AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 Web应用防火墙 Web应用防火墙3.0 产品概述 动态与公告 【公告】WAF CNAME接入VIP隔离机制与开放端口影响说明

【公告】WAF CNAME接入VIP隔离机制与开放端口影响说明

更新时间:
产品详情
我的收藏

尊敬的阿里云用户,

本公告旨在说明Web 应用防火墙 WAF(Web Application Firewall) 3.0VIP隔离和按配置开放监听端口的重要信息,上述功能可能影响您当前的CNAME接入配置。为保障服务稳定性,请您仔细阅读本公告,并核查现有配置。

感谢您的理解与支持!

影响功能

  • VIP隔离,发布时间为2025613日。功能发布后,CNAME接入默认增加VIP隔离,客户端仅可通过分配给相应域名的VIP地址访问业务。

  • VIP按配置开放监听端口,发布时间为2024516日。功能发布后,CNAME接入将支持用户根据业务需求配置非标准监听端口。

关键配置检查

以下列举了受影响的关键配置,请根据实际业务情况进行排查与修正。

DNS解析指向配置错误

CNAME接入时,WAF将为每个接入的域名分配唯一的CNAME地址,您必须在DNS解析或七层代理配置中正确指向该地址,若配置错误将导致业务中断。请根据WAF前是否存在七层代理(如CDN,DDoS高防等)进行排查。

WAF前不存在七层代理

情况一

  • 受影响配置:DNS解析使用A记录,指向WAFVIP地址。

  • 影响说明:在该域名的VIP发生改变时,例如开启或关闭独享IP或智能负载均衡时,或DNS A记录仍指向一个已不再分配给该域名的VIP地址,将导致业务中断。

情况二

  • 受影响配置:DNS解析指向非当前域名的CNAME地址。

  • 影响说明:DNS解析时将指向错误的CNAME地址,将导致业务中断。

排查与应对方案

获取CNAME地址

  1. 登录Web应用防火墙3.0控制台,在顶部菜单栏选择资源组和地域(中国内地非中国内地),然后在左侧导航栏单击接入管理,进入CNAME接入页签。

  2. 定位到目标域名后,获取其对应的CNAME地址,如下图所示。请复制该值,供后续步骤使用。image

检查DNS解析配置

若域名解析托管在阿里云云解析DNS,请按以下步骤操作;若您使用其他服务商的DNS服务,请在其系统中进行类似配置。

  1. 登录云解析DNS控制台

  2. 公网权威解析页面,定位到目标域名,单击其操作列下的解析设置。在解析设置页面,定位到目标主机记录

    说明

    例如接入WAF的域名为www.aliyundoc.com,则需定位到主域名aliyundoc.com下,主机记录为www的条目进行检查。

  3. 检查其记录类型是否为CNAME,记录值是否与上一步复制的CNAME地址一致。若不一致,需单击操作列的修改进行修正。image

WAF前存在七层代理

情况一

  • 受影响配置:在WAF前的七层代理中,源站地址配置为WAFVIP地址。

  • 影响说明:在该域名的VIP发生改变时,例如开启或关闭独享IP或智能负载均衡时,或七层代理的源站地址配置为已不再分配给该域名的VIP地址,将导致业务中断。

情况二

  • 受影响配置:在WAF前的七层代理中,源站地址配置为非当前域名的CNAME地址。

  • 影响说明:DNS解析时将指向错误的CNAME地址,将导致业务中断。

排查与应对方案

获取CNAME地址

  1. 登录Web应用防火墙3.0控制台,在顶部菜单栏选择资源组和地域(中国内地非中国内地),然后在左侧导航栏单击接入管理,进入CNAME接入页签。

  2. 定位到目标域名后,获取其对应的CNAME地址,如下图所示。请复制该值,供后续步骤使用。image

检查WAF前七层代理配置

若使用阿里云CDNDDoS高防,请按以下步骤操作;若您使用其他服务商的七层代理服务,请在其系统中进行类似配置。

CDN

  1. 登录CDN控制台。在左侧导航栏,单击域名管理。定位到目标域名,单击操作列的管理

  2. 基本配置-源站信息区域,检查源站类型是否为域名,地址是否与上一步复制的CNAME地址一致。若不一致,需单击操作列的编辑进行修正。image

DDoS高防

  1. 登录DDoS高防控制台的域名接入页面。

  2. 在顶部菜单栏左上角处,根据DDoS高防产品选择地域。

    • DDoS高防(中国内地):选择中国内地地域。

    • DDoS高防(非中国内地):选择非中国内地地域。

  3. 域名接入页面,定位到目标域名,检查服务器地址是否与上一步复制的CNAME地址一致。若不一致,需单击操作列的编辑进行修正。image

监听端口与回源端口配置错误

CNAME接入时,需正确设置监听端口与回源端口。端口配置错误将导致业务访问异常,请根据以下定义合理设置。

image

  • WAF监听端口:指WAF对外提供服务的端口,即用户访问网站所使用的端口。例如,在WAF控制台配置HTTP监听端口为8080,则用户需通过 http://example.com:8080 访问业务,其他端口无法访问。image

  • WAF回源端口:指WAF将经过防护处理的流量转发至源站服务器时所使用的端口。该端口必须与源站实际开放的业务端口保持一致,否则会导致回源失败。image

  • 源站业务端口:指WAF回源目标(如ECS实例、负载均衡器等)实际监听并提供服务的端口。

    • 若回源目标为ECS实例,需确认应用配置中指定的监听端口(例如nginx.conf文件中的listen指令)与WAF回源端口一致。image

    • 若回源目标为负载均衡实例,需确认负载均衡监听端口与WAF回源端口一致。image

    重要

    WAF的监听端口可以与回源端口不同,但回源端口必须与源站业务端口一致,以确保流量正确到达源站。

常见问题

WAFVIP是什么?

域名接入WAF后,系统将分配一个独立的虚拟IP(VIP)用于监听业务请求。该VIP不与其他租户共享。阿里云WAF实例提供高可用的安全防护服务,此VIP并非绑定于某一具体物理设备,而是属于阿里云WAF集群资源。在同一WAF实例下:

  • 未开启域名独享IP智能负载均衡时,所有域名共用一个VIP。

  • 开启独享IP后,每个域名分配独立的VIP。

  • 配置智能负载均衡后,所有域名共用多个VIP。

WAFVIP是否固定不变?

不是,VIP地址可能会发生变更,例如在开启或关闭独享IP或智能负载均衡时,甚至极端情况下的WAF故障时。

能否将DNS解析修改为WAFVIP?

通过CNAME方式接入WAF时,不能DNS解析修改为WAFVIP,需要将DNS解析指向WAF提供的CNAME地址,使用CNAME可以确保后端IP自动完成切换,从而保障您业务的连续性。

上一篇:动态与公告下一篇:【公告】Bot管理重磅版本升级及服务定价调整的公告