全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 钉钉智能硬件
Web 应用防火墙

CNAME接入指南

更新时间:2017-12-27 17:38:21

在Web应用防火墙控制台配置过域名后,必须将域名指向CNAME,让访问流量切换至Web应用防火墙,才能受到防护。
流量逻辑图waf-jieru5

  • 系统检测到未接入Web应用防火墙时,在WAF控制台会显示:未检测到CNAME接入且无流量。
    此提示用于引导接入,不会因此影响网站访问。
    CNAME接入检测的判断标准:域名未指向CNAME,且最近数分钟该域名无流量经过Web应用防火墙。
  • 目前,CNAME接入每一小时进行一次检测,流量每数分钟进行一次检测。如果确认已正确接入CNAME,可在一小时后再次查看状态。

接入状态异常

配置后提示“未检测到CNAME接入且无流量”,或是“当前无流量”等错误信息,请参考配置CNAME后提示状态异常的原因

接入前准备

  • 准备要防护的站点访问域名(必须:可以在外网访问)
  • 被接入的网站域名需要提前备案,您可以在阿里云提交备案申请
  • 如果是https协议,需要准备好证书内容和私钥,证书格式一般为.crt(公钥文件)或.pem(证书文件)和.key(私钥)两个文件
  • 准备DNS管理员权限,修改DNS记录切换防护网站流量

接入方法

部署场景一:只启用Web应用防火墙(没有使用CDN或高防服务)

  1. 定位到云盾管理控制台>Web应用防火墙>网站配置,在域名信息区域找到已分配的CNAME地址。cname

  2. 变更DNS解析,接入Web应用防火墙(以万网DNS为例。)
    登录万网控制台,修改记录类型为CNAME,主机记录填写对应的子域名。如www.aliyundemo.cn 的主机记录为”www”,aliyundemo.cn的主机记录为”@”。记录值填写Web应用防火墙已分配的CNAME地址。cname_dns

    • TTL为域名缓存时间,您可以按照您的需求填写,参考值为600秒。
  3. 填写完成后,单击保存,完成解析设置。

  4. 如果网站需要支持https协议,需要上传证书。

    • 登录到云盾管理控制台>证书服务>下载,选择类型下载证书。1下载好的证书格式一般为.pem(证书文件)和.key(私钥)两个文件。

    • 登录到云盾管理控制台>Web应用防火墙>网站配置,点击上传证书按钮上传证书。2

部署场景二:CDN结合Web应用防火墙

配置方法:请参考CDN结合WAF

部署场景三:高防结合Web应用防火墙

配置方法:请参考高防IP结合WAF

注意事项

  • 同一个主机记录,CNAME解析记录值只能填写一个,您可以修改为Web应用防火墙的CNAME地址。

  • 同一个主机记录,A记录和CNAME记录是互斥的。您可以修改为CNAME类型,并填入CNAME地址。

  • 如果DNS服务商不允许直接从A记录修改为CNAME记录,您需要先删除A记录,再增加CNAME地址。
    注意:整个删除、新增过程尽可能在短时间内完成。如果删除A记录后长时间没有添加CNAME地址,可能导致域名解析不到结果。

  • MX记录和CNAME记录是互斥的。如果您必须保持MX记录,可以通过使用A记录指向Web应用防火墙的IP。您可以通过对Web应用防火墙分配的CNAME地址使用Ping命令来获取Web应用防火墙的IP。然后配置A记录,记录值填写此Web应用防火墙的IP。
    风险警示:如果采用A记录方式接入,Web应用防火墙将无法进行故障集群调度和故障bypass操作。 waf-jieru3

本文导读目录