通过CNAME接入为网站开启WAF防护

前提条件

• 已开通包年包月版WAF 3.0或按量付费版WAF 3.0服务。

• 拥有域名的 DNS 解析管理权限，用于后续修改DNS解析。

• 若服务器位于中国内地，域名需完成 ICP 备案。

  如何查看ICP备案信息

  打开网络拨测工具，选择网络诊断分析，输入当前域名，确认备案检查为网站已备案。若显示“网站未备案，请咨询网站服务器提供商”，请完成备案后再安装证书。

  • 若使用的是阿里云服务器，请前往阿里云备案系统进行网站备案，具体操作请参见ICP备案流程。

  • 若使用的不是阿里云服务器，请前往服务器提供商的备案系统或工信部备案官网进行备案。

• 若需防护 HTTPS 业务，需准备对应域名的 SSL 证书。如需购买证书，请参见购买正式证书。

接入原理

通过修改域名的 DNS 解析，配置CNAME记录指向WAF提供的CNAME地址，使公网流量经由WAF转发。WAF 识别并拦截攻击流量，将正常流量回源至源站服务器。

关键概念：

• 源站服务器：部署网站的服务器。如果服务器前有负载均衡（ALB、CLB、NLB等）或NAT网关等，则源站服务器为WAF完成防护后，流量抵达的下一跳设备。

• 回源：WAF完成防护后，会将正常流量转发至源站服务器。WAF通过公网IP地址段访问源站服务器，您必须在源站服务器的防火墙或安全组中放行该回源IP地址段。

基础配置

在确认满足前提条件后，您可以开始进行基础配置。同时，也可以参考高级配置，进行关于HTTPS高级、IPv6支持、回源策略、长连接、高可用与负载均衡、流量识别（WAF前有CDN等代理时获取真实IP）的配置。

登录Web应用防火墙3.0控制台，在顶部菜单栏选择资源组和地域（中国内地、非中国内地），然后在左侧导航栏单击接入管理，在CNAME接入页签单击接入。

步骤一：配置监听

1. 填写域名，仅支持填写一个需防护的域名，包括精确域名（例如www.aliyundoc.com）或通配符域名（例如*.aliyundoc.com）。

   • 通配符域名匹配规则：

     • 仅能匹配同级别子域名。例如*.aliyundoc.com能够匹配www.aliyundoc.com、example.aliyundoc.com等，但不能匹配www.example.aliyundoc.com。

     • 当通配符应用于二级域名（如*.aliyundoc.com）时，能够匹配二级域名本身（即aliyundoc.com）。

     • 当通配符应用于三级域名（如*.example.aliyundoc.com）时，不能匹配三级域名本身（即example.aliyundoc.com）。

   • 优先级规则：当精确域名和通配符域名同时接入，且需防护的域名同时匹配这两者时，系统优先应用精确域名的防护规则。

   若填写后页面提示需验证域名归属权，请参照以下步骤进行验证。

   验证域名归属权

   为确认您对域名的所有权，需完成归属权验证。支持以下两种验证方式，任选其一即可：

   • DNS解析验证：在您的域名解析服务商处，手动添加WAF提供的TXT类型解析记录。推荐使用此方式。

   • 文件验证：将WAF提供的验证文件上传至域名源站服务器的指定根目录，需拥有源站服务器操作权限。

   DNS解析验证

   1. 在验证提示区域，单击方法1：DNS解析验证页签。

   2. 根据WAF控制台提供的记录类型、主机记录、记录值，在您的域名解析服务商添加TXT记录。

      若您使用阿里云云解析DNS，请参考以下步骤操作；若使用其他域名解析服务商，请在其系统中进行类似配置。

      1. 登录云解析DNS控制台。

      2. 在公网权威解析页面，找到目标主域名，并单击右侧的解析设置。

      3. 单击添加记录，填写记录类型、主机记录、记录值后，单击确定。其余未提及参数保持默认即可。

         配置项	说明	填写样例
         记录类型	选择TXT。	TXT
         主机记录	主机记录指域名的前缀。	verification
         记录值	输入WAF生成的记录值。	verify_8fca29dec22746a7841daf2b3af6****

