定，不能单独续费或退订。

规格限制

● 一个域名包支持10个域名，限制仅支持1个一级域名和与一级域名相关的子域名或

用户指南 2 开通 WAF

(8)

● 一个带宽扩展包包含20Mbit/s/50Mbit/s（华为云外/华为云内）或者1,000QPS

（Query Per Second，即每秒钟的请求量，例如一个HTTP GET请求就是一个 Query）。

说明

● 华为云外：源站服务器部署在非华为云或云下（线下）。

● 华为云内：源站服务器部署在华为云上。

● 一个规则扩展包包含10条IP黑白名单防护规则。

应用场景

业务服务器部署在华为云上、非华为云或线下，且防护对象为域名。

各服务版本推荐使用的场景说明如下：

● 检测版个人网站防护

● 标准版（原专业版）

中小型网站，对业务没有特殊的安全需求

● 专业版（原企业版）

中型企业级网站或服务对互联网公众开放，关注数据安全且具有高标准的安全需求

● 铂金版（原旗舰版）

中大型企业网站，具备较大的业务规模，或是具有特殊定制的安全需求

操作步骤

步骤1 登录管理控制台。

步骤2 单击管理控制台左上角的，选择区域或项目。

步骤3 单击页面左上方的，选择“安全与合规 > Web应用防火墙 WAF”。

步骤4 首次购买WAF时，在界面左侧，单击“立即购买WAF”。

说明

再次购买WAF时，请在界面右上角，单击“购买WAF/升级规格”。

步骤5 （可选）在“企业项目”下拉列表中选择您所在的企业项目。

企业项目针对企业用户使用，只有开通了企业项目的客户，或者权限为企业主帐号的客户才可见。如需使用该功能，请开通企业管理功能。企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。

说明

● “default”为默认企业项目，帐号下原有资源和未选择企业项目的资源均在默认企业项目内。

● 只有注册的华为云帐号购买WAF时，“企业项目”下拉列表中才可以选择到“default”。

(9)

步骤6 在“购买Web应用防火墙”界面，选择“云模式”。

步骤7 在“购买Web应用防火墙”界面，选择“区域”和服务版本，如图2-1所示。

图2-1 选择服务版本

说明

如果您需要切换区域，请在“区域”下拉框里选择区域。同一个区域只支持购买一个WAF版本。

步骤8 选择标准版（原专业版）、专业版（原企业版）和铂金版（原旗舰版）时，可以设置

“域名扩展包”、“带宽扩展包”或“规则扩展包”的数量，如图2-2所示。

可参照WAF云模式域名扩展包说明、WAF云模式带宽扩展包说明和WAF云模式规则扩展包说明详细了解域名扩展包和带宽扩展包。

图2-2 选择扩展包

(10)

步骤9 选择“购买时长”。单击时间轴的点，选择购买时长，可以选择1个月～3年的时长。

说明

勾选“自动续费”后，当服务期满时，系统会自动按照购买周期进行续费。

步骤10 确认参数配置无误后，在页面右下角单击“立即购买”。

步骤11 确认订单详情无误并阅读《华为云Web应用防火墙免责声明》后，勾选“我已阅读并同意《华为云Web应用防火墙免责声明》”，单击“去支付”，完成购买操作。

步骤12 进入“付款”页面，选择付款方式进行付款。

----结束

生效条件

付款成功后，您可以在管理控制台右上方查看当前购买的WAF版本以及到期的天数。

2.2 购买 WAF 独享模式

如果您的业务服务器部署在华为云上，您可以通过购买WAF独享引擎实例对重要的域名或仅有IP的Web服务进行防护。购买独享引擎实例后，您还需要为实例配置弹性负载均衡，弹性负载均衡可以通过流量分发扩展应用系统对外的服务能力，同时通过消除单点故障提升应用系统的可用性。

独享模式支持按需计费模式，按使用时长收费。

须知

购买WAF独享模式前，请确认已提交工单申请开通独享模式。否则，您将无法购买独享模式实例。

前提条件

● 已获取管理控制台的登录帐号（拥有WAF Administrator/WAF FullAccess与BSS Administrator权限）与密码。

● 已成功创建虚拟私有云VPC。

约束条件

如果WAF独享引擎实例与源站不在同一个VPC中，需要在安全组中设置实例与源站的子网互通。您可以通过对等连接打通不同VPC之间的网络。

(11)

说明

规格限制

购买独享引擎实例后，实例规格不能修改。

应用场景

业务服务器部署在华为云上，防护对象为域名或IP。

大型企业网站，具备较大的业务规模且基于业务特性具有制定个性化防护规则的安全需求。

操作步骤

说明

步骤6 在“购买Web应用防火墙”界面，选择“独享模式”。

步骤7 配置WAF实例参数，如图2-3所示，相关参数说明如表2-1所示。

(12)

图2-3 配置 WAF 独享引擎实例

表2-1 WAF 独享引擎实例参数说明 参数名称说明

区域支持购买WAF独享模式的区域说明，请参见Web应用防火墙支持防护哪些区域？。

可用区选择区域中的可用区。

WAF实例名称前缀

设置WAF实例名称前缀，购买多个实例时，实例前缀名称相同。

WAF实例数量设置购买的WAF实例个数。

建议至少购买2个WAF实例，并将业务分别部署到WAF实例上。当业务部署多个WAF实例时，如果某个WAF实例发生故障时，WAF会自动将流量切换到其它正在运行的WAF实例上，确保业务正常运行。

WAF实例规格选择实例的规格，支持“WI-500”和“WI-100” 。

(13)

参数名称说明 WAF实例创建类别

选择实例的资源类型，相关说明如下：

● 资源租户类

WAF实例通过弹性网卡接入用户网络，如果使用ELB接入，仅支持独享型ELB。

● 普通租户类

WAF实例将直接创建在用户ECS中，您可以在ECS管理控制台查看创建的WAF实例。

CPU架构选择实例的CPU架构。

ECS规格选择实例的ECS规格。

虚拟私有云选择源站所在的VPC。

子网选择VPC中已配置的子网。

安全组选择区域中已有的安全组，或者单击“管理安全组”，跳转到VPC 管理控制台创建新的安全组。选择安全组后，该实例将受到该安全组访问规则的保护。

须知

● 安全组建议配置以下访问规则：

– 入方向规则

根据业务需求添加指定端口入方向规则，放通指定端口入方向网络流量。例如，需要放通“80”端口时，您可以添加“策略”为“允许”

