在Web应用防火墙添加域名后,您必须使用Web应用防火墙的CNAME地址(或IP地址)修改域名的DNS解析设置,将网站的Web请求解析到Web应用防火墙进行安全清洗,才能实现网站防护。本文介绍了修改域名DNS的相关内容。

前提条件

  • 已在Web应用防火墙(WAF)中添加要防护的网站信息。更多信息,请参见添加域名
  • 拥有在域名的DNS服务商处修改域名解析设置的权限。
  • 已放行Web应用防火墙回源IP段。更多信息,请参见回源IP段
    注意 如果源站服务器上使用了非阿里云安全软件(例如安全狗、云锁),您需要在这些软件上设置放行Web应用防火墙的回源IP段,防止由Web应用防火墙转发到源站的正常业务流量被拦截。
  • 已通过本地验证确保转发配置生效。建议您在修改域名DNS前,通过本地验证确保Web应用防火墙的网站转发配置正常,防止因配置错误导致业务中断。更多信息,请参见本地验证
    警告 如果在Web应用防火墙的网站转发配置未生效时修改域名DNS,可能导致业务中断。

背景信息

Web应用防火墙支持通过以下两种方式接入域名的Web请求:

  • CNAME接入:将域名解析到WAF CNAME地址。

    推荐您使用CNAME接入。在某些极端情况下(例如节点故障、机房故障等),CNAME接入可以实现自动切换节点IP甚至直接将解析切回源站,从而最大程度保证业务的稳定运行,提供高可用性和灾备能力。

  • A记录接入:将域名解析到WAF IP地址。

    建议您仅在CNAME接入与当前域名解析设置存在冲突时(例如CNAME记录与MX记录冲突且必须保留MX记录)再使用A记录接入。

    关于DNS解析记录冲突的详细说明,请参见解析记录冲突规则

本文内容适用于为网站单独开启Web应用防火墙防护,即网站不接入CDN、DDoS高防等其他代理型服务。如果您需要同时部署Web应用防火墙和其他代理型服务,请参见以下文档:

获取WAF CNAME地址和WAF IP地址

修改域名DNS前,您必须先获取域名对应的WAF CNAME地址或WAF IP地址。如果您在添加域名时已经获得相关地址,请忽略以下步骤。

  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地海外地区)。
  3. 在左侧导航栏,单击资产中心 > 网站接入
  4. 网站接入页面,定位到已添加的域名,将光标悬置在域名上,查看并复制域名对应的WAF CNAME地址。CName地址
  5. 可选:获取域名对应的WAF IP地址。
    说明 仅在使用A记录接入时需要获取WAF IP地址。如果您使用CNAME接入,请忽略该步骤。
    1. 在Windows操作系统中,打开cmd命令行工具。
    2. 执行以下命令:
      ping <已复制的WAF CNAME地址>
      ping
    3. 在Ping命令的返回结果中,记录域名对应的WAF IP地址。

使用云解析DNS修改域名解析

以下操作以阿里云云解析DNS为例介绍修改域名解析记录的方法。如果您的域名解析托管在阿里云云解析DNS,您可以直接参照以下步骤进行操作。如果您使用其他服务商的DNS服务,请参照以下步骤在域名DNS服务商的系统上进行类似配置。

  1. 登录云解析DNS控制台
  2. 域名解析页面,定位到要设置的域名,单击其操作列下的解析设置
  3. 解析设置页面,定位到要设置的主机记录,单击其操作列下的修改
    关于主机记录的选择,以aliyun.com域名为例:
    • www: 用于精确匹配www开头的域名,例如www.aliyun.com
    • @: 用于匹配根域名,例如aliyun.com
    • *: 用于匹配泛域名,包括根域名和所有子域名,例如blog.aliyun.comwww.aliyun.comaliyun.com等。
  4. 修改记录对话框,选择使用CNAME接入或A记录接入的方式修改记录。
    • CNAME接入:将记录类型设置为CNAME记录值修改为WAF CNAME地址,其余设置保持不变。
      说明 TTL值一般建议设置为10分钟。TTL值越大,DNS记录的同步和更新越慢。
      修改cname记录

      关于不同记录类型的冲突需注意以下情况:

      • 对于同一个主机记录,CNAME解析记录值只能填写一个,您需要将其修改为WAF CNAME地址。
      • 不同DNS解析记录类型间存在冲突。例如,对于同一个主机记录,CNAME记录与A记录、MX记录、TXT记录等其他记录互相冲突。在无法直接修改记录类型的情况下,您可以先删除存在冲突的其他记录,再添加一条新的CNAME记录。
        警告 删除其他解析记录并新增CNAME解析记录的过程应尽可能在短时间内完成。如果删除A记录后长时间没有添加CNAME解析记录,可能导致域名无法正常解析。
      • 如果必须保留MX记录(邮件服务器记录),建议您使用A记录接入的方式将域名解析到WAF IP。
    • A记录接入:将记录类型设置为A记录值修改为WAF IP地址,其余设置保持不变。
      说明 TTL值一般建议设置为10分钟。TTL值越大,DNS记录的同步和更新越慢。
      A记录
  5. 单击确定,完成解析设置修改,等待修改后的DNS解析记录生效。
  6. 验证DNS解析设置。您可以Ping网站域名或使用DNS检测工具验证DNS解析是否生效。
    说明 由于DNS解析记录生效需要一定时间,如果验证失败,您可以等待10分钟后重新验证。
  7. 检测DNS解析状态。
    1. 登录Web应用防火墙控制台
    2. 在顶部导航栏,选择Web应用防火墙实例的资源组和地域(中国内地海外地区)。
    3. 在左侧导航栏,单击资产中心 > 网站接入
    4. 网站接入页面,定位到已接入的域名,查看其DNS解析状态异常
      只有当域名DNS已解析到Web应用防火墙的CNAME地址且Web应用防火墙检测到域名的访问流量,DNS解析状态才显示正常
    5. 可选:如果DNS解析状态显示异常,您可以单击DNS解析状态异常查询异常原因。
      常见的异常原因包括未检测到cname接入无流量等。修复异常后,单击重新检测重新检测。

      如果您确认已将网站域名解析到Web应用防火墙的CNAME地址,可在一小时后重新检测DNS解析状态。更多信息,请参见DNS解析状态异常

      说明 DNS解析状态异常仅说明网站没有正确接入Web应用防火墙,不代表您的网站访问异常。

相关操作

  • 开启源站保护

    开启源站保护可以防止攻击者在获取源站服务器的真实IP后,绕过Web应用防火墙直接攻击您的源站。建议您通过配置源站ECS的安全组或源站SLB的白名单,防止恶意攻击者直接攻击您的源站。更多信息,请参见设置源站保护

  • 获取客户端真实IP

    网站接入Web应用防火墙防护后,源站服务器收到的回源请求全部来自Web应用防火墙,您必须通过X-Forwarded-For请求头字段获取访问者的真实IP。更多信息,请参见获取客户端真实IP