         添加完成后，您可以在记录列表中查看已添加的记录。该记录默认生效（状态为启用）。

   3. 等待TXT解析生效。域名首次配置TXT解析记录后将实时生效，但修改TXT解析记录通常会在10分钟后生效（生效时间取决于域名DNS解析配置的TTL时长，默认为10分钟）。

   4. 返回WAF控制台，单击“点击验证”。

      • 显示验证成功：域名归属权验证完成。

      • 显示验证失败：请按以下步骤排查：

        1. 检查TXT记录：确保添加的主机记录和记录值与WAF控制台提供的信息完全一致。如有差异，请删除错误记录并重新添加，然后重新验证。

        2. 等待DNS生效：DNS记录配置后可能不会立即生效，生效时间取决于您域名服务器中设置的TTL缓存时间。建议等待10分钟后重新验证。

        3. 更换验证方式：如多次尝试仍无法通过验证，建议使用"方法2：文件验证"。

   文件验证

   1. 在验证提示区域，单击方法2：文件验证页签。

   2. 单击下载验证文件链接（图示①），下载验证文件。

      重要

      • 验证文件仅在下载后的3天内有效，如果您逾期未完成文件验证，则需要重新下载。

      • 请勿对验证文件执行任何操作，例如打开、编辑、重命名等。

      • WAF将根据选择的协议类型访问您的源站服务器，请确保源站服务器放行了对应的安全组或防火墙规则：

        • 选择HTTP时，需要放行入方向TCP协议80端口，访问来源为0.0.0.0/0。

        • 选择HTTPS时，需要放行入方向TCP协议443端口，访问来源为0.0.0.0/0。

   3. 手动将验证文件上传到控制台提示的域名源站服务器（例如您的ECS、OSS、CVM、COS、EC2等）根目录（图示②）。

      说明

      如果您添加的域名为通配符域名，例如*.aliyun.com，那么您需要将验证文档上传到aliyun.com的根目录。

      上传完成后，你可以参考如下方法，查看验证文档是否上传成功。

      1. Windows系统

         在指定根目录，查看验证文件。

      2. Linux系统

         执行如下命令，查看验证文档。

   4. 返回WAF控制台，单击“点击验证”。

      • 显示验证成功：域名归属权验证完成。

      • 显示验证失败：请根据报错信息进行排查：

        问题描述	解决方案
        无法访问域名	检查域名 DNS 解析，确保存在指向源站服务器的解析记录。以阿里云云解析DNS为例，操作请参见添加解析记录。 检查源站服务器安全组或防火墙规则，确保放行公网访问请求。以ECS安全组为例，操作请参见添加安全组规则。
        验证文件不存在	重新在域名源站服务器中上传验证文件。
        文件内容不正确	前往您域名的源站服务器，删除不正确的验证文件。 重新上传验证文件。

