全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 钉钉智能硬件
Web 应用防火墙

步骤一:控制台配置

更新时间:2017-10-24 15:39:31

1. 添加防护域名

登录阿里云控制台,找到云盾->Web应用防火墙->域名配置,输入相关的域名及源站信息,并点击“添加域名”按钮。

这里的回源设置是指您希望WAF把请求转发到的地址,通常来说就是真实服务器的地址(如ECS的IP),也可以是SLB的IP。如果您希望WAF防护的目标使用域名接入(如OSS的CNAME、AWS的CNAME等),则需要选择域名回源,将对应的域名填进去(而不是接入防护的网站域名

可以选择回源到IP:

add-domain

或者回源到域名(如AWS的CNAME、OSS等):

domainn-src

注意事项:

  • 支持配置泛域名,如*.aliyundemo.cn,可以匹配相关的二级域名。当同时配置泛域名和精确域名时,转发和防护策略匹配顺序以精确域名优先
  • 默认端口为HTTP80和HTTPS443,如果需要其他端口,需要在对应的协议后面填写相关的端口,否则无法正常转发
  • 如果有HTTPS站点,务必勾选HTTPS,同时建议勾选HTTP,以应对HTTP跳转等问题,保证访问平滑
  • 源站IP可以支持最多20个,WAF会做负载均衡和健康检查,详情见“源站IP负载均衡
  • 如WAF前面还有CDN、高防等七层代理,务必勾选“是否已使用高防、CDN、云加速等代理”,这样才能取到客户端真实IP,不然看到的都是代理的IP
  • 非标端口仅在旗舰版支持,请通过工单、钉钉群等方式联系我们定制

2. 选择接入方式

点击添加域名后,会弹出选择解析方式的弹窗:

一键解析

如果您当前添加的域名解析也在阿里云(万网),并且也是用当前登录的账号配置的,您可以选择左边的一键解析(符合条件的域名,一键解析选项不会置灰),系统会自动为您修改当前添加域名的DNS解析并接入WAF,这个过程大概需要10-15分钟,配置完毕后界面会提示您已经接入WAF防护。

如果不符合一键解析的条件,您可以选择右边的手动修改,我们稍后会介绍如何手动配置DNS。

3. 获取CNAME

配置好域名后,WAF会自动分配给当前域名一个CNAME,可点击域名信息来查看:

CNAME

这个CNAME在稍后配置DNS解析时会用到。如果您需要知道当前WAF的IP地址,可以通过ping一下这个CNAME的方式,一般情况下这个IP不会频繁变动。

4. 上传HTTPS证书和私钥(仅针对HTTPS站点)

如果防护HTTPS站点,必须上传服务器的证书和私钥到WAF,否则访问HTTPS站点会有问题。勾选HTTPS后,会看到红色的“异常”字样,提示当前证书有问题,点击“上传证书”来上传:

上传证书

WAF可以直接复制证书和私钥文本内容,一般如pem、cer、crt等证书格式,可用文本编辑器直接打开,有些格式(如PFX、P7B等)的证书需要先转换成这些格式,转换方式可参考这里。如果有多个证书文件(如证书链),可拼接合并后一起上传。

WAF能识别的证书样例格式如下:

  1. -----BEGIN CERTIFICATE-----
  2. 62EcYPWd2Oy1vs6MTXcJSfN9Z7rZ9fmxWr2BFN2XbahgnsSXM48ixZJ4krc+1M+j2kcubVpsE2
  3. cgHdj4v8H6jUz9Ji4mr7vMNS6dXv8PUkl/qoDeNGCNdyTS5NIL5ir+g92cL8IGOkjgvhlqt9vc
  4. 65Cgb4mL+n5+DV9uOyTZTW/MojmlgfUekC2xiXa54nxJf17Y1TADGSbyJbsC0Q9nIrHsPl8YKk
  5. vRWvIAqYxXZ7wRwWWmv4TMxFhWRiNY7yZIo2ZUhl02SIDNggIEeg==
  6. -----END CERTIFICATE-----

私钥样例格式如下:

  1. -----BEGIN RSA PRIVATE KEY-----
  2. DADTPZoOHd9WtZ3UKHJTRgNQmioPQn2bqdKHop+B/dn/4VZL7Jt8zSDGM9sTMThLyvsmLQKBgQ
  3. Cr+ujntC1kN6pGBj2Fw2l/EA/W3rYEce2tyhjgmG7rZ+A/jVE9fld5sQra6ZdwBcQJaiygoIYo
  4. aMF2EjRwc0qwHaluq0C15f6ujSoHh2e+D5zdmkTg/3NKNjqNv6xA2gYpinVDzFdZ9Zujxvuh9o
  5. 4Vqf0YF8bv5UK5G04RtKadOw==
  6. -----END RSA PRIVATE KEY-----

上传完毕后,HTTPS状态应该变为正常:

HTTPS

4. 接入状态异常排查

刚添加完域名时,接入状态可能会提示异常:

CNAME_abnormal

这是正常的,待修改DNS使用CNAME解析接入WAF后,或者是有正常流量经过WAF以后会变成正常的,具体判断标准可参考CNAME接入状态说明

至此,控制台配置完成。您可以继续添加其他域名,或进入到下一步。

本文导读目录