您需要防护的网站可通过 CNAME 方式接入高防型 WAF 实例,通过 CNAME 记录将防护网站的请求流量转发至对应的 WAF 集群进行清洗检测,实现防护。本文介绍接入高防型 WAF 实例的流程。
限制及约束 WAF CNAME 接入支持 WebSocket 和 WebSockets 协议,且默认为开启状态。
前提条件 所需防护域名已备案,且未添加到 WAF。
流程说明
步骤一:购买高防型 WAF 实例 登录Web 应用防火墙控制台 。
在安全概览页面,单击购买 WAF 。
在购买页面配置高防型实例参数,配置说明如下。
配置
说明
实例名称
最多 60 个字符,只允许字母、数字、中文字符,'-'、'_'、'.'。
实例类型
选择高防型。
区域
WAF 实例所属区域。高防型支持地域为华北 2(北京高防)和华东 2(南通高防 3),建议选择与待防护资源位置较近的区域。
说明
同一帐号在同一个区域只能购买生成一条实例,实例到期回收后可以重新选购实例。
计费模式
支持选择包年包月。
套餐规格
高防型实例支持高级版、企业版、旗舰版三个版本,规格详情请参见实例规格对比详情 。
日志服务
开启日志服务后,默认授权创建 IAM 服务关联角色。
日志容量
开启日志服务后,默认起购日志容量 3 TiB,最多可购买 500 TiB。
域名扩展包
支持扩展防护域名数量,一个域名扩展包包含:10 个域名防护(限制仅支持 1 个一级域名),最多可购买 1000 个扩展包。
QPS 扩展包
支持扩展 QPS 量,一个 QPS 扩展包包含:1000 QPS,最多可购买 20 个扩展包。
购买时长
实例有效时长。
注意
实例到期 15 × 24 小时后将进行实例回收处理,请提前修改域名解析配置,以免影响您的正常业务。
过期的实例仅保留转发能力,不再具备 WAF 防护功能。通过 WAF CNAME 接入的域名,不会改变 CNAME 解析。 高防型 WAF 实例到期回收后,保留 WAF CNAME 并解析至对应域名在 WAF 配置的源站地址,此时不保证回源能力,请及时处理。 实例购买时默认开启到期自动续费,即当前实例创建完成后,账户可用余额充足的前提下,该实例会在到期前自动续费,默认单次续费时长为一个月。您可以手动取消勾选,或者在开通后前往费用中心 随时修改。
确认所选配置后,阅读并同意勾选相关服务协议。
单击立即购买 进入订单管理页面,确认订单信息。
确认订单信息无误后,完成支付。
步骤二:添加域名 登录火Web 应用防火墙控制台 。
在顶部菜单栏选择实例所属地域。
在左侧导航选择网站设置 ,然后单击CNAME接入 。
填写要接入 WAF 的网站基础信息,包括网站配置 、回源配置 和高级配置 。
网站配置
参数
说明
防护域名
填写需要接入防护的域名,支持泛域名或精准域名。如需同时配置泛域名和域名主体本身,请分别配置。如:需要同时配置*.b.a.com
和b.a.com
,需要分别接入域名并配置策略。
注意
域名须经过ICP备案 ,未备案域名将无法正常添加。
协议类型
需要接入 WAF 的网站所使用的通信协议,可选 HTTP、HTTPS 协议,勾选目标协议后,可在协议下方的输入框输入端口号。
协议选择:如只勾选 HTTPS 协议,则 HTTP 请求将默认重定向至 HTTPS。 端口号配置:
协议支持配置的端口数量因版本而异。 端口号输入后按回车键可继续输入其他端口号。 支持编辑或删除已输入的端口号。 注意
输入的端口号需在可添加端口范围内且不能重复,单击查看可添加端口 可搜索查看对应协议下可添加的端口号。
更多设置:
协议跟随:开启后,访问请求的“回源协议”与“访问协议”保持一致。为保证正常回源,请同时选中 HTTP 和 HTTPS 并确认源站支持已选中的协议类型。 HTTP 2.0:开启前需要勾选 HTTPS 协议类型,开启后支持 HTTP 2.0 协议接入防护,以 HTTP 1.0/1.1 协议转发回源。 IPv6 防护:开启后支持对 IPv6 客户端请求的防护,可在回源配置中配置 IPv4 和 IPv6 源站地址。开启协议跟随后,IPv4 请求将转发 IPv4 源站,IPv6 请求转发 IPv6 源站。说明
高防型实例企业版和旗舰版支持配置 IPv6 防护。
证书选择
当网站协议类型选择 HTTPS 时,需要在 WAF 上配置防护域名对应的证书。 可选择配置已在 WAF 平台上传的证书或新建证书,新建证书将自动上传至火山引擎证书中心管理控制台。证书操作相关请参见新建和查看证书 。
日志服务