2. 选择网站协议类型（HTTP或HTTPS），并填写相应配置信息，可同时配置两种协议。

   说明

   WAF 共享虚拟主机定制版不支持 HTTPS。

   HTTP

   1. HTTP端口

      填写用户访问网站时使用的端口，建议HTTP协议使用80端口。如需自定义端口，支持在端口范围内进行修改，每输入一个端口，按回车确认。

   HTTPS

   1. HTTPS 端口

      填写用户访问网站时使用的端口，建议HTTPS协议使用443端口。如需自定义端口，支持在端口范围内进行修改，每输入一个端口，按回车确认。

   2. HTTPS证书上传方式

      为使WAF能够监听并防护网站的HTTPS业务流量，需将域名关联的SSL证书上传至WAF。可选项：

      • 手动上传：证书未上传时，需手动上传证书文件。

      • 选择已有证书：若证书已通过阿里云数字证书管理服务（原 SSL 证书）签发，或为已上传至数字证书管理服务（原 SSL 证书）的第三方证书，可直接选择此项。

      • 申请新证书：没有证书时，需进行购买，等待证书签发后再接入WAF。

      手动上传

      • 证书名称：为证书设置一个唯一的名称，不能与已上传的证书名称重复。

      • 证书文件：请使用文本编辑器打开并粘贴 PEM、CER、CRT 格式的证书文本内容。

        格式示例：-----BEGIN CERTIFICATE-----......-----END CERTIFICATE-----

        • 证书链：若包含中间证书，请按照 “服务器证书、中间证书” 的顺序拼接后粘贴。

        • 格式转换：若证书是 PFX、P7B 等格式，请使用证书工具将其转换为 PEM 格式。

      • 私钥文件：请使用文本编辑器打开并粘贴 PEM 格式的私钥文本内容。

        格式示例：-----BEGIN RSA PRIVATE KEY-----......-----END RSA PRIVATE KEY-----

      选择已有证书

      从证书下拉列表中选择要上传到WAF的证书。

      说明

      选择上传到数字证书管理服务的第三方证书时，WAF控制台提示证书链完整性校验失败，使用该证书可能会影响您的业务访问，此时请在数字证书管理服务控制台重新上传新的证书。具体操作，请参见上传、同步和共享SSL证书。

      申请新证书

      若您还没有购买证书，需参见购买正式证书进行购买，可点击立即申请阅读申请证书的相关文档。

   重要

   若源站服务器未配置或不支持 HTTPS时（即未部署 SSL/TLS 证书），必须开启HTTP回源功能。否则会导致回源失败，网站无法正常访问。

3. 如需自定义配置国密HTTPS、HTTP2、HTTPS强制跳转、TLS协议版本、HTTPS加密套件、WAF前有例如CDN的七层代理、IPv6、独享IP、WAF集群智能负载均衡、资源组，请参见高级配置。若无需自定义，保持其余配置项默认即可，单击下一步。

步骤二：配置转发

1. 在服务器地址处，根据服务器类型填写源站服务器IP或域名。WAF通过此配置转发正常业务请求至源站服务器。

   如何确定源站服务器的公网IP或域名

   可以使用网络诊断分析，选择网络诊断分析，输入当前接入的域名，在DNS服务商解析结果处进行查看，返回A或AAAA等IP记录时，在下一步填写对应的IP，返回CNAME等域名记录时，在下一步填写对应的域名（如CNAME）。

   重要

   切勿将此处的域名（如CNAME）与步骤一中接入的域名混淆，此选项适用于源站服务器地址为域名（如CNAME）的情况，例如源站服务器是ALB实例时，填写其DNS名称alb-xxx.cn-shanghai.alb.aliyuncsslb.com。

2. 确定源站服务器类型后，完成以下配置。

   IP

   回源端口：即网站使用的端口。用户通过步骤一中配置的HTTP/HTTPS端口访问网站，WAF通过此处的回源端口访问源站服务器。

   

   如何确定网站使用的端口

   您可以通过以下方法确定网站正在使用的端口：

   • 标准端口 (默认)：Web 服务默认使用标准端口，访问时无需在域名后指定。

     • HTTP： 例如 http://yourdomain.com表示使用 80 端口。

     • HTTPS：例如 https://yourdomain.com表示使用 443 端口。

   • 非标准端口：如果您的网站使用非标准端口，访问时端口号会直接显示在域名之后，格式为 域名:端口号。

     • HTTP：例如http://yourdomain.com:8080表示使用 8080 端口。

     • HTTPS：例如https://yourdomain.com:8443表示使用 8443 端口。

     说明

     为确保准确，建议您检查 Web 服务器（如 Nginx、Apache 等）的配置文件（如 nginx.conf），以获取最准确的端口信息。

   • 默认与上一步协议类型中配置的HTTP/HTTPS端口保持一致，支持在端口范围内自定义回源端口，适用于您希望WAF以特定端口回源的场景。

   回源IP：填写源站服务器IP地址。

   • 必须为可访问的公网IP地址。

   • 支持填写多个IP地址。每填写一个IP地址，按回车进行确认。最多支持添加20个源站服务器IP。如果填写了多个IP地址，WAF会根据您在负载均衡算法中的配置转发回源请求。

   • 支持配置 IPv4 和 IPv6 地址，可单独或同时配置。同时配置时，IPv4 客户端请求转发至 IPv4 源站服务器，IPv6 客户端请求转发至 IPv6 源站服务器。

     重要

     如需配置IPv6地址，必须确保在配置监听时，开启了IPv6防护。更多信息，请参见开启IPv6支持。

   域名（如CNAME）

   回源端口：即网站使用的端口。用户通过步骤一中配置的HTTP/HTTPS端口访问网站，WAF通过此处的回源端口访问源站服务器。

   