的“TCP”、“80”协议端口规则。

– 出方向规则

默认。放通全部出方向网络流量。

有关添加安全组规则的详细操作，请参见添加安全组规则。

● 如果WAF独享引擎实例与源站不在同一个VPC中，需要在安全组中设置实例与源站的子网互通。

步骤11 成功付款后，单击“返回独享引擎列表”，在独享引擎实例列表界面，可以查看实例的创建情况。

----结束

生效条件

创建实例大约需要5分钟。当实例的运行状态为“运行中”时，说明实例已经创建成功。

WAF 通信安全授权

如果业务使用WAF独享模式部署方式，直接访问VPC内的数据需要开通相应的安全组规则，而开通相应的安全组规则需要获取用户授权，此授权过程称为通信安全授权。

成功购买WAF独享引擎后，WAF默认开启通信安全授权，即开通如表2-2所示的安全组规则。

表2-2 WAF 通信安全授权安全组规则

协议端口类型源地址描述

入方向规则

TCP: 22 IPv4 100.64.0.0/10 WAF远程运维出方向规则

TCP: 9011 IPV4 100.125.0.0/16 WAF事件日志上报 TCP: 9012 IPV4 100.125.0.0/16 WAF事件日志上报 TCP: 9013 IPV4 100.125.0.0/16 WAF事件日志上报 TCP: 9018 IPV4 100.125.0.0/16 WAF策略同步 TCP: 9019 IPV4 100.125.0.0/16 WAF心跳日志上报 TCP: 4505 IPV4 100.125.0.0/16 WAF策略同步 TCP: 4506 IPV4 100.125.0.0/16 WAF策略同步 TCP: 50051 IPV4 100.125.0.0/16 WAF性能日志上报 TCP: 443 IPV4 100.125.0.0/16 WAF策略同步

2.3 购买 ELB 模式

如果您的业务服务器部署在华为云上，您可以通过购买ELB模式实例确保重要业务可靠、安全运行。购买的ELB模式为七层负载均衡，支持HTTP和HTTPS协议，监听器收到访问请求后，需要识别并通过HTTP/HTTPS协议报文头中的相关字段，进行数据的转发。

ELB模式支持按需计费模式，按使用时长收费。

(15)

须知

购买ELB模式前，请确认已提交工单申请开通ELB模式。否则，您将无法购买ELB模式实例。

原则上，在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高 WAF的转发效率，建议您在购买WAF时，根据防护业务的所在区域就近选择购买的 WAF区域。

前提条件

已获取管理控制台的登录帐号（拥有WAF Administrator与BSS Administrator权限）

与密码。

约束条件

已购买华为云独享型ELB，且该ELB必须与ELB模式实例在同一个VPC内，否则，可能导致业务接入异常。

说明

规格限制

购买ELB模式实例后，规格不能修改。

应用场景

业务服务器部署在华为云上，防护对象为域名或IP。

大型企业网站，对业务稳定性有较高要求的安全防护需求。

操作步骤

说明

企业项目针对企业用户使用，只有开通了企业项目的客户，或者权限为企业主帐号的客户才可见。如需使用该功能，请开通企业管理功能。企业项目是一种云资源管理方

(16)

说明

步骤6 在“购买Web应用防火墙”界面，选择“ELB模式”。

步骤7 配置ELB模式实例参数，如图2-4所示，相关参数说明如表2-3所示。

图2-4 配置 ELB 模式实例

表2-3 ELB 模式实例参数说明 参数名称说明

区域原则上，在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率，建议您在购买WAF时，根据防护业务的所在区域就近选择购买的WAF区域。

须知使用独享模式或ELB模式前，请确认已提交工单申请开通独享模式或ELB模式。否则，您将无法购买独享模式或ELB模式。

可用区选择区域中的可用区。

WAF实例名称前缀

设置WAF实例名称前缀，购买多个实例时，实例前缀名称相同。

WAF实例数量设置购买的WAF实例个数。

WAF实例规格选择实例的规格，支持“WI-500”和“WI-100”

(17)

参数名称说明 WAF实例创建类别

选择实例的资源类型，相关说明如下：

● 资源租户类

WAF实例通过弹性网卡接入用户网络。

● 普通租户类

WAF实例将直接创建在用户ECS中，您可以在ECS管理控制台查看创建的WAF实例。

CPU架构选择实例的CPU架构。

ECS规格选择实例的ECS规格。

实例组选择实例组，实例组可以管理多个ELB模式实例，您可以单击“创建实例组”，创建新的实例组。有关创建实例组的详细操作，请参见创建实例组。

子网选择实例组中已配置的子网。

安全组选择区域中已有的安全组，或者单击“管理安全组”，跳转到VPC 管理控制台创建新的安全组。选择安全组后，该实例将受到该安全组访问规则的保护。

须知

● 安全组建议配置以下访问规则：

– 入方向规则

添加“策略”为“允许”的“TCP”、“80”协议端口规则，放通

“80”端口入方向网络流量。

– 出方向规则

默认。放通全部出方向网络流量。

有关添加安全组规则的详细操作，请参见添加安全组规则。

● 如果WAF独享引擎实例与源站不在同一个VPC中，需要在安全组中设置实例与源站的子网互通。

步骤11 成功付款后，单击“返回独享引擎列表”，在独享引擎实例列表界面，可以查看实例的创建情况。

----结束

生效条件

创建实例大约需要5分钟。当实例的运行状态为“运行中”时，说明实例已经创建成功。

WAF 通信安全授权

如果业务使用ELB模式部署方式，直接访问VPC内的数据需要开通相应的安全组规则，

(18)

成功购买ELB模式后，WAF默认开启通信安全授权，即开通如表2-4所示的安全组规则。

表2-4 WAF 通信安全授权安全组规则

协议端口类型源地址描述

入方向规则

TCP: 22 IPv4 100.64.0.0/10 WAF远程运维出方向规则

TCP: 9011 IPV4 100.125.0.0/16 WAF事件日志上报 TCP: 9012 IPV4 100.125.0.0/16 WAF事件日志上报 TCP: 9013 IPV4 100.125.0.0/16 WAF事件日志上报 TCP: 9018 IPV4 100.125.0.0/16 WAF策略同步 TCP: 9019 IPV4 100.125.0.0/16 WAF心跳日志上报 TCP: 4505 IPV4 100.125.0.0/16 WAF策略同步 TCP: 4506 IPV4 100.125.0.0/16 WAF策略同步 TCP: 50051 IPV4 100.125.0.0/16 WAF性能日志上报 TCP: 443 IPV4 100.125.0.0/16 WAF策略同步

