本文介绍了开通Web应用防火墙(Web Application Firewall,简称 WAF)后,如何通过CNAME接入方式将您要防护的域名接入WAF进行防护。
前提条件
- 已购买WAF实例,且当前实例支持接入的域名数量未超过限制。
说明 支持接入的域名数量由WAF的实例规格和扩展域名包数量决定。更多信息,请参见域名扩展包。
- 如果您已购买中国内地的WAF实例,您必须先为域名完成ICP备案,才可以将网站接入WAF防护。否则,您在WAF中添加该网站时,将会收到报错,提示您需要完成备案。关于阿里云ICP备案的更多信息,请参见ICP备案流程概述。
注意 您将网站接入WAF防护后,还必须保证域名备案信息的有效性。为符合相关法律法规要求,中国内地WAF实例会定期清除备案失效的域名。关于相关法律法规,请参见未备案不得提供非经营性互联网信息服务。
背景信息
CNAME接入指您在WAF控制台添加要接入WAF防护的网站信息,并修改网站域名的DNS解析(设置CNAME解析记录),将网站的Web请求转发到WAF进行防护。该方式支持云上、云下的公网服务器地址接入。下文将会具体介绍CNAME接入的操作步骤。
说明 除了CNAME接入,您还可以选择透明接入。透明接入无需修改网站域名的DNS解析及源站配置,即可将网站的Web请求接入WAF进行防护。该方式是云上公网资产的最佳接入方式。相关操作,请参见透明接入。
CNAME接入支持以下两种方式:
- 一键接入域名:WAF自动读取当前阿里云账号关联的网站资产信息,您只需从一键接入列表选择需要接入的网站域名和协议类型,即可自动添加网站信息,包括网站域名、服务器地址、80和443标准协议端口,并自动修改域名的DNS解析。
注意 自动修改域名解析需要执行网站接入的阿里云账号拥有操作云解析DNS的权限,否则自动修改域名解析会失败。这种情况下,您可以在自动添加网站后手动修改域名的DNS解析。
- 手动接入域名:如果您要接入的网站不支持自动添加,您可以手动添加网站信息,例如网站域名、网络协议、服务器地址、服务器端口等。手动添加网站信息后,您需要手动修改网站域名的DNS解析,将网站的Web请求转发到WAF进行防护。
视频教程
推荐您观看以下操作演示视频。该视频以CNAME接入为例,介绍了手动接入网站域名到WAF进行防护的完整操作。
一键接入域名
在添加网站时,如果您的阿里云账号下存在满足条件的网站域名,您可以直接从一键接入列表选择要添加的网站,完成自动添加网站。
支持自动添加的网站域名需要满足以下条件:
- 如果您已完成资产识别授权,则支持自动添加的域名和资产识别结果一致。更多信息,请参见资产识别。
- 如果您未执行过资产识别授权,则支持自动添加的网站域名仅包含云解析DNS中配置生效的网站域名。
操作步骤
手动接入域名
以下操作步骤介绍了使用CNAME接入模式手动添加网站的具体操作。
上传HTTPS证书
如果您添加的网站信息的协议类型中包含HTTPS,您必须在Web应用防火墙控制台上传与该网站域名关联的HTTPS证书,且证书必须正确、有效,才能保证WAF正常防护网站的HTTPS协议访问请求。
上传HTTPS证书支持以下方式:
- 手动上传证书:您需要提前准备好网站的证书文件和私钥文件。
需要准备的证书相关内容如下(上传时请确保证书有完整的证书链):
- *.crt(公钥文件)或*.pem(证书文件)
- *.key(私钥文件)
- 选择已有证书:您可以直接从阿里云SSL证书服务已有证书中选择与域名关联的证书。
操作步骤
后续配置
完成域名接入流程后,网站访问流量将经过WAF保护,您还需要完善以下配置,才能更好地防护网站安全。
配置类型 | 说明 | 相关文档 |
---|---|---|
网站防护配置 | WAF包含多种防护检测模块,帮助网站应对不同类型的安全威胁,其中规则防护引擎和CC安全防护模块默认开启,分别用于防御常见的Web应用攻击(例如,SQL注入、XSS跨站、Webshell上传等)和CC攻击,其他防护模块需要您手动开启并配置具体防护规则。 | 网站防护配置概述 |
告警配置 | 通过配置告警规则,您可以使WAF在网站请求流量中检测到攻击事件、异常流量时,向您发送告警通知,帮助您及时掌握业务的安全状态。 | 告警设置 |
日志服务配置 | 通过启用日志服务,您可以使WAF采集并存储网站业务的日志数据,供您进行业务查询与分析。WAF日志服务默认存储180天内的网站全量日志,帮助您满足等保合规要求。 | 日志服务概述 |
相关操作
成功添加域名后,您可以在网站接入页面的域名列表中查看已接入的域名并根据需要执行以下操作:

- 上传HTTPS证书:如果网站支持HTTPS协议,请务必确保在WAF上传正确的证书和私钥,保证正常防护HTTPS业务流量。您可以在源站信息列下单击
上传域名的HTTPS证书和私钥。
更多信息,请参见上传HTTPS证书。
- 开启IPv6防护:如果网站有IPv6协议业务流量需要防护,您可以在快捷操作列下为域名开启IPV6开关。
更多信息,请参见开启IPv6防护。
- 开启日志服务:在快捷操作列下为域名开启日志服务后,WAF日志服务将采集网站的全量日志,支持用作查询分析、仪表盘展示、设置告警等功能。
更多信息,请参见步骤2:开启日志采集。
注意 日志服务是WAF提供的增值服务,必须开通后才能使用。更多信息,请参见步骤1:开通WAF日志服务。 - 设置防护资源:在快捷操作列下单击防护资源后的
,为域名设置防护资源。
- 查看攻击监控报表:单击攻击监控列下的查看报表,跳转到安全报表页面,查看域名的防护报表。更多信息,请参见WAF安全报表。
- 设置防护策略:单击操作列下的防护配置,跳转到网站防护页面,设置Web安全、Bot管理、访问控制/限流防护模块的防护策略。更多信息,请参见网站防护配置概述。
- 编辑域名:单击操作列下的编辑,修改网站信息,例如,协议类型、服务器地址、服务器端口等。不支持修改域名。
- 删除域名:单击操作列下的删除,删除域名。
警告 在删除域名前,请将域名DNS解析回服务器源站IP。否则,在删除域名后,域名的流量将无法正常转发。
相关问题
请参见常见问题中的网站接入配置问题。