   如何确定网站使用的端口

   您可以通过以下方法确定网站正在使用的端口：

   • 标准端口 (默认)：Web 服务默认使用标准端口，访问时无需在域名后指定。

     • HTTP：例如 http://yourdomain.com表示使用 80 端口。

     • HTTPS：例如 https://yourdomain.com表示使用 8443 端口。

   • 非标准端口：如果您的网站使用非标准端口，端口号会直接显示在域名之后，格式为 域名:端口号。

     • HTTP：例如http://yourdomain.com:8080表示使用 8080 端口。

     • HTTPS：例如https://yourdomain.com:8443表示使用 8443 端口。

     说明

     为确保准确，建议您检查 Web 服务器（如 Nginx、Apache 等）的配置文件（如 nginx.conf），以获取最准确的端口信息。

   • 默认与上一步协议类型中配置的端口保持一致，支持在端口范围内自定义回源端口，适用于您希望WAF以特定端口回源的场景。

   回源域名：填写源站服务器域名地址。

   • 仅支持IPv4地址，即WAF只会将客户端请求转发到源站服务器域名解析出来的IPv4地址。

   重要

   如网站对应的源站服务器地址变更，请及时修改此处的服务器地址。

3. 如需自定义配置负载均衡算法、备链路回源、HTTP回源、回源SNI、请求头字段配置、流量标记、回源超时时间、回源重试、回源长连接，请参见高级配置。若无需自定义，保持其余配置项默认即可，单击提交。

步骤三：切换流量（接入完成）

在WAF控制台完成以上配置后，必须执行以下操作将流量切换至WAF，否则WAF的配置不会生效。

1. 如果源站服务器上配置了安全组规则、防火墙规则等访问控制策略，或使用了安全狗、云锁等安全软件，您必须在源站服务器设置放行WAF回源IP段，否则WAF回源流量可能会被拦截，导致业务中断。

   说明

   您也可以配置仅放行WAF回源IP段，表示只有WAF能够与您的源站服务器通信，避免攻击者直接访问源站服务器的公网IP绕过WAF。

   1. 在接入完成向导页右上角，单击WAF IP 地址。

   2. 在回源IP段对话框，单击复制，将所有WAF回源IP复制到剪贴板。

      说明

      复制的回源IP段之间以英文逗号（,）分隔。其中包含类似 2408:400a:3c:xxxx::/56 的地址，此类地址属于 IPv6 地址段。

   3. 在服务器防火墙等位置放行以上IP段。例如您的源站服务器是阿里云ECS实例，需要在ECS安全组中放行，更多安全组的操作，请参见添加安全组规则。

      如何在ECS安全组中放行WAF回源IP段

      1. 在 ECS 实例详情页面，单击安全组 > 安全组列表，选择目标安全组并进入其详情页。

      2. 在安全组详情页的安全组详情 > 入方向下，单击增加规则。

      3. 在新建安全组规则面板，将访问来源设置为上一步复制的IP段，默认选择IPv4时不能添加IPv6地址段，需要删除IPv6地址段，访问目的（本实例）设置为在步骤二中配置的回源端口，其余参数保持默认值，单击确定即可。

      4. 再次单击增加规则，参照上一步添加IPv6地址段，在访问来源处选择IPv6。

2. 在本地验证WAF域名配置正确性。建议您在修改域名DNS解析设置前，先通过修改本地hosts文件映射域名进行验证。可防止因配置错误导致业务中断。

   如何修改hosts文件进行本地验证

   1. 在接入完成向导页，单击复制CNAME获取WAF提供的CNAME地址。

   2. 打开网络诊断分析，选择网络诊断分析，输入复制的CNAME地址，如xxx.c.yundunwaf2.com，单击立即检测。

   3. 复制DNS服务商解析结果的IP地址。修改本地计算机hosts文件。

      Windows

      1. 使用文本编辑器（记事本）打开C:\Windows\System32\drivers\etc\hosts文件，在最后一行添加以下记录并保存。

         <上一步获取的IP地址> <当前在WAF添加的域名>

      2. 单击系统的开始菜单，搜索并打开cmd，执行ping <当前在WAF添加的域名>命令，若其输出的IP地址与<上一步获取的IP地址>一致，则表示hosts修改已经生效；否则请执行ipconfig /flushdns刷新DNS缓存，并重新执行ping命令，直到验证hosts修改生效为止。

