最近更新时间:2024.04.28 11:13:55
首次发布时间:2024.01.26 11:09:11
如果您的业务未配置负载均衡,建议通过 CNAME 方式接入云 WAF 实例。在火山引擎 Web 应用防火墙控制台配置防护域名参数和 WAF 回源参数后,您只需要修改防护域名的 DNS 解析记录并放行火山引擎 Web 应用防火墙的回源 IP 地址,即可完成域名的安全防护配置。
为了提高业务安全,抵御更多攻击类型,您还可以通过 Web 应用防火墙(WAF)为公网 IP 业务开启 DDoS 原生防护服务。关于 DDoS 原生防护服务的介绍,可参考什么是 DDoS 原生防护(企业版)和什么是 DDoS 原生防护(高级版)。
在顶部菜单栏选择实例所属地域。
在左侧导航选择网站设置,然后单击新建站点。
选择接入方式为 CNAME 接入,并配置接入参数。
参数 | 说明 |
---|---|
网站配置 | |
防护域名 | 填写需要接入防护的域名,支持泛域名或精准域名。域名须经过 ICP备案,未备案域名将无法正常添加。 说明 如需同时配置泛域名和域名主体本身,请分别配置。如:需要同时配置 |
协议类型 | 需要接入 WAF 的网站所使用的通信协议,可选 HTTP、HTTPS 协议,勾选目标协议后,可在协议下方的输入框输入端口号。
|
日志采集 | 选择当前域名的日志服务的启用状态。
说明 如果需要开启日志服务,需要先完成 WAF 访问日志服务的跨服务授权,让 WAF 服务获取日志采集和存储权限。 |
DDoS 原生防护 | 如您需要对实例开启 DDoS 原生防护,可启用该功能,并选择相关 DDoS 原生防护实例。 说明 请确保您已购买对应的 DDoS 原生防护实例。购买说明请参考购买 DDoS 原生防护实例(企业版)和DDoS 原生防护实例(高级版)。 注意 如您在之前配置并开启了 WAF 关联 EIP 实例的云防火墙防护策略,在您选择开启 DDoS 原生防护(企业版)后,WAF 的 EIP 会被与 DDoS 原生防护(企业版)关联的增强型防护 EIP 替代,此时 WAF 实例不受已有的云防火墙防护策略保护。如需要开启云防火墙防护,请重新配置。 |
接入能力 | |
代理配置 | 需要配置的网站在接入 WAF 前是否使用了高防、CDN 等七层代理。
|
长连接 | 配置客户端与 WAF 之间的长连接限制。
|
请求 Body 最大值 | 可接收客户端请求正文的最大值。默认为 60 MB,支持配置 1~10240 MB。 |
源站配置 | |
回源方式 |
|
负载均衡 |
|
源站配置 |
|
回源能力 | |
建立超时时间 | WAF 和后端服务器的建连超时时间,建议大于健康检查超时时间。默认为 4 秒,支持配置 4~120 秒。 |
写连接超时时间 | WAF 将请求传输给后端服务器的超时时间。默认为 60 秒,支持配置 30~3600 秒。 |
读连接超时时间 | WAF 从后端服务器读取响应的超时时间。默认为 60 秒,支持配置 30~3600 秒。 |
回源长连接 | WAF 回源时,长连接可复用的个数。默认为 100 个,支持配置 60~1000 个。 |
回源重试 | WAF 回源失败后,可重试的次数。默认为 3 次,支持配置 1~10 次。 |
空闲长连接超时时间 | WAF 与后端服务器建立请求的长连接空闲时间。默认为 15 秒,支持配置 1~60 秒。 |
单击提交。
站点添加成功后,WAF 会在页面返回防护域名的 CNAME 值和 WAF 的回源 IP 地址。
访问 Web 应用的 DNS 解析服务商,将 DNS 服务记录类型设置为 CNAME,将记录值修改为刚获取到的 WAF CNAME 值。
待 DNS 解析生效后,防护域名的请求流量就会转发到 WAF。
在业务接入 Web 应用防火墙之后,所有的请求都会通过 WAF 的回源 IP 段返回到源站。这会导致每个回源 IP 上的请求量增加,从而容易触发安全策略的误拦截或限速,因此需要对 WAF 的回源 IP 段进行放行。
如果源站已经配置了防火墙或安装了安全软件,您复制以下回源 IP 地址,并将它们添加到源站的防火墙、访问控制列表(ACL)或者其他任何安全软件的白名单中。这样可以确保回源 IP 不会受到源站安全策略的影响。