接入高防型 WAF 实例

您需要防护的网站可通过 CNAME 方式接入高防型 WAF 实例，通过 CNAME 记录将防护网站的请求流量转发至对应的 WAF 集群进行清洗检测，实现防护。本文介绍接入高防型 WAF 实例的流程。

限制及约束

WAF CNAME 接入支持 WebSocket 和 WebSockets 协议，且默认为开启状态。

前提条件

所需防护域名已备案，且未添加到 WAF。

流程说明

步骤一：购买高防型 WAF 实例

1. 登录Web 应用防火墙控制台。

2. 在安全概览页面，单击购买 WAF。

3. 在购买页面配置高防型实例参数，配置说明如下。

   配置	说明
   实例名称	最多 60 个字符，只允许字母、数字、中文字符，'-'、'_'、'.'。
   实例类型	选择高防型。
   区域	WAF 实例所属区域。高防型支持地域为华北 2（北京高防）和华东 2（南通高防 3），建议选择与待防护资源位置较近的区域。 说明 同一帐号在同一个区域只能购买生成一条实例，实例到期回收后可以重新选购实例。
   计费模式	支持选择包年包月。 说明 试用相关操作和注意事项请参见开通免费试用。
   套餐规格	高防型实例支持高级版、企业版、旗舰版三个版本，规格详情请参见实例规格对比详情。
   日志服务	开启日志服务后，默认授权创建 IAM 服务关联角色。
   日志容量	开启日志服务后，默认起购日志容量 3 TiB，最多可购买 500 TiB。
   域名扩展包	支持扩展防护域名数量，一个域名扩展包包含：10 个域名防护（限制仅支持 1 个一级域名），最多可购买 1000 个扩展包。
   QPS 扩展包	支持扩展 QPS 量，一个 QPS 扩展包包含：1000 QPS，最多可购买 20 个扩展包。
   购买时长	实例有效时长。 注意 实例到期 15 × 24 小时后将进行实例回收处理，请提前修改域名解析配置，以免影响您的正常业务。 过期的实例仅保留转发能力，不再具备 WAF 防护功能。通过 WAF CNAME 接入的域名，不会改变 CNAME 解析。 高防型 WAF 实例到期回收后，保留 WAF CNAME 并解析至对应域名在 WAF 配置的源站地址，此时不保证回源能力，请及时处理。 实例购买时默认开启到期自动续费，即当前实例创建完成后，账户可用余额充足的前提下，该实例会在到期前自动续费，默认单次续费时长为一个月。您可以手动取消勾选，或者在开通后前往费用中心随时修改。

4. 确认所选配置后，阅读并同意勾选相关服务协议。

5. 单击立即购买进入订单管理页面，确认订单信息。

6. 确认订单信息无误后，完成支付。

步骤二：添加域名

1. 登录火Web 应用防火墙控制台。

2. 在顶部菜单栏选择实例所属地域。

3. 在左侧导航选择网站设置，然后单击CNAME接入。

4. 填写要接入 WAF 的网站基础信息，包括网站配置、回源配置和高级配置。

   • 网站配置
     

     参数	说明
     防护域名	填写需要接入防护的域名，支持泛域名或精准域名。如需同时配置泛域名和域名主体本身，请分别配置。如：需要同时配置*.b.a.com和b.a.com，需要分别接入域名并配置策略。 注意 域名须经过ICP备案，未备案域名将无法正常添加。
     协议类型	需要接入 WAF 的网站所使用的通信协议，可选 HTTP、HTTPS 协议，勾选目标协议后，可在协议下方的输入框输入端口号。 协议选择：如只勾选 HTTPS 协议，则 HTTP 请求将默认重定向至 HTTPS。 端口号配置： 协议支持配置的端口数量因版本而异。 端口号输入后按回车键可继续输入其他端口号。 支持编辑或删除已输入的端口号。 注意 输入的端口号需在可添加端口范围内且不能重复，单击查看可添加端口可搜索查看对应协议下可添加的端口号。 更多设置： 协议跟随：开启后，访问请求的“回源协议”与“访问协议”保持一致。为保证正常回源，请同时选中 HTTP 和 HTTPS 并确认源站支持已选中的协议类型。 HTTP 2.0：开启前需要勾选 HTTPS 协议类型，开启后支持 HTTP 2.0 协议接入防护，以 HTTP 1.0/1.1 协议转发回源。 IPv6 防护：开启后支持对 IPv6 客户端请求的防护，可在回源配置中配置 IPv4 和 IPv6 源站地址。开启协议跟随后，IPv4 请求将转发 IPv4 源站，IPv6 请求转发 IPv6 源站。 说明 高防型实例企业版和旗舰版支持配置 IPv6 防护。
     证书选择	当网站协议类型选择 HTTPS 时，需要在 WAF 上配置防护域名对应的证书。 可选择配置已在 WAF 平台上传的证书或新建证书，新建证书将自动上传至火山引擎证书中心管理控制台。证书操作相关请参见新建和查看证书。
     日志服务	选择当前域名的日志服务的启用状态，选择开启则域名规则创建完成后开始采集该域名产生的日志数据，选择关闭则域名规则创建完成后不会采集该域名产生的日志数据。 说明 如果需要开启日志服务，需要先完成 WAF 访问日志服务的跨服务授权，让 WAF 服务获取日志采集和存储权限。

