本文介绍了开通Web应用防火墙服务后,如何通过CNAME接入的方式为网站域名开启Web应用防火墙防护。

前提条件

  • 已开通Web应用防火墙服务,且当前实例支持接入的域名数量(包括一级域名数量和总域名数量)未超过限制。
    说明 支持接入的域名数量由Web应用防火墙的实例规格和扩展域名包数量决定。更多信息,请参见扩展域名包
  • 接入中国内地的Web应用防火墙服务时,域名必须已完成中华人民共和国工业和信息化部ICP备案。更多信息,请参见阿里云备案服务

背景信息

CNAME接入支持以下两种接入方式:
  • 域名一键接入:Web应用防火墙自动读取当前阿里云账号关联的域名资产信息,您只需从域名一键接入页面选择需要接入的域名和网络协议类型,即可自动添加网站信息,包括网站域名、服务器地址、80和443标准协议端口,并自动修改域名的DNS解析。
    说明 自动修改域名DNS解析需要执行添加域名的云账号具有操作云解析DNS的权限,否则自动修改域名解析会失败。这种情况下,您可以在自动添加域名后手动修改域名DNS解析。
  • 手动添加网站:手动添加要接入Web应用防火墙防护的网站信息,例如域名、网络协议、服务器地址、服务器端口等(引导Web应用防火墙转发正常Web请求到业务服务器),并手动修改域名的DNS解析,将网站的Web请求转发到Web应用防火墙进行安全清洗。

域名一键接入

只有当存在满足条件的域名时,域名一键接入页面才会在添加域名时出现,否则您只能手动添加网站。

支持域名一键接入的域名需要满足以下条件:
  • 如果您已完成资产识别授权,则支持一键接入的域名和资产识别结果保持一致,即来自于用户授权下Web应用防火墙主动获取的您的云上全部网站域名。更多信息,请参见资产识别
  • 如果您未执行过资产识别授权,则支持一键接入的网站域名仅包含云解析DNS中配置生效的网站域名。

操作步骤

  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地海外地区)。
  3. 在左侧导航栏,单击资产中心 > 网站接入
  4. 网站接入页面,单击添加域名
  5. 域名一键接入页面,从域名列表选择要添加的域名协议类型,并单击立即自动添加网站
    说明 只有当存在满足条件的域名时,域名一键接入页面才会出现。如果域名一键接入没有出现,建议您手动添加网站。更多信息,请参见添加域名配置向导
    域名一键接入

    如果域名使用HTTPS协议,则在选中https协议类型后,必须先完成证书验证才可以添加网站。

    https协议类型

    验证证书的操作步骤如下:

    1. 选中某个域名和https协议类型后,单击域名HTTPS证书列的验证证书
    2. 验证证书对话框,选择一种上传方式上传HTTPS证书。
      • 手动上传:手动输入证书名称证书文件私钥文件内容。验证证书-手动上传
      • 选择已有证书:从证书列表选择要使用的证书。单击云盾-证书服务,可以跳转到SSL证书管理控制台管理证书。验证证书-选择已有证书
      • 申请新证书:单击立即申请,跳转到SSL证书申请页面为域名快速申请证书。 验证证书-申请新证书
        快速申请证书仅支持申请收费型DV证书。如果您需要申请其他类型的证书,请前往SSL证书购买页面进行操作。更多信息,请参见证书选型和购买快速申请证书
    3. 完成HTTPS证书上传后,单击确定
      • 如果证书验证顺利通过,您可以单击立即自动添加网站
      • 如果证书验证失败,请根据错误提示(例如证书与密钥不匹配)重新验证证书,直到验证通过。
    Web应用防火墙将自动添加网站信息,包括网站域名、服务器地址、80和443标准协议端口,并自动修改域名的DNS解析。
    说明 如果您需要添加80和443以外的端口,建议您在自动添加域名后,手动编辑域名进行调整。更多信息,请参见相关操作

    可能出现的异常结果及后续操作:

    • 域名添加成功,但需要手动接入DNS域名添加成功但需要手动接入DNS
      可能原因:执行添加域名的云账号不具有操作云解析DNS的权限、上传的HTTPS证书与网站域名不匹配。
      说明 网站支持https协议且证书验证通过的情况下,如果上传的证书与网站不匹配,则证书检测失败,不会自动修改DNS解析。这种情况下,您必须重新上传合法、正确的证书再手动修改DNS。更多信息,请参见上传HTTPS证书
      单击手动接入DNS,根据手动修改对话框的操作引导,完成DNS修改。更多信息,请参见修改域名DNS手动修改DNS
    • 当前已达到主域名个数限制达到主域名个数限制