      3. 打开浏览器，在地址栏输入被防护域名进行访问。

         • 如果网站能够正常访问，说明WAF域名配置正确。可以进行下一步的域名DNS解析修改。

         • 如果网站访问异常，可能说明WAF域名配置错误。建议您检查上述接入配置，修复问题后重新进行本地验证。

      4. 完成本地验证后，重新修改hosts文件至原始状态。

      macOS

      1. 通过Command + 空格键搜索，然后输入并打开终端。

      2. 输入sudo vim /etc/hosts，打开hosts文件。

      3. 在文件最后一行添加以下记录并保存。

         <上一步获取的IP地址> <当前在WAF添加的域名>

      4. 执行ping <当前在WAF添加的域名>命令，若其输出的IP地址与<上一步获取的IP地址>一致，则表示hosts修改已经生效；否则请执行sudo killall -HUP mDNSResponder刷新DNS缓存，并重新执行ping命令，直到验证hosts修改生效为止。

      5. 打开浏览器，在地址栏输入被防护域名进行访问。

         • 如果网站能够正常访问，说明WAF域名配置正确。可以进行下一步的域名DNS解析修改。

         • 如果网站访问异常，可能说明WAF域名配置错误。建议您检查上述接入配置，修复问题后重新进行本地验证。

      6. 完成本地验证后，重新修改hosts文件至原始状态。

3. 修改域名DNS解析设置，将其指向WAF提供的CNAME地址，以确保域名的Web请求解析到WAF进行安全防护。

   说明

   建议于业务低峰期执行此操作以降低业务影响。

   1. 在接入完成向导页，点击复制CNAME获取WAF提供的CNAME地址。

   2. 将域名的DNS解析地址设置为上一步复制的地址。若域名解析托管在阿里云云解析DNS，请按以下步骤操作；若您使用其他服务商的DNS服务，请在其系统中进行类似配置。

      在云解析DNS修改域名DNS解析设置

      1. 登录云解析DNS控制台。

      2. 在公网权威解析页面，定位到要设置的域名，单击其操作列下的解析设置。

      3. 在解析设置页面，定位到要设置的主机记录，单击其操作列下的修改。例如接入WAF的域名为www.aliyundoc.com，那么此处需定位到主域名aliyundoc.com下，主机记录为www的条目进行修改。

      4. 在编辑记录面板，选择记录类型为CNAME，修改记录值为WAF提供的CNAME地址，其余设置保持不变。

         修改DNS解析记录时：

         • 对于同一个主机记录，CNAME解析记录值只能填写一个，您需要将其修改为WAF CNAME地址。

         • 同一主机记录下，CNAME记录与A、MX、TXT等其他记录类型可能存在冲突。需要先删除存在冲突的记录，再添加新的CNAME记录。

           警告

           删除原解析记录后必须立即新增CNAME记录，否则将导致域名解析失败。

      5. 单击确定，完成解析设置修改，等待修改后的DNS解析记录生效。

         说明

         由于DNS解析记录生效需要一定时间，如果修改后网站访问失败，您可以等待10分钟后刷新页面重新访问。

接入完成后，请按照以下步骤操作，验证域名是否接入成功。

1. 在WAF控制台刷新并查看域名DNS状态，正常情况下显示DNS解析正常，若出现其他提示则需要根据域名DNS状态进行处理。

   

2. 在浏览器输入已添加的网站域名，如果能正常访问，表示域名添加成功。

   说明

   您需要访问您的网站域名，而不是WAF提供的CNAME，CNAME地址无法被访问。

3. 在浏览器输入已添加的网站域名和Web攻击代码（例如<被防护域名>/alert(xss)，alert(xss)为用作测试的跨站脚本攻击代码），如果返回405拦截提示页面，表示攻击被拦截，WAF防护成功。

后续步骤

设置默认SSL或TLS策略满足合规要求

为满足合规场景下对HTTPS通信的要求，WAF支持为VIP自定义SSL证书或TLS策略。您可以在对WAF的VIP进行合规扫描检测前，参考以下步骤为VIP上传符合合规要求的HTTPS证书，禁用、启用某些特定版本的TLS协议和加密套件。

