在Web应用防火墙(Web Application Firewall,简称WAF)添加网站域名后,您必须使用WAF的CNAME地址(或IP地址)修改域名的DNS解析设置,将网站的Web请求解析到WAF进行安全防护。本文介绍了修改域名DNS的相关内容。
背景信息
WAF支持通过以下两种方式接入域名的Web请求:
- CNAME接入:将域名解析到WAF的CNAME地址。
推荐您使用CNAME接入。在某些极端情况下(例如节点故障、机房故障等),CNAME接入可以实现自动切换节点IP,甚至直接将解析切回源站,从而最大程度保证业务的稳定运行,提供高可用性和灾备能力。
- A记录接入:将域名解析到WAF的IP地址。
建议您仅在CNAME接入与当前域名解析设置存在冲突时(例如CNAME记录与MX记录冲突且必须保留MX记录),再使用A记录接入。
关于DNS解析记录冲突的详细说明,请参见解析记录冲突规则。
本文内容适用于为网站单独开启WAF防护,即网站不接入CDN、DDoS高防等其他代理型服务。如果您需要同时部署WAF和其他代理型服务,请参见以下文档:
前提条件
- 已通过CNAME接入模式在WAF中手动添加要防护的网站信息。具体操作,请参见手动接入域名。
- 拥有在域名的DNS服务商处修改域名解析设置的权限。
- 可选:已在源站服务器上放行WAF回源IP段。更多信息,请参见放行WAF回源IP段。
注意 如果源站服务器上使用了非阿里云安全软件(例如安全狗、云锁),您需要在这些软件上设置放行WAF的回源IP段,防止由WAF转发到源站的正常业务流量被拦截。
- 可选:已通过本地验证确保转发配置生效。通过本地验证确保WAF的网站转发配置正常,防止因配置错误导致业务中断。更多信息,请参见本地验证。
警告 如果在WAF的网站转发配置未生效时修改域名DNS,可能导致业务中断。
获取WAF CNAME地址或WAF IP地址
修改域名DNS前,您必须先获取域名对应的WAF CNAME地址或WAF IP地址。如果您在添加域名时已经获得相关地址,请忽略以下步骤。
使用云解析DNS修改域名解析
以下操作以阿里云云解析DNS为例介绍修改域名解析记录的方法。如果您的域名解析托管在阿里云云解析DNS,您可以直接参照以下步骤进行操作。如果您使用其他服务商的DNS服务,请参照以下步骤在域名DNS服务商的系统上进行类似配置。