(19)

3 升级 WAF 云模式规格

3.1 升级 WAF 云模式版本和规格

购买了云模式后，您可以从较低版本的WAF升级到任一更高版本，也可以根据实际使用需求购买域名扩展包、带宽扩展包或规则扩展包，增加域名、带宽或IP黑白名单防护规则的规格。

前提条件

● 已获取管理控制台的登录帐号（拥有WAF Administrator与BSS Administrator权限）与密码。

● 已购买任一版本的云模式。

规格限制

● 检测版不支持购买扩展包，需要升级到标准版（原专业版）或更高版本才能购买。

● 一个域名包支持10个域名，限制仅支持1个一级域名和与一级域名相关的子域名或泛域名。

● 一个带宽扩展包包含20Mbit/s/50Mbit/s（华为云外/华为云内）或者1,000QPS

（Query Per Second，即每秒钟的请求量，例如一个HTTP GET请求就是一个 Query）。

说明

● 华为云外：源站服务器部署在非华为云或云下（线下）。

● 华为云内：源站服务器部署在华为云上。

● 一个规则扩展包包含10条IP黑白名单防护规则。

约束条件

已到期的服务版本，不支持直接升级，请先完成续费再升级。

用户指南 3 升级 WAF 云模式规格

(20)

应用场景

当前云模式版本不支持相关功能，或者防护域名数、带宽或IP黑白名单防护规则不能满足业务需求。有关各服务支持的功能特性说明，请参见服务版本差异。

系统影响

升级服务版本和购买扩展包（域名扩展包、带宽扩展包、规则扩展包）时，对已防护的网站业务没有任何影响。

操作步骤

步骤4 在界面右上角，单击“购买WAF/升级规格”。

说明

步骤6 在“购买Web应用防火墙”界面，选择“云模式”。

步骤7 在购买Web应用防火墙界面，“规格选择”默认为当前服务版本，您可以选择比当前服务规格更高的任一服务版本，如图3-1所示。

“规格选择”从左到右，服务版本的规格越高。

(21)

图3-1 选择服务版本

步骤8 设置购买的“域名扩展包”、“带宽扩展包”和“规则扩展包”的数量。

图3-2 选择扩展包

步骤9 在页面右下角，单击“立即购买”。

(22)

生效条件

付费成功后，购买的版本和扩展包规格将立即生效。

3.2 WAF 云模式带宽扩展包说明

通过包年/包月模式购买云模式时，标准版（原专业版）、专业版（原企业版）和铂金版（原旗舰版）存在一定量的业务带宽限制。您可以购买带宽扩展包以满足更大的业务带宽需求。

您可以在购买云模式或升级云模式规格时购买带宽扩展包。

须知

● 购买带宽扩展包后，不支持退订或续费时减低规格。

什么是业务带宽限制

WAF的业务带宽是指所有该WAF防护的域名、站点中正常业务流量的大小，单位为 Mbit/s。

一个带宽扩展包包含业务带宽20Mbit/s/50Mbit/s（Web应用在华为云外/Web应用在华为云内）或者1,000QPS（Query Per Second，即每秒钟的请求量，例如一个HTTP GET请求就是一个Query）。

说明

WAF中的实际业务带宽由WAF单独计算，与其他华为云产品（如CDN、ELB、ECS等）的带宽或者流量限制没有任何关联。

通过包年包月模式购买WAF时，标准版（原专业版）、专业版（原企业版）和铂金版

（原旗舰版）都存在一定量的业务带宽限制，且在华为云内的源站服务器（如ECS、

ELB实例等）可享有更高的业务带宽。例如，在WAF铂金版（原旗舰版）套餐中，对于华为云内的源站的业务带宽限制为300Mbit/s，而对于华为云外的服务器（如IDC机房等）的业务带宽限制则为100Mbit/s，如图3-3所示。

(23)

图3-3 业务带宽

如何选择带宽扩展包

购买WAF时，您需要提前考虑准备通过WAF配置防护的所有站点的日常入方向和出方向总流量的峰值，确保您选购的WAF所对应的业务带宽限制大于入、出方向总流量峰值中较大的值。

说明

一般情况下，出方向的流量会比较大。

您可以参考云服务器（ECS）管理控制台中的流量统计，或者通过您站点服务器上的其它监控工具来评估您的实际业务流量大小。

流量指的是业务去掉攻击流量后的正常流量。例如，您需要将所有站点对外访问的流量都接入WAF进行防护，在正常访问（未遭受攻击）时，WAF将这些正常访问流量回源到源站ECS实例；而当站点遭受攻击（CC攻击或DDoS攻击）时，WAF将异常流量拦截、过滤后，将正常流量回源到源站ECS实例。因此，您在云服务器（ECS）管理控制台中查看您源站ECS实例的入方向及出方向的流量就是正常的业务流量。如果存在多个源站ECS实例，则需要统计所有源站ECS实例流量的总和。例如：假设您需要通过WAF 配置防护六个站点，每个站点的出方向的正常业务流量峰值都不超过50Mbit/s，流量总和不超过300Mbit/s。这种情况下，您只需选择购买Web应用防火墙铂金版（原旗舰版）套餐即可。

超过业务带宽限制会有什么影响

如果您的正常业务流量超过您已购买的WAF版本的业务带宽限制，您在WAF中配置的全部业务的流量转发将可能受到影响。

超出业务带宽限制后，可能出现限流、随机丢包等现象，导致您的正常业务在一定时间内不可用、卡顿、延迟等。例如，页面提示“Website is under maintenance (Protected by WAF)”。

如果出现这种情况，您需要升级WAF版本或者扩展业务带宽，避免正常业务流量超出业务带宽限制所产生的影响。

(24)