      单击扩展域名包,查看购买扩展域名包的操作引导。根据需要购买扩展域名包后,再尝试添加域名。

    • 该域名未检测到ICP备案信息未检测到ICP备案信息

      接入中国内地的Web应用防火墙服务时,如果当前域名未通过ICP备案,则域名一键接入会提示失败。建议您先完成ICP备案再尝试添加域名。更多信息,请参见ICP备案流程概述

手动添加网站

  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地海外地区)。
  3. 在左侧导航栏,单击资产中心 > 网站接入
  4. 网站接入页面,单击添加域名
  5. 可选:域名一键接入页面,单击手动添加其他网站
    说明 只有当存在满足条件的域名时,域名一键接入页面才会出现。如果域名一键接入没有出现,请忽略该步骤。
  6. 根据添加域名配置向导完成相关任务。
    1. 填写网站信息填写网站信息
      参数 说明
      域名 输入要防护的域名。
      • 支持使用精确域名(例如www.aliyun.com)和泛域名(例如*.aliyun.com)格式。
        • 使用泛域名后,Web应用防火墙将自动匹配该泛域名对应的所有子域名。
        • 如果同时存在泛域名和精确域名配置,则精确域名的转发规则和防护策略优先生效。
      • 暂不支持添加.edu域名。如果您需要添加.edu域名,请提交工单联系售后技术支持。
      防护资源 接入独享版Web应用防火墙服务时,选择要使用的防护资源类型。
      说明 该配置仅对独享版Web应用防火墙实例开放。
      可选值:
      • 公共集群:默认选择。
      • 独享集群:独享集群支持定制化业务需求。更多信息,请参见设置独享集群
      协议类型 选择网站使用的网络协议类型。可选值:
      • HTTP
      • HTTPS:如果网站支持HTTPS加密认证,请选择HTTPS协议并在添加域名后上传域名的证书和私钥文件。更多信息,请参见上传HTTPS证书
        选中HTTPS协议后,将显示高级设置折叠菜单。HTTPS
        高级设置支持以下功能:
        • 开启HTTPS的强制跳转:开启后,网站的HTTP请求都强制转换为HTTPS,且默认跳转到443端口。开启HTTPS强制跳转前必须先取消HTTP协议。强制HTTPS访问

          如果您需要强制客户端使用HTTPS请求访问网站,提高安全性,则可以开启该功能。

          注意 请确保网站支持HTTPS业务再开启该功能。开启该功能后,部分浏览器将被强制设置为使用HTTPS请求访问网站。
          确认
        • 开启HTTP回源:开启后,Web应用防火墙使用HTTP协议发送回源请求,默认回源端口是80。HTTP回源

          开启HTTP回源可以在无需改动源站服务器的前提下,通过Web应用防火墙实现HTTPS访问,帮助降低网站的负载损耗。如果您的网站不支持HTTPS回源,请务必开启该功能。

      • HTTP2.0:仅对企业版和旗舰版Web应用防火墙实例开放,且必须先选中HTTPS协议才支持使用。
      服务器地址 设置网站的源站服务器地址,支持IP地址格式和其它地址格式。完成接入后,Web应用防火墙将过滤后的访问请求转发到此处设置的服务器地址。
      • IP地址格式:填写源站的公网IP地址。

        多个IP地址间使用英文逗号(,)分隔。最多支持添加20个源站IP。不支持换行。

        说明 如果设置了多个IP地址,Web应用防火墙将在这些地址间自动进行健康检查和负载均衡。
        • 如果源站在阿里云,一般填写ECS的公网IP地址。
        • 当ECS前面有SLB时,则填写SLB的公网IP地址。
        • 当源站在阿里云外的IDC机房或者其他云服务商时,建议您PING域名查询域名的公网IP地址,再填写域名的公网IP地址。
      • 其它地址格式:填写服务器回源域名,例如对象存储OSS的CNAME等。

        服务器回源域名不应和要防护的网站域名相同。

        说明 如果您的源站服务器地址为OSS域名,则完成网站接入后,您必须前往OSS控制台中为该OSS域名绑定自定义域名,具体操作请参见绑定自定义域名
      服务器端口 设置网站使用的转发服务端口。

      Web应用防火墙通过此处设置的端口为网站提供流量的接入与转发服务,网站域名的业务流量只通过已设置的服务端口进行转发。对于未设置的端口,Web应用防火墙不会转发任何该端口的访问请求流量到源站服务器,因此这些端口的启用不会对源站服务器造成任何安全威胁。

      注意 网站信息中设置的协议类型服务器端口必须是源站服务器提供Web业务的协议和端口,不支持端口转换。例如,源站服务器提供Web服务的是80端口HTTP协议,域名配置也必须是一致的,设置其他端口则无法正常转发。
      默认端口:
      • HTTP 80:选中HTTP协议后默认设置。
      • HTTPS 443:选中HTTPS协议后默认设置。
        说明 HTTP2.0协议的端口与HTTPS协议的端口保持一致。
      自定义端口:单击自定义,分别设置HTTP和HTTPS协议自定义端口。自定义端口