选择当前域名的日志服务的启用状态,选择开启 则域名规则创建完成后开始采集该域名产生的日志数据,选择关闭 则域名规则创建完成后不会采集该域名产生的日志数据。
说明
如果需要开启日志服务,需要先完成 WAF 访问日志服务的跨服务授权,让 WAF 服务获取日志采集和存储权限。
回源配置 参数
说明
负载均衡
加权轮询(WRR):权重值越高的后端服务器,被轮询到的次数(概率)越高。 加权最小连接数(WLC):将请求分发给“当前连接/权重”比值最小的后端服务器。 源地址哈希(SH):基于源 IP 地址的一致性哈希,相同源地址的请求会调度到相同的后端服务器。 源站配置
分组:
默认分组:默认包含全部未自定义配置回源规则的接入端口。 自定义分组:
单击添加 可生成一个自定义分组,需要配置生效的端口范围。 支持编辑自定义分组名称,不超过 15 个字符,支持中文、英文、数字和下划线。 支持删除自定义分组,删除分组后将清空组内回源配置,并对组内接入端口按照默认分组配置执行回源操作。 接入端口配置:
默认分组的接入端口范围为全部未自定义配置回源规则的接入端口。 自定义分组支持在添加的端口范围内选择多个目标接口。不同自定义分组间不得重复选择。 说明
例如,您在网站配置中选择了 HTTP 协议下的80
、81
、82、83
端口,和 HTTPS 协议下的443、4443
端口,且在源站配置的自定义分组 1 中选择了 HTTP 协议下的80
和81
端口,则余下的82
、83
、443
和4443
端口都将适用默认分组的回源规则配置。
源站地址配置:
源站协议:即从 WAF 回源至源站的回源协议,支持 HTTP/HTTPS 回源。注意
未开启协议跟随时,同一地域下不同分组间的源站协议将全局保持一致。例如:您将自定义分组中的某源站配置的协议设置为 HTTP 协议,则所有分组(包括默认分组)下的源站协议都将设置为 HTTP 协议。
源站地址:需要接入 WAF 的网站所提供服务的源站 IP 地址。 源站端口:源站地址对应的端口。 权重:表示后端服务器收到请求的概率(概率为该服务器权重/组中所有服务器的总权重)。
权重越大转发的请求越多。 权重设置为 0,表示该服务器不会再接受新请求。 当监听器调度算法为源地址哈希(SH)时,无需配置权重。
高级配置
参数
说明
代理配置
需要配置的网站在接入 WAF 前是否使用了高防、CDN 等七层代理。
否 :接入 WAF 前没有配置代理,WAF 取与 WAF 建立连接的 IP(取 X-Real-Ip)作为客户端 IP。是 :接入 WAF 前配置了代理,表示 WAF 收到的业务请求来自其他七层代理服务转发,而非直接来自发起请求的客户端,需要进一步配置客户端 IP 判定方式。
X-Forwarded-For字段获取客户端真实 IP:通过X-Forwarded-For
字段中第一个公网IP地址作为客户端真实 IP 地址。 自定义Header字段:按匹配字段添加顺序获取客户端 IP并将其作为客户端真实 IP 。如匹配字段无法获取客户端 IP,则将通过X-Forwarded-For
字段获取;如X-Forwarded-For
字段由于伪造非法 IP 无法获取,则取X-Real-Ip
字段作为客户端 IP。说明
单实例每域名最多可配置 5 个自定义 Header 字段。
步骤三:修改 DNS 解析 填写域名信息后,单击下一步 获取 WAF CNAME 地址。 访问 Web 应用的 DNS 解析服务商,将 DNS 服务记录类型设置为 CNAME,将记录值修改为刚获取到的 WAF CNAME 地址。
待 DNS 解析生效后,相关域名的请求流量就会转发到 WAF。
步骤四:放行 WAF 回源 IP 段 该步骤仅对源站类型为公网IP 的域名生效。业务接入 WAF 后,所有的请求都会经 WAF 回源 IP 段返回源站,每个回源 IP 上分摊的请求量会增大,容易被安全策略误拦或限速,因此需要对 WAF 回源 IP 段进行放行。 如果源站已配置防火墙或安装安全软件,请复制回源 IP 地址,将其添加到源站的防火墙、ACL 或者其他任何安全软件白名单中,以确保回源 IP 不受源站安全策略影响。
接入完成后,网站设置列表自动生成防护网站记录,并默认启用防护。
后续操作:配置防护策略 网站接入 WAF 后,您可以根据防护需求场景对访问管控、CC 防护、漏洞防护、API 防护、Bot 管理等防护能力进行配置,提高网站抵抗攻击的防护能力。关于策略配置的详细操作,可参考WAF 防护策略概述 。