带宽扩展包

如果您通过WAF防护的网站的业务流量较大，您可以额外购买更多的带宽扩展包防止超过WAF版本的业务带宽限制。

例如，您当前的业务流量需求为70Mbit/s（华为云外的源站服务器），您已经购买了 WAF专业版（原企业版）套餐（带宽限制为50Mbit/s），这种情况下您需要额外购买 20Mbit/s的带宽扩展包，确保您的业务访问正常。您可以通过升级WAF云模式版本和规格来增加带宽扩展配置，满足更大的业务带宽需求。

3.3 WAF 云模式域名扩展包说明

一个域名扩展包支持防护10个域名，限制仅支持1个一级域名。如果当前云模式版本的防护域名数量不能满足业务需求时，您可以通过购买域名扩展包增加防护域名配额。

例如，您当前使用的是标准版（原专业版），支持防护10个域名，限制仅支持1个一级域名，如果业务需要防护3个一级域名，您可以通过购买2个域名扩展包增加防护域名配额。

在WAF管理控制台右上角单击“购买WAF/升级规格”购买域名扩展包。

须知

● 购买域名扩展包后，不支持退订或续费时减低规格。

云模式各版本支持域名配额

云模式各版本支持的域名个数说明如下：

● 检测版/标准版（原专业版）：支持防护10个域名，限制仅支持1个一级域名。

● 专业版（原企业版）：支持防护50个域名，限制仅支持5个一级域名。

● 铂金版（原旗舰版）：支持防护80个域名，限制仅支持8个一级域名。

说明

● 限制仅支持1个一级域名是指支持1个一级域名和与一级域名相关的子域名或泛域名。即您可以添加1个一级域名example.com和最多9个与其相关的子域名或泛域名，例如

www.example.com，*.example.com，mail.example.com，user.pay.example.com，

x.y.z.example.com。这些域名（包括一级域名example.com）将各占用一个域名包中的域名配额。

● 同一个域名对应不同端口视为不同的域名，例如www.example.com:8080和 www.example.com:8081视为两个不同的域名，将占用两个不同的域名配额。

您也可以通过升级云模式版本增加域名配额。有关升级云模式版本的详细操作，请参见升级WAF云模式版本和规格。

3.4 WAF 云模式规则扩展包说明

购买云模式时，如果当前版本的IP黑白名单防护规则数不能满足要求，您可以通过购买规则扩展包增加IP黑白名单防护规则数，以满足的防护配置需求。

一个规则扩展包包含10条IP黑白名单防护规则。

(25)

您可以在购买云模式或升级云模式规格时购买规则扩展包。购买规则扩展包后，不支持退订或续费时减低规格。

详细操作请参见升级WAF云模式版本和规格。

须知

● 购买规则扩展包后，不支持退订或续费时减低规格。

(26)

4 网站接入 WAF（云模式）

4.1 网站接入流程（云模式）

购买WAF云模式后，您需要将防护域名接入WAF，使网站的访问流量全部流转到WAF 进行监控防护。

约束限制

● WAF云模式可以防护通过域名访问的Web应用/网站，包括华为云、非华为云或线下的域名。有关WAF云模式功能特性的详细介绍，请参见服务版本差异。

● 将网站接入WAF后，网站的文件上传请求限制为512MB。

背景信息

网站在接入WAF前使用代理或未使用代理的接入配置说明如下：

● 使用代理

网站在接入WAF前已使用高防、CDN（Content Delivery Network，内容分发网络）、云加速等代理，如图4-1所示。

– 当网站没有接入到WAF前，DNS解析到代理，流量先经过代理，代理再将流量直接转到源站。

– 网站接入WAF后，需要将域名解析到WAF，这样流量才会被代理转发到 WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。

i. 将代理回源地址修改为WAF的“CNAME”。

ii. （可选）在DNS服务商处添加一条WAF的子域名和TXT记录。

(27)

图4-1 使用代理配置原理图

● 未使用代理

网站在接入WAF前未使用代理，如图4-2所示。

– 当网站没有接入到WAF前，DNS直接解析到源站的IP，用户直接访问服务器。

– 当网站接入WAF后，需要把DNS解析到WAF的CNAME，这样流量才会先经过WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。

图4-2 未使用代理配置原理图

网站接入流程说明

购买WAF云模式后，您可以参照图4-3所示的配置流程，快速使用WAF。

用户指南 4 网站接入 WAF（云模式）

(28)

图4-3 网站接入 WAF 的操作流程图-云模式

表4-1 域名接入 WAF 操作流程说明

操作步骤说明

步骤一：添加防护域名（云模式）

配置域名、协议、源站等相关信息。

步骤二：本地验证添加域名后，为了确保WAF转发正常，建议您先

通过本地验证确保一切配置正常，然后再修改 DNS解析。

步骤三：域名接入配置 ● 域名在接入WAF前未使用代理

到该域名的DNS服务商处，配置防护域名的别名解析。

● 域名在接入WAF前使用代理（DDoS高防、

CDN等）

将使用的代理类服务（DDoS高防、CDN等）

的回源地址修改为的目标域名的“CNAME”

值。

(29)

操作步骤说明

步骤四：放行WAF回源IP 如果您的源站服务器安装了其他安全软件或防火

墙，建议您配置只允许来自WAF的访问请求访问您的源站，这样既可保证访问不受影响，又能防止源站IP暴露后被黑客直接攻击。

域名接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实 IP被隐藏起来，Web访问者只能看到WAF的IP地址。

接入失败处理

如果域名接入失败，即域名接入状态为“未接入”，请参考域名/IP接入状态显示“未接入”，如何处理？排查处理。

4.2 步骤一：添加防护域名（云模式）

该章节指导您将网站域名添加到Web应用防火墙，并完成域名接入，使网站流量切入 WAF。域名接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。

说明

如果您已开通企业项目，您可以在“企业项目”下拉列表中选择您所在的企业项目，在该企业项目下添加防护域名。

前提条件

● 已购买WAF云模式。

● 防护域名未添加到WAF，且域名已备案。

约束条件

● 主帐号可以查看子帐号添加的域名，但子帐号不能查看主帐号添加的域名。

● 同一防护域名不能重复添加到WAF云模式。

同一个域名对应不同端口视为不同的防护对象，例如www.example.com:8080和 www.example.com:8081为两个不同的防护对象，且占用两个域名防护配额。如果您需要防护同一域名的多个端口，您需要将该域名和端口逐一添加到WAF。

