开通WAF后,您需要登录云盾Web应用防火墙控制台,在管理 > 网站配置页面添加您想要防护的网站信息,为其启用防护。

  • 如果您要防护的网站域名使用阿里云云解析DNS进行解析,我们支持一键完成添加和解析配置;否则,您需要手动添加网站,然后修改域名的CNAME解析记录,将网站域名解析到WAF实例。
  • 如果您要防护的网站使用HTTPS协议,我们也支持相应配置,但您必须在添加网站后上传证书和私钥,才能使设置生效。
下图显示了添加网站配置的整体过程,具体操作参见下文说明。

将网站添加至Web应用防火墙实例

参考以下步骤,将网站添加至您已购买或开通的Web应用防火墙(WAF)实例:

  1. 登录云盾Web应用防火墙控制台
  2. 定位到管理 > 网站配置页面,根据您的WAF实例所在的地区,选择中国大陆海外地区
    说明
    在中国大陆地区的WAF下添加的网站必须已完成ICP备案,关于备案操作请参考备案导航
  3. 单击添加网站
    • WAF将自动列出当前阿里云账号在云解析DNS中添加过解析A记录的域名,勾选需要防护的域名及协议类型,单击立即防护即可将该网站域名添加至WAF实例。同时,WAF将自动为您修改该域名的DNS解析记录,以接入该WAF实例进行防护。

      说明
      • 如果您未在云解析DNS中添加过解析A记录,则域名选择列表不会出现,您需要手动添加网站域名。
      • 如果您使用中国大陆WAF,则支持一键添加及解析的网站域名必须已经通过工信部备案。
      • 一键添加及解析的过程一般需要10-15分钟,您可以在网站配置页面查看该网站域名的DNS解析状态,确认切换是否生效。
    • 如果想要防护的网站域名不在域名选择列表中,您可以单击防护其它网站,手动添加该网站域名。操作步骤如下:
      1. 填写网站域名的配置信息,单击下一步。参数说明见下表:
        参数 描述 说明
        域名 您想要防护的网站域名 支持填写泛域名(如*.aliyundemo.cn),WAF将自动匹配该泛域名的二级域名。如果您同时配置泛域名和精确域名(如*.aliyundemo.cn和abc.aliyundemo.cn),WAF将优先使用精确域名所配置的转发规则和防护策略。
        协议类型 该网站支持的协议类型。如果您的网站支持HTTPS加密认证,请勾选HTTPS协议,并在添加网站后上传证书和私钥 如果勾选HTTPS协议类型,可使用高级设置实现HTTP强制跳转和HTTP回源等功能,保证访问平滑。关于HTTPS协议的详细配置说明,请查看HTTPS高级设置
        服务器地址 该网站域名的源站服务器地址。 网站接入WAF实例进行防护后,WAF会将过滤后的访问请求转发至该服务器地址。
        (推荐)勾选IP,填写源站服务器的IP(如云服务器ECS实例的IP、负载均衡SLB实例的IP等),配置成功后WAF将请求转发至该源站IP。 最多支持配置20个源站IP。如果配置多个回源IP,WAF将自动进行健康检查和负载均衡。关于WAF的负载均衡功能说明,请查看源站负载均衡
        勾选其它地址,填写服务器回源域名(如对象存储OSS的CNAME等),配置成功后WAF将请求转发至该域名。 服务器回源域名不应和要防护的网站域名相同。
        服务器端口 该网站域名的源站端口。网站接入WAF实例进行防护后,WAF会将过滤后的访问请求转发至该端口。 HTTP协议默认为80端口;HTTPS协议默认为443端口。如果您想要使用其它端口,可单击自定义进行添加。关于WAF支持的非标准端口说明,请查看非标准端口说明
        WAF前是否有七层代理(高防/CDN等) 根据该网站业务的实际情况勾选。 如果该网站在WAF前需要配置其它七层代理进行转发,请务必勾选,否则WAF将无法获取访问该网站的客户端真实IP信息。
        负载均衡算法 如果配置多个源站IP,勾选IP hash轮询,WAF将根据所选择的方式分发访问请求,实现负载均衡。 -


      2. 选择修改该域名DNS解析的方式(手动修改CDN修改),并按照页面提示完成修改。

        如果您需要手动修改该域名的DNS解析,查看手动修改DNS解析了解详细操作步骤。
        说明
        在修改域名的DNS解析前,建议您先在网站的源站服务器上配置放行WAF回源IP段在本地环境中验证域名转发配置是否生效,确保该网站的访问请求可以正常转发回源站服务器。

