网站配置指在Web应用防火墙(WAF)控制台上配置启用WAF防护的网站的转发信息。本文介绍了通过DNS配置模式接入WAF时,如何添加和管理网站配置。

背景信息

说明 如果您通过包年包月方式开通WAF,且您的源站服务器部署在阿里云ECS(华北2地域),同时ECS实例拥有公网IP或已绑定弹性公网IP(EIP),则您可以使用透明代理模式接入WAF。
  • 透明代理模式:将所配置的源站服务器公网IP的80端口接收到的HTTP协议的流量直接牵引到WAF,经WAF处理后再将正常的访问流量回注给源站服务器。

    该方式需要您授权WAF读取您的ECS实例信息。配置过程中只用在WAF控制台添加域名和勾选相应的服务器IP。具体操作请参见使用透明代理模式接入WAF

  • DNS配置模式:通过修改域名解析的方式,将被防护域名的访问流量指向WAF;WAF根据域名配置的源站服务器地址,将处理后的请求转发回源站服务器。

    该方式需要您在WAF控制台添加网站配置并更新域名的DNS设置。

使用DNS配置模式接入WAF时,您可以选择自动添加网站配置手动添加网站配置
  • 自动添加网站配置。添加网站配置时,WAF可以自动读取阿里云云解析DNS控制台中的解析A记录,获取网站域名和源站服务器IP地址,帮助您自动添加网站配置。自动添加网站配置后,WAF将尝试自动更新域名的解析记录,完成网站接入。
    说明 自动添加网站配置默认使用共享集群共享IP防护资源。如果您的网站配置需要使用独享集群或独享IP防护资源,请在自动添加网站配置后,在网站配置页面修改防护资源
  • 手动添加网站配置。如果域名的DNS解析没有托管在阿里云云解析DNS上,您只能手动添加网站配置,并在域名的DNS服务商处手动修改DNS解析,将网站收到的Web请求转发至WAF进行监控 ,完成网站接入。

    关于手动修改DNS解析的方法,请参见业务接入WAF配置

说明 允许添加的网站配置数量由WAF实例规格和扩展域名包数量决定,具体请参见扩展域名包

如果网站配置中的源站服务器地址、服务协议、端口等信息发生变化,或者您需要调整HTTPS高级设置功能,您可以编辑网站配置

对于不再需要WAF防护的域名,您可以在恢复其DNS解析后,删除网站配置

自动添加网站配置

前提条件

  • 要防护的网站的DNS解析托管在阿里云云解析DNS,且其解析记录中存在至少一条生效的A记录。

    推荐您使用阿里云云解析DNS,相关操作请参见设置域名解析

    如果您暂时无法使用阿里云云解析DNS,建议您参见网站配置 ,手动添加网站配置。

  • (仅针对中国大陆地域)网站已经通过中华人民共和国工业和信息化部ICP备案。
    推荐您使用阿里云备案服务,相关操作请参见备案导航
    注意 如果您添加的网站域名尚未通过工信部域名备案,请务必尽快完成备案。WAF将不定期自动释放未通过备案的域名配置记录。
  • (仅针对支持HTTPS协议的网站)获取网站的HTTPS证书和私钥文件,或者已将证书托管在阿里云证书服务。

    推荐您使用阿里云SSL证书服务对云上证书进行统一管理,相关操作请参见证书服务快速入门

操作步骤

  1. 登录云盾Web应用防火墙控制台
  2. 在页面上方选择地域:中国大陆海外地区
  3. 前往管理 > 网站配置页面,选择DNS配置模式dns配置模式
  4. 单击添加网站
    WAF自动罗列出当前阿里云账号在云解析DNS中已添加过解析A记录的域名。如果云解析DNS中无任何解析A记录,则不会出现请选择您的域名页面,建议您参见网站配置,手动添加网站配置。
    说明 如果您添加的网站域名尚未通过工信部域名备案,请务必尽快完成备案。WAF将不定期自动释放未通过备案的域名配置记录。
    网站配置,自动,选择域名
  5. 请选择您的域名页面勾选要防护的域名协议类型
  6. 可选: 如果协议类型包括HTTPS,您必须先完成证书验证,才能添加网站。
    说明 您也可以先不勾选HTTPS,在完成网站配置后,参见更新HTTPS证书上传证书。
    1. 单击验证证书
    2. 验证证书对话框中上传证书和私钥文件。
      • 如果您已将网站的证书托管在阿里云证书服务控制台,则可以在验证证书对话框中单击选择已有证书,并选择一个与要防护的域名绑定的证书。
      • 手动上传证书。单击手动上传,填写证书名称,并将该域名所绑定的证书文件和私钥文件中的文本内容分别复制粘贴到证书文件私钥文件文本框中。