● WAF支持防护多级别单域名（例如，一级域名example.com，二级域名 www.example.com等）和泛域名（例如，*.example.com）。

(30)

须知

● 泛域名不支持下划线（_）。

● 泛域名添加说明如下：

● 如果各子域名对应的服务器IP地址相同：输入防护的泛域名。例如：子域名a.example.com，b.example.com和c.example.com对应的服务器IP地址相同，可以直接添加泛域名*.example.com。

● 如果各子域名对应的服务器IP地址不相同：请将子域名按“单域名”方式逐条添加。

● WAF不支持自定义防护域名的HTTP Header消息头。

● 检测版不支持泛域名。

● 仅专业版（原企业版）和铂金版（原旗舰版）支持IPv6防护。

当前仅“华东”和“华北”区域支持IPv4/6双栈和NAT64。

● 请确保域名经过ICP备案，WAF会检查域名备案情况，未备案域名将无法添加。

● CNAME值是根据域名生成的，对于同一个域名，其CNAME值是一致的。

● WAF当前仅支持PEM格式证书。

● 目前华为云SCM证书只能推送到“default”企业项目下。如果您使用其他企业项目，则不能选择使用SCM推送的SSL证书。

● WAF支持WebSocket协议，且默认为开启状态。

– “对外协议”选择“HTTP”时，默认支持WebSocket – “对外协议”选择“HTTPS”时，默认支持WebSockets

● 检测版、标准版（原专业版）“策略配置”只能选择“系统自动生成策略”。

规格限制

将网站接入WAF后，网站的文件上传请求限制为512MB。

系统影响

如果配置了非标准端口，访问网站时，需要在网址后面增加非标准端口进行访问，否则访问网站时会出现404错误。

收集防护域名的配置信息

在添加防护域名前，请获取防护域名如表4-2所示相关信息。

表4-2 准备防护域名相关信息

获取信息参数说明示例

域名是否

使用代理 - 域名在接入WAF前，是否已接入DDoS

高防、CDN等服务。 -

配置参数域名由一串用点分隔的英文字母组成（以字符串的形式来表示服务器IP），用户通过域名来访问网站。

www.example.c om

(31)

获取信息参数说明示例标准端口/

非标准端口

需要防护的域名对应的业务端口。

● 标准端口

– 80：HTTP对外协议默认使用端口

– 443：HTTPS对外协议默认使用端口

● 非标准端口 80/443以外的端口须知

如果防护域名使用非标准端口，请查看WAF支持哪些非标准端口？，确保购买的WAF版本支持防护该非标准端口。

80

对外协议客户端（例如浏览器）请求访问网站的协议类型。WAF支持“HTTP”、

“HTTPS”两种协议类型。

HTTP

源站协议 WAF转发客户端（例如浏览器）请求的协议类型。包括“HTTP”、

“HTTPS”两种协议类型。

HTTP

源站地址客户端（例如浏览器）访问网站所在源站服务器的公网IP地址（一般对应该域名在DNS服务商处配置的A记录）

或者域名（一般对应该域名在DNS服务商处配置的CNAME）。

XXX.XXX.1.1

（可选）

证书 - 对外协议选择“HTTPS”时，需要在 WAF上配置证书，将证书绑定到防护域名。

须知WAF当前仅支持PEM格式证书。如果证书为非PEM格式，请参考如何将非PEM格式的证书转换为PEM格式？转化证书格式。

-

操作步骤

步骤2 进入网站设置页面入口，如图4-4所示。

(32)

图4-4 网站设置入口

步骤3 在网站列表左上角，单击“添加防护网站”。

步骤4 选择“云模式”后，在“防护域名”文本框中输入防护域名后，单击“确认”。

图4-5 添加防护域名

防护域名支持多级别单域名（例如，一级域名example.com，二级域名 www.example.com等）和泛域名（例如，*.example.com）。

须知

● 检测版不支持添加泛域名。

● 泛域名不支持下划线（_）。

● 泛域名添加说明如下：

– 如果各子域名对应的服务器IP地址相同：输入防护的泛域名。例如：子域名 a.example.com，b.example.com和c.example.com对应的服务器IP地址相同，

可以直接添加泛域名*.example.com。

– 如果各子域名对应的服务器IP地址不相同：请将子域名按“单域名”方式逐条添加。

如果您的域名托管在华为云云解析服务上，您可以直接单击“快速添加”，在弹出的

“选择域名”对话框中选择待防护的域名，单击“确定”，托管的域名信息将自动添加到防护域名配置框中。

步骤5 在“域名配置”页面配置域名基本信息，如图4-6所示，相关参数说明如表4-3所示。

(33)

图4-6 配置基本信息

表4-3 基本信息参数说明

参数参数说明取值样例

网站名称网站的名称。 -

防护域名可防护的域名，支持单域名和泛域名。

● 单域名：输入防护的单域名。

● 泛域名：输入防护的泛域名。泛域名不支持下划线（_）。

说明

● 检测版不支持添加泛域名。

● 如果各子域名对应的服务器IP地址相同：输入防护的泛域名。例如：子域名a.example.com，b.example.com 和c.example.com对应的服务器IP地址相同，可以直接添加泛域名*.example.com。

● 如果各子域名对应的服务器IP地址不相同：请将子域名按“单域名”方式逐条添加。

单域名：www.example.

com 一级域名：

example.com 泛域名：*.example.com

(34)

