开启IPv6防护

IPv6防护为网站防御IPv6环境下发起的攻击,帮助源站实现IPv6协议请求的安全防护。本文介绍如何开启IPv6防护。

背景信息

开启IPv6安全防护功能后,WAF自动生成的CNAME地址将实现双路解析。解析规则如下:

  • IPv4客户端发起的解析请求将解析到一个IPv4地址的防护集群。

  • IPv6客户端发起的解析请求将解析到一个IPv6地址的防护集群。

双路解析实现了对IPv4IPv6流量的威胁检测与防御,并将安全的访问流量转发至源站服务器。

重要

只有使用CNAME接入模式将网站接入WAF防护,才能够正常实现双路解析。

您可以在WAF网站配置中开启IPv6回源,即同时设置IPv4IPv6回源服务器地址,并启用IPv4/IPv6回源协议跟随,使来自IPv6客户端的请求转发到IPv6源站,来自IPv4客户端的请求转发到IPv4源站。更多信息,请参见添加域名

前提条件

  • 已开通如下任意实例:

    • 包年包月实例:企业版、旗舰版、独享版。

    • 按量付费实例:已在账单与套餐中心,开启IPv6防护。具体操作,请参见账单与套餐中心(按量2.0版本)

      说明

      如果您的按量付费实例不支持开启IPv6防护,请确认您的按量付费版本。仅按量付费2.0的实例支持该功能,旧版按量付费实例不支持该功能。

  • WAF实例的地域是中国内地

    说明

    非中国内地WAF实例暂不支持IPv6防护。

  • 已使用CNAME接入模式完成网站接入。更多信息,请参见添加域名

    说明

    透明接入模式的网站暂不支持IPv6防护。

操作步骤

  1. 登录Web应用防火墙控制台,并在顶部菜单栏,选择WAF实例的资源组和地域(中国内地)。
    如果控制台已默认为中国内地地域,则无需切换地域。
  2. 在左侧导航栏,选择资产中心 > 网站接入
  3. 域名列表中,定位到要操作的域名,在快捷操作列为域名打开IPv6开关。开启IPv6

  4. 提示对话框,单击确定

    成功开启IPv6防护后,快捷操作列的IPv6开关的状态将变更为已开启。

后续步骤

开启IPv6防护后,WAF在将IPv6客户端请求转发到您的源站服务器时,将使用新增的回源IP网段。

为了保证您的源站服务器能够正常接收WAF转发的回源请求,尤其是当您已经开启了源站保护,即在源站上只允许放行WAF回源IP网段的请求时,您必须在源站服务器上设置放行新增的WAF回源IP网段。否则,IPv6客户端将出现访问异常或无法访问。具体操作,请参见放行WAF回源IP设置源站保护