修改或删除已接入的域名

定位到目标域名，单击操作列的编辑或删除。

为域名绑定或解除标签

您可以为接入WAF的域名绑定标签，并通过已绑定标签快速查找指定资源。

• 单个绑定或解除标签

  1. 定位到目标域名，将鼠标悬停在标签列的图标上，如果该域名未新增标签，单击绑定，如果该域名已有标签，单击编辑。

  2. 在编辑标签对话框，选择或输入标签键，并填写标签值。

     说明

     • 一次最多绑定20个标签键，允许标签值为空。

     • 输入标签键和标签值时，最多支持128个字符，不支持以aliyun或acs:开头，且不能包含http://和https://。

     • 标签可以在接入时为域名绑定，也可以在配置防护策略时为域名对应的防护对象绑定，且同时生效。即为域名绑定标签后，对应的防护对象也会被绑定该标签。

     绑定标签后，您可以通过域名列表上方的标签筛选，查找已绑定标签的域名。

  3. 可选：如果您不再使用该标签，可在编辑标签对话框，单击目标标签的图标，删除该标签。

• 批量绑定或解除标签

  选中多个域名，单击列表下方的增加标签或删除标签。

通过API批量管理WAF接入域名

当您拥有多个域名需要接入WAF进行管理时，可通过API快速执行查看或接入操作。

• 如果您想使用API将域名接入WAF实例的配置信息，请参见API文档添加CNAME接入资源。

• 如果您想使用API查询CNAME接入详情的配置信息，请参见API文档查询CNAME接入详情。

如何查看WAF回源IP段与WAF提供的CNAME？

您可以在接入列表页的下图位置找到WAF的回源IP段以及WAF为每个接入域名提供的CNAME地址。关于如何放行WAF回源IP段，请参见放行WAF回源IP段。

WAF的IP是什么，如何查看？

域名接入WAF后，系统将分配一个独立的虚拟IP（VIP）用于监听业务请求。该VIP不与其他租户共享。阿里云WAF实例提供高可用的安全防护服务，此VIP并非绑定于某一具体物理设备，而是属于阿里云WAF集群资源。在同一WAF实例下：

• 未开启域名独享IP或智能负载均衡时，所有域名共用一个VIP。

• 开启独享IP后，每个域名分配独立的VIP。

• 配置智能负载均衡后，所有域名共用多个VIP。

WAF的VIP无法在控制台上直接查看，需要在客户端使用ping或nslookup命令对已接入WAF的域名进行查询。

ping example.com  #需替换为已接入WAF的域名

对域名做端口扫描，为什么显示并未开放的高危端口？

使用Nmap等工具扫描CNAME接入WAF的域名时，可能会扫描出源站服务器未开放的端口。这是因为域名解析指向WAF的VIP，实际扫描目标为VIP端口，属正常情况。

WAF仅转发控制台已配置端口的数据。对于未配置端口，TCP三次握手完成后，WAF立即发送RST包终止连接，不会进行数据转发。因此，未配置端口无安全风险，且VIP端口不支持手动关闭。更多信息，请参见WAF非标端口开放说明。

是否能将DNS解析修改为WAF的IP？

不能，通过CNAME方式接入WAF时，您需要将DNS解析指向WAF提供的CNAME地址，而非指向WAF的IP（VIP）地址。这是因为VIP地址可能会发生变更，例如开启或关闭独享IP或智能负载均衡时，甚至极端情况下的WAF故障时。使用CNAME可以确保后端IP自动完成切换，从而保障您业务的连续性。

使用了CDN，NAT网关等产品，还能接入WAF吗？

可以，WAF前有CDN、DDoS等七层代理时，接入WAF时需关注WAF前有七层代理的处理进行配置，详细信息，请参见为CDN开启内容加速的域名提供WAF安全防护。

接入WAF的源站服务器地址为WAF完成防护后，流量抵达的下一跳设备，支持NAT网关、负载均衡、服务器、OSS等资源。

WAF支持的加密套件有哪些？

CNAME接入方式下，您可以通过自定义加密套件，只允许WAF监听支持以下一种或多种加密套件的客户端请求。