参数参数说明取值样例端口可选参数，仅当用户勾选“非标准端口”时需要配

置。端口的配置示例如配置示例一：防护同一端口的不同源站IP的标准端口业务。

● “对外协议”选择“HTTP”时，WAF默认防护

“80”标准端口的业务；“对外协议”选择

“HTTPS”时，WAF默认防护“443”标准端口的业务。

● 如需配置除“80”/“443”以外的端口，勾选

“非标准端口”，在“端口”下拉列表中选择非标准端口。

Web应用防火墙支持的非标准端口请参见Web应用防火墙支持的非标准端口。

说明

如果配置了非标准端口，访问网站时，需要在网址后面增加非标准端口进行访问，否则访问网站时会出现404错误。

81

网站备注网站补充信息。 -

服务器配置

网站服务器地址的配置。包括对外协议、源站协议、

源站地址和源站端口。

● 对外协议：客户端请求访问服务器的协议类型。

包括“HTTP”、“HTTPS”两种协议类型。

● 源站协议：Web应用防火墙转发客户端请求的协议类型。包括“HTTP”、“HTTPS”两种协议类型。

说明

– 对外协议与源站协议的具体配置规则，请参见对外协议与源站协议配置规则。

– WAF支持WebSocket/WebSockets协议，且默认为开启状态。

● 源站地址：客户端访问的网站服务器的公网IP地址

（一般对应该域名在DNS服务商处配置的A记录）

或者域名（一般对应该域名在DNS服务商处配置的CNAME）。支持以下两种IP格式：

– IPv4，例如：XXX.XXX.1.1

– IPv6，例如：1050:0:0:0:5:600:300c:326b 须知仅专业版（原企业版）和铂金版（原旗舰版）支持IPv6

防护，且当前仅“华东”和“华北”区域支持IPv4/IPv6 双栈和NAT64。

● 源站端口：WAF转发客户端请求到服务器的业务端口。

对外协议：

HTTP 源站协议：

HTTP 源站地址：

IPv4 XXX .XXX.

1.1

源站端口：80

(35)

参数参数说明取值样例证书 “对外协议”设置为“HTTPS”时，需要选择证书。

您可以选择已创建的证书或选择导入的新证书。导入新证书的操作请参见步骤6。

成功导入的新证书，将添加到“证书管理”页面的证书列表中。有关证书管理的操作，请参见上传证书。

您也可以在SCM管理控制台购买证书并推送到WAF。

有关SCM证书推送到WAF的详细操作，请参见推送证书到云产品。

须知

● WAF当前仅支持PEM格式证书。如果证书为非PEM格式，请参考表4-4将证书转换为PEM格式，再上传。

● 目前华为云SCM证书只能推送到“default”企业项目下。如果您使用其他企业项目，则不能选择使用SCM推送的SSL证书。

● 如果您的证书即将到期，为了不影响网站的使用，建议您在到期前重新使用新的证书，并在WAF中同步更新网站绑定的证书。

● 域名和证书需要一一对应，泛域名只能使用泛域名证书。如果您没有泛域名证书，只有单域名对应的证书，

则只能在WAF中按照单域名的方式逐条添加域名进行防护。

--

步骤6 （可选）导入新证书。

当“对外协议”设置为“HTTPS”时，可以导入新证书。

1. 单击“导入新证书”，打开“导入新证书”对话框。然后输入“证书名称”，并将证书内容和私钥内容粘贴到对应的文本框中，如图4-7所示。

图4-7 导入新证书

(36)

说明

Web应用防火墙将对私钥进行加密保存，保障证书私钥的安全性。

WAF当前仅支持PEM格式证书。如果证书为非PEM格式，请参考表4-4在本地将证书转换为PEM格式，再上传。

表4-4 证书转换命令

格式类型转换方式

CER/CRT 将“cert.crt”证书文件直接重命名为“cert.pem”。

PFX – 提取私钥命令，以“cert.pfx”转换为“key.pem”为例。

openssl pkcs12 -in cert.pfx -nocerts -out key.pem - nodes

– 提取证书命令，以“cert.pfx”转换为“cert.pem”为例。

openssl pkcs12 -in cert.pfx -nokeys -out cert.pem P7B 1. 证书转换，以“cert.p7b”转换为“cert.cer”为例。

openssl pkcs7 -print_certs -in cert.p7b -out cert.cer 2. 将“cert.cer”证书文件直接重命名为“cert.pem”。

DER – 提取私钥命令，以“privatekey.der”转换为

“privatekey.pem”为例。

openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem

– 提取证书命令，以“cert.cer”转换为“cert.pem”为例。

openssl x509 -inform der -in cert.cer -out cert.pem

说明

– 执行openssl命令前，请确保本地已安装openssl。

– 如果本地为Windows操作系统，请进入“命令提示符”对话框后，再执行证书转换命令。

2. 单击“确定”，上传证书。

步骤7 选择“是否已使用代理”。

须知

● 当在Web应用防火墙前使用代理时，不能切换为“Bypass”工作模式。如何切换工作模式请参考切换工作模式。

● 如果网站未使用任何代理，而“是否已使用代理”选择了“是”，该配置仅会使 WAF在获取真实源IP时信任HTTP请求头中的“X-Forwarded-For”字段，不影响用户业务。

● 若接入Web应用防火墙的网站已使用高防、CDN（Content Delivery Network，

内容分发网络）、云加速等代理，为了保证WAF的安全策略能够针对真实源IP生效，请务必选择“是”，如果选择“否”，则Web应用防火墙无法获取Web访问

(37)

者请求的真实IP地址。另外，由于真实源IP字段中可能有多个IP，为确保WAF准确获取Web访问者请求的真实IP地址，建议添加防护网站的的IP标记流量标识（例如，CDN代理添加IP标记“CDN-Src-IP”）。

有关添加IP标记的详细操作，请参见配置攻击惩罚的流量标识。

● 若接入Web应用防火墙的网站未使用任何代理，请选择“否”。

步骤8 选择“策略配置”，默认为“系统自动生成策略”，您也可以选择自定义防护策略，

系统自动生成的策略相关说明如表4-5所示。

须知

检测版、标准版（原专业版）只能选择“系统自动生成策略”。

您也可以选择已创建的防护策略或在域名接入后根据防护需求配置防护规则。

表4-5 系统自动生成策略说明

版本防护策略策略说明

检测版、标准版（原

专业版） Web基础防护（“仅记录”模

式、常规检测）仅记录SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、

远程命令执行、目录遍历、敏感文件访问、命令/

代码注入等攻击行为。

专业版（原企业版）、铂金版（原旗舰版）

Web基础防护（“仅记录”模式、常规检测）

仅记录SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、

远程命令执行、目录遍历、敏感文件访问、命令/

代码注入等攻击行为。

网站反爬虫（“仅记录”模式、扫描器）

仅记录漏洞扫描、病毒扫描等Web扫描任务，如 OpenVAS、Nmap的爬虫行为。

说明

“仅记录”模式：发现攻击行为后WAF只记录攻击事件不阻断攻击。

步骤9 单击“下一步”。

建议您单击“下一步”后单击“完成”，跳过本步骤。后续参照步骤二：本地验证、

步骤三：域名接入配置完成域名接入。

CNAME值是根据域名生成的，对于同一个域名，其CNAME值是一致的。

步骤10 单击“下一步”后单击“完成”，防护域名添加成功。

(38)