        更多信息,请参见更新HTTPS证书

    3. 单击验证,完成证书验证。
  7. 单击立即自动添加网站
    自动添加网站后,WAF将自动为您更新该域名的DNS CNAME解析记录,将网站Web请求转发到WAF进行监控。一键添加及解析的过程一般需要10-15分钟。
    说明 如果您收到提示,需要手动更新DNS解析记录,请参见步骤2:修改DNS解析完成WAF接入。
  8. 管理 > 网站配置页面查看新添加的域名及其DNS解析状态
    • DNS解析状态正常表示该网站已正常接入WAF。您可以参见步骤3:配置WAF防护策略,完成后续任务。
    • 刚添加完网站配置后,该域名的DNS解析状态也可能显示为异常。建议您稍等一会儿再来查看,或者在DNS供应商处检查域名的DNS设置。

      如果DNS设置不正确,请参见步骤2:修改DNS解析。关于DNS解析状态的判断标准,请参见DNS解析状态说明

      解析状态异常,DNS

手动添加网站配置

前提条件

  • 获取要防护的网站的域名。
  • 获取网站的源站服务器地址。
  • 确认网站是否已接入或需要接入CDN、高防IP等其它代理型系统。
  • (仅针对中国大陆地域)网站已经通过中华人民共和国工业和信息化部ICP备案。