查看Web应用防火墙为该网站分配的CNAME

网站配置添加成功后,WAF将自动为该域名分配一个CNAME。通过将该网站域名的访问解析到该CNAME,所有访问请求即可先经过该WAF实例后被转发至源站服务器,实现安全防护。
说明
如果想要获取该域名所分配到的WAF IP,您通过Ping该域名所分配到CNAME所解析到的IP即是所分配的WAF IP。一般情况下,所分配的WAF IP不会频繁变更。
登录 云盾Web应用防火墙控制台,在 管理 > 网站配置页面,选择已添加的网站,将鼠标移至 复制CName按钮上即可查看WAF为该网站分配的CNAME。
说明
单击复制CName可将该CNAME复制到剪贴板中。


上传HTTPS证书和私钥(仅适用于HTTPS站点)

如果您添加的网站支持HTTPS加密认证,且已勾选HTTPS协议类型,在添加网站配置后,您还需要在云盾Web应用防火墙控制台上传相应的证书和私钥,否则将无法通过HTTPS协议访问该网站。

网站配置添加成功后,在 管理 > 网站配置页面中,该网站域名的HTTPS协议状态将显示为异常,提示您当前证书配置有误。

参考以下步骤,为该网站域名上传证书和私钥:

  1. 登录云盾Web应用防火墙控制台,在管理 > 网站配置页面,选择该网站域名。
  2. 单击HTTPS协议状态右侧的上传证书按钮。
  3. 更新证书对话框中,选择上传方式
    • 勾选手动上传,填写证书名称,将该网站域名所绑定的证书文件和私钥文件中的文本内容分别复制粘贴到证书文件私钥文件文本框中。
      说明
      • 对于一般格式的证书(如.pem、.cer、.crt等格式的证书),您可用文本编辑器直接打开证书文件复制其中的文本内容;对于其他格式的证书(如.pfx、.p7b等格式的证书)的证书,则需要将证书文件转换成.pem格式后再用文本编辑器打开来复制其中的文本内容。

        关于证书格式的转换方式,请查看HTTPS证书转换成PEM格式

      • 如果该HTTPS证书有多个证书文件(如证书链),需要将证书文件中的文本内容拼接合并后粘贴至证书文件文本框中。
      证书文件文本内容样例
      -----BEGIN CERTIFICATE-----
      xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx8ixZJ4krc+1M+j2kcubVpsE2
      cgHdj4v8H6jUz9Ji4mr7vMNS6dXv8PUkl/qoDeNGCNdyTS5NIL5ir+g92cL8IGOkjgvhlqt9vc
      65Cgb4mL+n5+DV9uOyTZTW/MojmlgfUekC2xiXa54nxJf17Y1TADGSbyJbsC0Q9nIrHsPl8YKk
      vRWvIAqYxXZ7wRwWWmv4TMxFhWRiNY7yZIo2ZUhl02SIDNggIEeg==
      -----END CERTIFICATE-----
      私钥文件文本内容样例
      -----BEGIN RSA PRIVATE KEY-----
      DADTPZoOHd9WtZ3UKHJTRgNQmioPQn2bqdKHop+B/dn/4VZL7Jt8zSDGM9sTMThLyvsmLQKBgQ
      Cr+ujntC1kN6pGBj2Fw2l/EA/W3rYEce2tyhjgmG7rZ+A/jVE9fld5sQra6ZdwBcQJaiygoIYo
      aMF2EjRwc0qwHaluq0C15f6ujSoHh2e+D5zdmkTg/3NKNjqNv6xA2gYpinVDzFdZ9Zujxvuh9o
      4Vqf0YF8bv5UK5G04RtKadOw==
      -----END RSA PRIVATE KEY-----


    • 如果该网站域名所绑定的HTTPS证书已添加至该云账号的云盾证书服务进行管理,勾选选择已有证书,直接选择该证书即可。

  4. 单击保存,该域名所绑定的证书和私钥即上传成功,HTTPS协议状态更新为正常

查看网站域名DNS解析状态

网站域名配置刚添加完成后,该域名的DNS解析状态可能显示为 异常

一般来说,这种情况是正常的。当您将该网站域名的DNS解析记录切换至WAF所分配的CNAME,且该网站域名的正常访问流量已经经过WAF后,该域名的DNS解析状态才会显示为正常。关于更多DNS解析状态的判断标准说明,请查看DNS解析状态说明