图4-8 域名配置完成

● 单击“配置策略”，您可以为防护网站配置防护策略。

● 单击“继续添加域名”，您可以继续添加防护网站。

● 关闭对话框，您可以在防护网站列表中查看已添加防护网站。

说明

● 若用户的服务器在使用其他网络防火墙，请将其关闭或者将WAF的IP网段添加到网络防火墙的IP白名单中，否则，其他防火墙容易将WAF的IP当成恶意IP。具体的操作请参见如何放行 WAF回源IP段？。

● 若用户的服务器上已安装个人版安全软件，建议将其更换为企业版安全软件，并将WAF的IP 网段添加到该软件的IP白名单中。

----结束

生效条件

● 默认情况下，WAF每隔一小时就会自动检测每个防护域名的“接入状态”。

● 一般情况下，如果您确认已完成域名接入，“接入状态”为“已接入”，表示域名接入成功。

如果防护域名已接入WAF，“接入状态”仍然为“未接入”，可单击，刷新状态，如果仍然为“未接入”，可参照步骤三：域名接入配置重新完成域名接入。

配置示例一：防护同一端口的不同源站 IP 的标准端口业务

1. 配置时，不勾选非标准端口。

2. “对外协议”统一选择“HTTP”或者“HTTPS”。HTTP标准端口防护配置如图 4-9所示，HTTPS标准端口防护配置如图4-10所示。

(39)

图4-9 80 端口业务

图4-10 443 端口业务

说明

“对外协议”选择“HTTPS”时，需要配置证书。

3. 访问网站时，域名后可以不加端口号进行访问。例如，在浏览器中直接输入

“http://www.example.com”访问网站。

配置示例二：防护同一端口的不同源站 IP 的非标准端口业务

1. 配置时，勾选非标准端口，在“端口”下拉列表中选择需要防护的非标准端口，

WAF支持的非标准端口请参考Web应用防火墙支持哪些非标准端口？。

2. “对外协议”全部选择“HTTP”或者“HTTPS”。HTTP协议的非标准端口的配置如图4-11，HTTPS协议的非标准端口的配置如图4-12。

图4-11 除 80 端口的其他 HTTP 协议端口的业务

(40)

图4-12 除 443 端口的其他 HTTPS 协议端口的业务

说明

“对外协议”选择“HTTPS”时，需要配置证书。

3. 访问网站时，域名后必须加上配置的非标准端口，否则会报404错误。假如配置的非标准端口为8080，则在浏览器中直接输入的地址为“http://

www.example.com:8080”。

配置示例三：防护不同的业务端口

如果防护的业务端口不一样，则需要分别添加域名进行配置，如：域名

www.example.com需要同时防护8080端口和6443端口，配置如图4-13和图4-14所示。

图4-13 8080 端口

(41)

图4-14 6443 端口

对外协议与源站协议配置规则

根据您的业务场景的不同，WAF提供灵活的协议类型配置。假设您的网站为 www.example.com，WAF可配置如下四种访问模式：

● HTTP访问模式，如图4-15所示。

图4-15 HTTP 协议访问模式

须知

此种配置表示用户只能通过http://www.example.com访问网站，如果用户通过 https://www.example.com访问网站，会收到302跳转响应，浏览器跳转到http://

www.example.com。

● HTTPS访问模式，客户端协议全部配置为HTTPS时，当使用HTTP协议访问服务器

(42)

图4-16 HTTPS 协议访问强制跳转模式

须知

● 用户直接通过https://www.example.com访问网站，网站返回正常内容。

● 用户通过http://www.example.com访问网站，用户会收到302跳转响应，浏览器跳转到https://www.example.com。

● HTTP/HTTPS分别转发模式，如图4-17所示。

图4-17 HTTP/HTTPS 分别转发模式

(43)

须知

● 用户通过http://www.example.com访问网站，网站返回正常内容，没有跳转，

网站内容不加密传输。

● 用户通过https://www.example.com访问网站，网站返回正常内容，没有跳转，网站内容加密传输。

● 使用WAF做HTTPS卸载模式，如图4-18所示。

图4-18 使用 WAF 做 HTTPS 卸载模式

须知

用户通过https://www.example.com访问网站，但是WAF到源站依然使用HTTP协议。

4.3 步骤二：本地验证

添加防护域名后，为了确保WAF转发正常，建议您先通过本地验证确保防护域名一切配置正常。

进行此操作前，确保添加的防护域名（例如：www.example5.com）的源站服务器协议、地址、端口配置正确，如果“对外协议”类型选择了“HTTPS”，也必须确保上传的证书和私钥正确。

前提条件

已添加防护域名，且域名参数配置正确。

约束条件

(44)

本地接入 WAF

步骤1 获取CNAME值。

● 如果您正在添加防护域名，在配置域名基本信息后，请参考以下方式获取域名的 CNAME值。

单击“复制”，获取防护域名的CNAME值，如图4-19或图4-20所示。

图4-19 域名接入（使用代理）

图4-20 域名接入（未使用代理）

● 如果您已完成添加域名，请参考以下操作步骤获取域名的CNAME值。

a. 进入网站配置页面入口，如图4-21所示。

b. 在目标域名所在行的“防护网站”列中，单击目标域名，进入域名基本信息页面。

(45)

图4-22 查看基本信息

c. 在“CNAME”信息行，单击，复制“CNAME”值。

步骤2 ping“CNAME”值并记录“CNAME”对应的IP地址。

以域名www.example5.com为例，该域名已添加到WAF的网站配置中，且WAF为其分配了以下CNAME值：xxxxxxxdc1b71f718f233caf77.waf.huaweicloud.com。

在Windows中打开cmd命令行工具，运行ping

xxxxxxxdc1b71f718f233caf77.waf.huaweicloud.com获取WAF的回源IP。如图4-23所示，在响应结果中可以看到用来防护您的域名的WAF回源IP。

图4-23 ping cname

步骤3 在本地修改hosts文件，将域名及“CNAME”对应的WAF回源IP添加到“hosts”文件。

1. 用记事本或notepad++等文本编辑器打开hosts文件，hosts文件一般位于“C:

\Windows\System32\drivers\etc\”路径下。

2. 在hosts文件添加如图6 追加记录内容，前面的IP地址即在步骤2中获取的WAF回源IP地址，后面的域名即被防护的域名。

图4-24 追加记录

(46)

