CNAME 接入方式不受业务部署位置的影响，如果您的业务没有部署在火山引擎上，建议通过此方式接入防护。在火山引擎大模型应用防火墙配置参数后，您只需要修改防护域名的 DNS 解析记录并放行平台的回源 IP 地址，即可将域名接入到大模型应用防火墙。

请求过程

通过 CNAME 方式将网站接入大模型应用防火墙，就是将请求流量牵引到大模型应用防火墙进行检测，再将检测后的流量转发到源站的过程。参考示意图如下：

用户请求过程如下：

1. 客户端识别用户输入的域名，向 DNS 发送请求查询域名解析地址。
2. 由于流量被牵引到大模型应用防火墙，此时 DNS 返回的域名解析地址为大模型应用防火墙 IP 地址，即客户端通过返回的域名解析地址直接访问大模型应用防火墙。

   说明

   如果存在代理服务，例如 CDN，DDoS 高防等，DNS 返回的域名解析地址为代理服务的 IP 地址。此时客户端通过返回的域名解析地址访问代理服务，代理服务通过大模型应用防火墙 IP 地址访问大模型应用防火墙。

3. 大模型应用防火墙检测请求流量，通过回源 IP 地址段将正常流量转发至您的源站服务器。

前提条件

• 您已创建防护实例，相关操作可参考创建大模型应用防火墙实例。
• 待防护域名已备案，且未添加到防护平台，备案操作可参考备案流程概览。

步骤一 配置接入参数

1. 登录大模型应用防火墙控制台。
2. 在顶栏选择实例所属地域。
3. 在左侧导航选择资产管理，然后单击添加域名。
4. 选择接入方式为 CNAME，并配置接入参数。
   
5. 单击提交。
   站点添加成功后， 会在页面返回防护域名的 CNAME 值和大模型应用防火墙的回源 IP 地址。更多配置说明可参见通过 CNAME 接入。

步骤二 放行回源 IP 地址

业务接入后，所有的请求都会通过大模型应用防火墙的回源 IP 段返回到源站。这会导致每个回源 IP 上的请求量增加，从而容易触发安全策略的误拦截或限速，因此需要对回源 IP 段进行放行。
如果源站已经配置了防火墙或安装了安全软件，您需要复制以下回源 IP 地址，并将它们添加到源站的防火墙、访问控制列表（ACL）或者其他任何安全软件的白名单中。这样可以确保回源 IP 不会受到源站安全策略的影响。
放行回源 IP 地址的详细操作说明可参见放行回源 IP 地址。

步骤三 验证转发配置

通过 CNAME 方式成功添加防护域名后，大模型应用防火墙实例会将相关端口接收到的请求转发至您源站的对应端口。为了确保业务稳定，建议您在接入配置后进行转发验证。验证的详细操作可参见验证转发配置。

步骤四 修改域名 DNS

确认转发生效后，您需要访问 Web 应用的 DNS 解析服务商，将 DNS 服务记录类型设置为 CNAME，将记录值修改为大模型应用防火墙的 CNAME 值。待 DNS 解析生效后，防护域名的请求流量就会转发到 WAF。修改 DNS 解析的详细操作可参见修改 DNS 解析。

步骤五 配置防护策略

平台将在配置完成后的返回页面展示防护策略的默认配置，且配置为开启状态。

• 如无需修改，您可以直接提交当前配置，完成控制台部分的接入操作。
• 如需修改，可直接在当前页面调整相关配置。修改并确认后的结果将作为下一次接入的默认配置。

对应策略的详细介绍和配置说明可参见防护策略介绍。

后续操作

• 查看防护数据：您可以在首页查看安全防护数据，包括请求次数、防护次数，以及对应的请求趋势曲线图和攻击分布占比图。详情请参见查看安全概览信息。
• 分析攻击事件：如果有命中防护规则的请求或响应，大模型应用防火墙会在攻击详情列表生成对应的日志记录，便于您追溯和分析攻击事件。您可以根据攻击事件详情和防护数据，调整或新增防护规则使大模型应用防火墙的检测结果更符合您的业务场景。例如，对匹配非高危检测分类的请求内容仅做观察处理，而不直接拦截，以避免误报。详情请参见查看攻击事件详情。