   • 回源配置
     

     参数	说明
     负载均衡	加权轮询（WRR）：权重值越高的后端服务器，被轮询到的次数（概率）越高。 加权最小连接数（WLC）：将请求分发给“当前连接/权重”比值最小的后端服务器。 源地址哈希（SH）：基于源 IP 地址的一致性哈希，相同源地址的请求会调度到相同的后端服务器。
     源站配置	分组： 默认分组：默认包含全部未自定义配置回源规则的接入端口。 自定义分组： 单击添加可生成一个自定义分组，需要配置生效的端口范围。 支持编辑自定义分组名称，不超过 15 个字符，支持中文、英文、数字和下划线。 支持删除自定义分组，删除分组后将清空组内回源配置，并对组内接入端口按照默认分组配置执行回源操作。 接入端口配置： 默认分组的接入端口范围为全部未自定义配置回源规则的接入端口。 自定义分组支持在添加的端口范围内选择多个目标接口。不同自定义分组间不得重复选择。 说明 例如，您在网站配置中选择了 HTTP 协议下的80、81、82、83端口，和 HTTPS 协议下的443、4443端口，且在源站配置的自定义分组 1 中选择了 HTTP 协议下的80和81端口，则余下的82、83、443和4443端口都将适用默认分组的回源规则配置。 源站地址配置： 源站协议：即从 WAF 回源至源站的回源协议，支持 HTTP/HTTPS 回源。 注意 未开启协议跟随时，同一地域下不同分组间的源站协议将全局保持一致。例如：您将自定义分组中的某源站配置的协议设置为 HTTP 协议，则所有分组（包括默认分组）下的源站协议都将设置为 HTTP 协议。 源站地址：需要接入 WAF 的网站所提供服务的源站 IP 地址。 源站端口：源站地址对应的端口。 权重：表示后端服务器收到请求的概率（概率为该服务器权重/组中所有服务器的总权重）。 权重越大转发的请求越多。 权重设置为 0，表示该服务器不会再接受新请求。 当监听器调度算法为源地址哈希（SH）时，无需配置权重。 说明 每个最源站地址组最多支持添加 20 个源站。

   • 高级配置
     

     参数

     说明

     代理配置

     需要配置的网站在接入 WAF 前是否使用了高防、CDN 等七层代理。 否：接入 WAF 前没有配置代理，WAF 取与 WAF 建立连接的 IP（取 X-Real-Ip）作为客户端 IP。 是：接入 WAF 前配置了代理，表示 WAF 收到的业务请求来自其他七层代理服务转发，而非直接来自发起请求的客户端，需要进一步配置客户端 IP 判定方式。 X-Forwarded-For字段获取客户端真实 IP：通过X-Forwarded-For字段中第一个公网IP地址作为客户端真实 IP 地址。 注意 该方式存在攻击者伪造 XFF 字段的风险。 自定义Header字段：按匹配字段添加顺序获取客户端 IP并将其作为客户端真实 IP 。如匹配字段无法获取客户端 IP，则将通过X-Forwarded-For字段获取；如X-Forwarded-For字段由于伪造非法 IP 无法获取，则取X-Real-Ip字段作为客户端 IP。 说明 单实例每域名最多可配置 5 个自定义 Header 字段。

步骤三：修改 DNS 解析

1. 填写域名信息后，单击下一步获取 WAF CNAME 地址。
2. 访问 Web 应用的 DNS 解析服务商，将 DNS 服务记录类型设置为 CNAME，将记录值修改为刚获取到的 WAF CNAME 地址。
   待 DNS 解析生效后，相关域名的请求流量就会转发到 WAF。
   

步骤四：放行 WAF 回源 IP 段

该步骤仅对源站类型为公网IP的域名生效。业务接入 WAF 后，所有的请求都会经 WAF 回源 IP 段返回源站，每个回源 IP 上分摊的请求量会增大，容易被安全策略误拦或限速，因此需要对 WAF 回源 IP 段进行放行。 如果源站已配置防火墙或安装安全软件，请复制回源 IP 地址，将其添加到源站的防火墙、ACL 或者其他任何安全软件白名单中，以确保回源 IP 不受源站安全策略影响。

接入完成后，网站设置列表自动生成防护网站记录，并默认启用防护。

后续操作：配置防护策略

网站接入 WAF 后，您可以根据防护需求场景对访问管控、CC 防护、漏洞防护、API 防护、Bot 管理等防护能力进行配置，提高网站抵抗攻击的防护能力。关于策略配置的详细操作，可参考WAF 防护策略概述。