      单击查看可选范围可以查询所有支持使用的端口。多个端口间使用英文逗号(,)分隔。

      说明
      • Web应用防火墙旗舰版和独享版实例最多支持接入50个不同的服务器端口(包含80、8080、443、8443端口在内);企业版和高级版实例最多支持接入10个服务器端口(包含80、8080、443、8443端口在内)。
      • 关于公共集群支持的详细端口列表,请参见自定义端口范围
      • 如果您要接入Web应用防火墙独享集群,则自定义端口仅支持从独享集群设置页面中设置的服务器端口范围中选择。更多信息,请参见设置独享集群
      负载均衡算法 设置了多个源站IP地址时,选择多源站IP间的负载均衡算法。可选值:
      • IP hash(默认):将某个IP的请求定向到同一个源站服务器。
        说明 使用IP hash时,如果源站服务器的IP地址不够分散,可能会出现负载不均的情况。
      • 轮询:将所有请求轮流分配给源站服务器。
      • Least time:通过智能DNS解析能力和升级后的Least-time回源算法,保证业务流量从接入防护节点到转发回源站服务器整个链路的时延最短。
        说明 Least time仅在开通智能负载均衡后支持使用。更多信息,请参见智能负载均衡接入能力

      设置生效后,Web应用防火墙将根据设置的负载均衡算法向多个源站IP分发回源请求,实现负载均衡。
      WAF前是否有七层代理(高防/CDN等) 如果在Web应用防火墙前需要配置其他七层代理服务进行业务转发,请务必选择,否则Web应用防火墙将无法获取访问网站的客户端真实IP。更多信息,请参见以下文档:

      如果在Web应用防火墙前不需要配置其他七层代理服务进行业务转发,请选择
      流量标记 填写一个空闲的Header字段名称和自定义Header字段值,用来标识经过Web应用防火墙转发到源站的Web请求。

      Web请求经过Web应用防火墙后,Web应用防火墙在请求中添加此处指定的字段和字段值,标识经转发的流量,方便您的后端服务统计信息,实现精准的源站保护(访问控制)、防护效果分析等。

      注意 如果Web请求中本身包含此处定义的头部字段,Web应用防火墙将用此处的设定值覆盖原Web请求中对应字段的内容。
      资源组 从资源组列表中选择域名所属的资源组。
      说明 您可以使用资源管理服务创建资源组,根据业务部门、项目等维度对云资源进行分组管理。更多信息,请参见创建资源组
    2. 修改DNS解析修改DNS解析
      根据页面提示修改域名的DNS解析,将网站域名解析到Web应用防火墙进行安全清洗。更多信息,请参见修改域名DNS
    3. 添加完成添加完成
      如果您的服务器正在使用除Web应用防火墙以外的防火墙服务,建议您将其关闭或将Web应用防火墙的IP地址加入其白名单,避免误拦截。更多信息,请参见获取回源IP段。如果您的服务器未使用其他防火墙服务,则无需配置。

      单击完成,返回网站列表,返回网站接入页面。

上传HTTPS证书

如果您添加的网站信息的协议类型中包含HTTPS,您必须在Web应用防火墙控制台上传与该网站域名关联的HTTPS证书,且证书必须正确、有效,才能保证Web应用防火墙正常防护网站的HTTPS协议访问请求。

上传HTTPS证书支持手动上传证书和通过SSL证书服务自动上传证书两种方式。
  • 手动上传证书:您需要提前准备好网站的证书文件和私钥文件。
    需要准备的证书相关内容如下:
    • *.crt(公钥文件)或*.pem(证书文件)
    • *.key(私钥文件)
  • 通过SSL证书服务自动上传证书:需要上传的证书已经通过阿里云SSL证书服务签发后,您可以直接从已签发证书中选择与域名关联的证书进行上传。

    SSL证书服务(Alibaba Cloud SSL Certificates Service)由阿里云联合中国及中国以外地域多家数字证书管理和颁发的权威机构,在阿里云平台上直接提供的服务器数字证书。您可在阿里云平台上直接购买所需类型的证书,并一键部署在阿里云产品中,以最小的成本将您的服务从HTTP转换成HTTPS,实现网站的身份验证和数据加密传输。更多信息,请参见什么是SSL证书服务

    通过阿里云SSL证书服务签发证书支持以下两种方式:

操作步骤

  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地海外地区)。
  3. 在左侧导航栏,单击资产中心 > 网站接入
  4. 网站接入页面,定位到要操作的域名,单击其协议状态HTTPS后的上传图标图标。
    说明 只有在添加域名时选择了HTTPS协议类型,协议状态下才会出现HTTPS
    HTTPS协议状态