图4-25 ping 域名

预期此时解析到的IP地址应该是2中绑定的WAF回源IP地址。如果依然是源站地址，可尝试刷新本地的DNS缓存（Windows的cmd下可以使用ipconfig/flushdns 命令）。

----结束

验证 WAF 转发正常

步骤1 清理浏览器缓存，在浏览器中输入防护域名，测试网站域名是否能正常访问。

如果hosts绑定已经生效（域名已经本地解析为WAF回源IP）且WAF的配置正确，访问该域名，预期网站能够正常打开。

步骤2 手动模拟简单的Web攻击命令，测试Web攻击请求。

1. 将Web基础防护的状态设置为“拦截”模式，具体方法请参见配置Web基础防护规则。

2. 清理浏览器缓存，在浏览器中输入模拟SQL注入攻击的测试域名，测试WAF是否拦截了此条攻击，如图4-26所示。

图4-26 访问被拦截

3. 在左侧导航树中，选择“防护事件”，进入“防护事件”页面，查看防护域名测试的各项数据，如图4-27所示。

图4-27 查看测试数据

----结束

4.4 步骤三：域名接入配置

域名接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实 IP被隐藏起来，Web访问者只能看到WAF的IP地址。

(47)

域名接入前，为了确保WAF转发正常，请您先参照步骤二：本地验证通过本地验证确保一切配置正常。

前提条件

已添加防护域名且域名未接入成功。

约束条件

若接入Web应用防火墙的网站已使用高防、CDN、云加速等代理，为了保证WAF的安全策略能够针对真实源IP生效，请确保网站的“是否已使用代理”已配置为“是”。

规格限制

将网站接入WAF后，网站的文件上传请求限制为512MB。

工作原理

● 未使用代理

当网站没有接入到WAF前，DNS直接解析到源站的IP，所以当网站接入WAF后，

需要把DNS解析到WAF的CNAME，这样流量才会先经过WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。

● 使用了DDoS高防等代理

当网站没有接入到WAF前，DNS解析到高防等代理，流量先经过高防等代理，高防等代理再将流量直接转到源站。网站接入WAF后，需要将高防等代理回源地址修改为WAF的“CNAME”，这样流量才会被高防等代理转发到WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。

说明

● 为了确保WAF转发正常，在修改DNS解析配置前，建议您参照本地验证进行本地验证确保一切配置正常。

● 为了防止其他用户提前将您的域名配置到Web应用防火墙上，从而对您的域名防护造成干扰，建议您到DNS服务商处添加“子域名”，并为它配置“TXT记录”。WAF会据此判断域名的所有权真正属于哪个用户。具体的配置方法请参见未配置子域名和TXT记录的影响。

操作指导

添加域名后，WAF会根据添加的域名是否已在WAF前使用了代理，生成CNAME值或者 CNAME、子域名和TXT记录，用于域名解析，使网站流量切入WAF，相关操作指导参见表4-6。

表4-6 操作指导

场景生成的参数值域名解析的相关操作

未使用代理 CNAME 把DNS解析到WAF的

“CNAME”。

(48)

场景生成的参数值域名解析的相关操作使用代理 CNAME、子域名和TXT记录 ● 将DDoS高防等代理回源

地址修改为WAF的

“CNAME”。

● （可选）在DNS服务商处添加一条WAF的“子域名”和“TXT记录”。

操作步骤

步骤2 进入网站设置页面入口，如图4-28所示。

步骤3 在目标域名所在行的“防护网站”列中，单击域名，进入域名基本信息页面。

步骤4 在“CNAME”行中，单击，复制“CNAME”值，如图4-29。

图4-29 复制 CNAME

页面右上角弹出“复制成功”，则表示CNAME值复制成功。

步骤5 域名接入。

● 未使用代理

到该域名的DNS服务商处，配置防护域名的别名解析，具体操作请咨询您的域名服务提供商。

以下为华为云DNS的CNAME绑定方法，仅供参考。如与实际配置不符，请以各自域名服务商的信息为准。

a. 进入云解析页面的入口，如图4-30所示。

添加策略适用的防护域名_Web应用防火墙 WAF_用户指南_策略管理_华为云

Web 应用防火墙

用户指南

目 录

1 WAF 使用概览... 1

2 开通 WAF...2

3 升级 WAF 云模式规格... 14

4 网站接入 WAF（云模式）...21

5 网站接入 WAF（独享模式）...50

6 网站接入 WAF（ELB 模式）...68

7 管理防护域名...78

8 管理证书... 103

9 管理黑白名单 IP 地址组... 111

10 配置防护规则... 116

11 安全总览... 194

12 管理防护事件... 198

13 开启全量日志... 208

14 开启告警通知... 219

15 策略管理... 222

16 管理独享引擎... 227

17 管理 ELB 实例组...232

18 查看产品信息... 235

19 管理项目和企业项目...236

20 权限管理... 238

21 云审计服务支持的关键操作... 246

22 监控... 250

A 修订记录... 260

1 WAF 使用概览

2 开通 WAF

2.1 购买 WAF 云模式

前提条件

约束条件

规格限制

应用场景

操作步骤

生效条件

相关操作

2.2 购买 WAF 独享模式

前提条件

约束条件

规格限制

应用场景

操作步骤

生效条件

相关操作

WAF 通信安全授权

2.3 购买 ELB 模式

前提条件

约束条件

规格限制

应用场景

操作步骤

生效条件

WAF 通信安全授权

3 升级 WAF 云模式规格

3.1 升级 WAF 云模式版本和规格

前提条件

规格限制

约束条件

应用场景

系统影响

操作步骤

生效条件

相关操作

3.2 WAF 云模式带宽扩展包说明

什么是业务带宽限制

如何选择带宽扩展包

超过业务带宽限制会有什么影响

带宽扩展包

3.3 WAF 云模式域名扩展包说明

云模式各版本支持域名配额

3.4 WAF 云模式规则扩展包说明

4 网站接入 WAF（云模式）

4.1 网站接入流程（云模式）

约束限制

背景信息

网站接入流程说明

接入失败处理

4.2 步骤一：添加防护域名（云模式）

前提条件

目录

1 ^{WAF 使用概览}

2 ^{开通 WAF}