    推荐您使用阿里云备案服务,相关操作请参见备案导航

  • (仅针对网站支持HTTPS协议)获取网站的HTTPS证书和私钥文件,或者已将证书托管在阿里云证书服务。

    推荐您使用阿里云SSL证书服务对云上证书进行统一管理,相关操作请参见证书服务快速入门

  1. 登录云盾Web应用防火墙控制台
  2. 前往管理 > 网站配置页面,并在页面上方选择地域:中国大陆海外地区
  3. 可选: 选择DNS配置模式
  4. 单击添加网站
    WAF自动罗列出当前阿里云账号在云解析DNS中已添加过解析A记录的域名。如果云解析DNS中无任何解析A记录,则请选择您的域名页面不会出现。
  5. 可选: 请选择您的域名页面,单击手动添加其它网站
  6. 填写网站信息任务中,完成以下配置。
    配置项 配置说明
    域名 填写要防护的域名。
    说明
    • 支持填写泛域名,如*.aliyun.com。WAF将自动匹配该泛域名对应的子域名。
    • 如果同时存在泛域名和精确域名配置(如*.aliyun.comwww.aliyun.com),WAF优先使用精确域名所配置的转发规则和防护策略。
    • 暂不支持添加.edu域名。如果您需要添加.edu域名,请提交工单联系售后技术支持。
    防护资源 默认使用公共集群防护资源。如果您的WAF实例已升级至独享版,可选择将域名接入独享集群进行防护,支持定制化业务需求。关于独享集群的详细信息,请参见设置独享集群
    协议类型 勾选网站支持的协议类型,可选值:HTTPHTTPSHTTP2.0
    说明
    • 如果网站支持HTTPS加密认证,请勾选HTTPS,并在添加网站后参见更新HTTPS证书上传证书和私钥文件。
    • 勾选HTTPS后,可使用高级设置实现HTTP强制跳转和HTTP回源等功能,保证访问平滑。更多信息,请参见HTTPS高级配置
    • 使用HTTP2.0协议,需要符合以下要求:
      • 您的WAF实例已升级至企业版或旗舰版。
      • 您已勾选HTTPS协议。
    服务器地址 填写网站的源站服务器地址,支持IP地址和其它地址格式。网站接入WAF后,WAF将过滤后的访问请求转发至该地址。
    • (推荐)勾选IP,并填写源站服务器的公网IP地址(如云服务器ECS实例的IP、负载均衡SLB实例的IP等)。
      说明
      • 多个地址间以逗号分隔。最多支持添加20个源站IP。
      • 如果配置多个IP地址,WAF将在这些地址间自动进行健康检查和负载均衡。更多信息,请参见源站负载均衡
    • 勾选其它地址,填写服务器回源域名(如对象存储OSS的CNAME等)。
      说明
      • 服务器回源域名不应和要防护的网站域名相同。
      • 如果您的源站服务器地址为OSS域名,在WAF控制台中完成域名接入配置后,需要在OSS控制台中为该OSS域名绑定自定义域名,具体操作请参见管理域名
    服务器端口 配置网站的协议端口。WAF通过所配置的端口为网站提供流量的接入与转发服务,网站域名的业务流量只通过所配置的服务端口进行转发;对于未配置的端口,WAF不会转发任何该端口的访问请求流量到源站服务器,因此这些端口的启用和漏洞不会对源站服务器造成任何安全威胁。
    注意 配置的协议和端口必须与您所接入的网站业务源站IP(在WAF中配置的服务器IP地址)的协议和端口(在WAF中配置的服务器端口)一致,不支持端口转换功能。
    • 勾选HTTP协议后,默认HTTP端口为80
    • 参见勾选HTTPS协议后,默认HTTPS端口为443
    • 如果要使用其它端口,单击自定义进行添加。
      说明
      • 公共集群支持的详细端口列表,请参见非标端口支持
      • 如果您选择独享集群,则自定义端口仅可选择独享集群设置页面中设定的服务器端口范围。
    • HTTP2.0协议的端口与HTTPS端口保持一致。
    WAF前是否有七层代理(高防/CDN等) 根据该网站业务的实际情况勾选。如果在WAF前需要配置其它七层代理进行转发,请务必勾选,否则WAF将无法获取访问该网站的客户端真实IP。
    负载均衡算法 如果配置了多个源站IP,勾选IP hash轮询。WAF将根据所选择的方式在多个源站IP间分发访问请求,实现负载均衡。
    流量标记 填写一个空闲的Header字段名称和自定义Header字段值,用来标识经过WAF转发到源站的Web请求。流量经过WAF后,WAF在请求中添加此处指定的字段,方便您的后端服务统计信息。
    说明 如果Web请求中本身包含此处定义的头部字段,WAF将用此处的设定值覆盖原Web请求中对应字段的内容。
  7. 完成配置后,单击下一步,成功添加网站配置。
    成功添加网站配置后,您可以选择执行以下任务:
    • 根据页面提示,完成修改DNS解析任务。具体操作请参见业务接入WAF配置
    • (已勾选HTTPS协议)上传网站HTTPS证书和私钥。具体操作请参见更新HTTPS证书
    • 回到管理 > 网站配置页面,查看新添加的网站配置,根据需要进行编辑删除
    注意 如果您添加的网站域名尚未通过工信部域名备案,请务必尽快完成备案。WAF将不定期自动释放未通过备案的域名配置记录。

编辑网站配置

已添加的网站配置若发生变化,例如源站服务器地址、协议类型(高级HTTPS功能)、监听端口等变化,您可以编辑网站配置。

  1. 登录云盾Web应用防火墙控制台
  2. 在页面上方选择地域:中国大陆海外地区
  3. 前往管理 > 网站配置页面,在DNS配置模式下,选择要操作的网站配置,单击其操作列下的编辑
  4. 编辑页面,参见手动添加网站步骤6,修改相应配置。
    说明 域名不支持调整。若要防护其他域名,建议您新增一个网站配置,并删除不需要的网站配置。
  5. 单击确定,成功编辑网站配置。

删除网站配置

若网站不再需要WAF防护,您可以先恢复其DNS解析(即将DNS指回服务器源站IP),然后删除网站配置。

  1. 登录云盾Web应用防火墙控制台
  2. 在页面上方选择地域:中国大陆海外地区
  3. 前往管理 > 网站配置页面,在DNS配置模式下,选择要删除的网站配置,单击其操作列下的删除
    说明 确认删除前,请先恢复网站DNS解析;否则在删除配置后,该域名的流量将无法正常转发。
  4. 提示信息对话框中,单击确定,成功删除网站配置。

跨账号网站配置迁移说明

为了防止网站配置迁移误操作导致业务流量转发出现问题,在您删除网站配置后,有一段时间的域名保护期。如果您需要将WAF的网站配置迁移到另一个账号下,在原账号中删除网站配置后,您需要等待30分钟后才能在另一个账号的WAF实例中添加该域名的网站配置。

如果您需要快速添加该网站配置,请提交工单或在钉钉服务群中申请解除该域名的保护期。待保护期解除后,您就可以在新的账号中添加该域名的网站配置。