    HTTPS协议状态异常表示添加域名后未上传证书或上传的证书无效,例如证书格式不正确、证书与当前域名不匹配等。只有在Web应用防火墙上传了合法、有效的证书后,HTTPS协议状态才会显示正常。

  5. 上传证书(或更新证书)对话框,选择一种上传方式上传HTTPS证书。
    说明 如果您已经上传过证书,则显示更新证书对话框。更新证书对话框中的配置内容和上传证书对话框一致。
    • 手动上传:填写证书名称,并将与域名关联的证书文件和私钥文件的文本内容分别复制粘贴到证书文件私钥文件手动上传
      关于证书文件的说明如下:
      • 如果证书是PEM、CER、CRT格式,您可以使用文本编辑器直接打开证书文件并复制其中的文本内容。
      • 如果证书是除PEM、CER、CRT外的其他格式,例如PFX、P7B等,您需要将证书文件转换成PEM格式后,才可以使用文本编辑器打开并复制其中的文本内容。 关于证书格式的转换方法,请参见HTTPS证书转换成PEM格式
      • 如果域名关联了多个证书文件,例如存在证书链,您需要将证书文件中的文本内容拼接合并后粘贴到证书文件
    • 选择已有证书:从证书列表选择要上传的证书。选择已有证书

      证书列表罗列了SSL证书服务中已签发的证书,您可以从列表中选择与当前域名关联的证书。单击云盾-证书服务,可以跳转到SSL证书管理控制台管理证书。

    • 申请新证书:单击立即申请,跳转到SSL证书申请页面为域名快速申请证书。申请新证书
      快速申请证书仅支持申请收费型DV证书。如果您需要申请其他类型的证书,请前往SSL证书购买页面进行操作。更多信息,请参见证书选型和购买快速申请证书
  6. 单击确定
    成功上传正确、有效的证书后,HTTPS协议状态将会显示正常HTTPS协议状态正常

相关操作

成功添加域名后,您可以在网站接入页面的域名列表中查看已接入的域名并根据需要执行以下操作:网站接入
  • 检测DNS解析状态:只有当域名DNS已解析到Web应用防火墙的CNAME地址且Web应用防火墙检测到域名的访问流量,DNS解析状态才显示正常。如果DNS解析状态显示异常,您可以单击DNS解析状态异常查询异常原因。修复异常后,单击重新检测重新检测。

    更多信息,请参见DNS解析状态异常

  • 上传HTTPS证书:如果网站支持HTTPS协议,请务必确保在Web应用防火墙上传正确的证书和私钥,保证正常防护HTTPS业务流量。您可以单击HTTPS协议状态后上传上传域名的HTTPS证书和私钥。

    更多信息,请参见上传HTTPS证书

  • 开启IPv6防护:如果网站有IPv6协议业务流量需要防护,您可以为域名开启IPv6状态开关。

    更多信息,请参见开启IPv6防护

  • 开启日志服务:为域名开启日志服务后,Web应用防火墙日志服务将采集网站的全量日志,支持用作查询分析、仪表盘展示、设置告警等功能。

    更多信息,请参见开启日志采集

    说明 日志服务是Web应用防火墙提供的增值服务,必须开通后才能使用。更多信息,请参见开通WAF日志服务
  • 设置防护资源:单击防护资源列下的设置防护资源为域名设置防护资源。
    支持的防护资源类型:
  • 查看攻击监控报表:单击攻击监控列下的查看报表,跳转到安全报表页面,查看域名的防护报表。更多信息,请参见查看安全报表
  • 设置防护策略:单击操作列下的防护配置,跳转到网站防护页面,设置Web安全Bot管理访问控制/限流防护模块的防护策略。更多信息,请参见设置正则防护引擎
  • 编辑域名:单击操作列下的编辑修改网站信息,例如协议类型、服务器地址、服务器端口等。不支持修改域名。
  • 删除域名:单击操作列下的删除删除域名。
    警告 在删除域名前,请将域名DNS解析回服务器源站IP。否则在删除域名后,域名的流量将无法正常转发。

相关问题

跨账号迁移网站配置时需要注意什么?

为了防止网站配置迁移误操作导致业务流量转发出现问题,在您删除网站配置后,有一段时间的域名保护期。如果您需要将Web应用防火墙的网站配置迁移到另一个账号下,在原账号中删除网站配置后,您需要等待30分钟后才能在另一个账号的Web应用防火墙实例中添加该域名的网站配置。

如果您需要快速添加该网站配置,请提交工单或在钉钉服务群中申请解除该域名的保护期。待保护期解除后,您就可以在新的账号中添加该域名的网站配置。