Web应用防火墙cname接入指南

修改DNS解析
通过修改域名的DNS解析记录将网站域名解析,完成业务正式接入。用CNAME方式接入,成功添加域名到控制台后,会为域名分配一个CNAME值,你只需添加/修改域名的CNAME解析记录为分配的CNAME值,即可完成接入。修改解析记录需在购买域名时的域名解析服务商侧进行。

Web应用防火墙CNAME接入指南

要通过Web应用防火墙防护你的网站,你必须在Web应用防火墙控制台完成域名配置,并将域名解析指向WAF为域名分配的CNAME地址,让所有访问网站的流量都经过Web应用防火墙的过滤。

接入WAF前后的的流量逻辑如下所示。

Web应用防火墙cname接入前准备

在将你的网站域名通过CNAME方式接入Web应用防火墙进行防护前,你需要完成以下准备工作:

该网站域名必须可以通过公网访问。

该网站域名必须已完成ICP备案。

确认该网站域名是否已接入其它代理型系统。

准备被防护域名的DNS管理员权限,用来修改DNS记录,以切换被防护网站的流量。

如果该网站域名需要通过HTTPS协议访问,你还需要准备好相应的证书内容和私钥。

说明:一般情况下,你所需准备的证书相关内容包括:

.pem(证书文件)

key(私钥文件)
 

Web应用防火墙cname接入流程

步骤1:网站配置

登录腾讯云Web应用防火墙控制台,前往网站配置页面,单击添加网站,根据提示结合业务情况进行配置。

配置说明如下:
域名:填写要接入的网站域名。

协议类型:根据网站协议选择HTTP和/或HTTPS并根据实际情况,是否开启HTTPS的强制跳转,和是否开启HTTP回源。

服务器地址-选择IP,并填写源站公网IP。说明:服务器地址是你希望WAF把请求转发到的IP地址。如果你希望Web应用防火墙防护的目标使用域名接入,则需要选择其它地址,填写对应的源域名,注意不是接入Web应用防火墙cname防护的网站域名(此处添加的回源域名应保证在公网可以解析,否则该域名配置将不会生效)。

服务器端口填写服务器监听的端口。目前HTTP协议支持端口有:80,8080;HTTPS协议支持端口有:443,8443是否使用代理判断是否使用了代理。负载均衡算法选择IPhash或轮询算法。

Web应用防火墙启用HTTPS

如果该网站域名需要支持通过HTTPS协议访问,你还需要参考以下步骤在WAF控制台中为该网站域名上传相应的证书。

准备所需证书信息。说明:所下载的证书一般包括.pem(证书文件)和.key(私钥文件)两个文件。

登录腾讯云Web应用防火墙控制台,前往证书管理页面,分别上传证书文件证书私钥中的指定内容。

查看Web应用防火墙域名接入状态

配置网站后,你可以登录腾讯云Web应用防火墙控制台,在网站配置页面查看已添加的网站域名的DNS解析状态,确认其是否正确接入WAF。如果DNS解析状态为异常,且收到未检测到CNAME接入无流量的异常提示,则说明你所配置的网站域名未正确接入Web应用防火墙。

DNS解析状态自动检测该网站域名的解析是否指向CNAME,并检测最近数分钟内该域名的访问流量是否经过Web应用防火墙。

DNS解析状态的CNAME接入检测会定时执行。如果你确认已将网站域名解析正确接入WAF的CNAME,可在一小时后再次查看DNS解析状态。

步骤2:本地测试

将业务流量正式切换到WAF前,建议你先通过本地验证的方式确保WAF转发规则配置正常后,再修改网站域名的DNS解析记录,防止因配置错误而导致你业务的中断。

关于本地测试的具体方法,请查看本地验证。

步骤3:切换DNS解析记录(正式接入Web应用防火墙防护)

修改你的网站域名的DNS解析,将该网站域名接入WAF进行防护。

将鼠标移至已添加的网站域名记录,获取WAF已为该域名所分配的CNAME地址。

说明:单击复制按钮可将该CNAME地址复制到剪贴板。

以下操作步骤以腾讯云云解析DNS为例进行描述。如果网站使用的是其它域名提供商,参考以下操作步骤并结合实际域名管理控制台变更你的网站域名的DNS解析记录。

登录腾讯云解析DNS控制台,修改你的网站域名的解析记录。

配置说明主机记录填写对应的子域名(例如,www.uddemo.cn的主机记录为”www”,uddemo.cn的主机记录为”@”)。记录类型修改为CNAME。记录值填写Web应用防火墙已分配的CNAME地址。TTL即域名缓存时间,可按照你的实际需求填写(一般建议设置为600秒)。

填写完成后,单击确定,完成解析记录的变更。

Web应用防火墙cname接入注意事项
同一个主机记录,CNAME解析记录值只能填写一个,你需要将其修改为WAF所分配的CNAME地址。
同一个主机记录,A记录和CNAME记录是互斥的。你需要修改为CNAME类型,并填入WAF所分配的CNAME地址。
如果DNS服务商不允许直接将A记录的解析记录修改为CNAME记录,你需要先删除该A记录后,再增加CNAME类型的解析记录。

说明:整个删除、新增过程应尽可能在短时间内完成,确保网站访问不中断。如果删除A记录后长时间没有添加CNAME类型解析记录,可能导致域名解析失败。

MX记录和CNAME记录是互斥的。如果你的网站域名必须保留MX记录,可以通过使用A记录指向WAF的IP来接入WAF防护。通过对WAF分配的CNAME地址使用Ping命令可以获取所分配的WAFIP,然后将A记录类型的解析记录中的记录值修改为该WAFIP。

说明:如果你采用A记录方式将网站域名接入Web应用防火墙防护,Web应用防火墙将无法进行故障集群调度和故障bypass操作。

标签