本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
开通Web 应用防火墙 WAF(Web Application Firewall)后,如何通过CNAME接入方式, 将网站域名添加到Web应用防火墙WAF中进行安全防护。您将了解到如何配置CNAME记录,以及如何验证和确认域名的添加是否成功。跟随本文的指导,您可以轻松、快速地为您的网站添加WAF,以确保网站正常运行并受到WAF的安全防护。
防护原理
通过CNAME接入将网站域名添加到WAF后,网站所有的业务流量将被引流到WAF进行检测。WAF过滤Web应用攻击后,将正常的业务流量转发回源站服务器,从而保障网站的业务安全和数据安全。此时,WAF作为一个反向代理集群,同时参与流量的检测和转发。
前提条件
已开通WAF 3.0服务。具体操作,请参见开通包年包月WAF 3.0、开通按量付费WAF 3.0。
如果您的网站部署在中国内地服务器上,您需要确保该网站的域名已完成ICP(Internet Content Provider)备案,且接入WAF防护期间备案信息是有效的。
说明中国内地WAF实例会定期检查所防护域名备案信息的有效性。如果域名备案信息已过期,WAF会按照相关法律法规要求,对域名执行未备案治理,治理方式包括但不限于停止转发站点请求、清除备案失效的域名配置等。更多信息,请参见未备案不得提供非经营性互联网信息服务。
如果该网站部署在阿里云上,您需要在阿里云进行ICP备案。具体操作,请参见ICP备案流程。
您可以在网站底部查看域名是否已完成ICP备案。下图以阿里巴巴官网为例,展示网站添加ICP备案号后的效果。
如果该网站没有部署在阿里云上,您可以联系阿里云或其他云厂商进行ICP备案。
操作步骤
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,单击接入管理。
在CNAME接入页签,单击接入。
在配置监听向导页,完成如下配置后,单击下一步。
配置项
配置说明
域名
填写要防护的域名,包括精确域名(例如
www.aliyundoc.com
)或通配符域名(例如*.aliyundoc.com
)。仅支持填写一个域名。如果您是首次添加该域名,需要验证是否拥有该域名的归属权。通过后,才能添加域名。具体操作,请参见验证域名归属权。
说明通配符域名能够匹配所有同级别的子域名,不能匹配不同级别的子域名。例如,
*.aliyundoc.com
能够匹配www.aliyundoc.com
、example.aliyundoc.com
等;*.aliyundoc.com
不能匹配www.example.aliyundoc.com
。二级通配符域名能够匹配对应的二级主域名,例如,
*.aliyundoc.com
能够匹配aliyundoc.com
。三级通配符域名不能匹配对应的三级主域名,例如,
*.example.aliyundoc.com
不能匹配example.aliyundoc.com
。如果防护对象中同时存在精确域名和能够匹配该精确域名的通配符域名,精确域名的防护规则优先生效。
协议类型
选择网站使用的协议类型并填写对应端口。每输入一个端口,按回车确认。
说明填写的端口必须在可选端口范围内。您可以单击查看端口范围,查看WAF支持的HTTP和HTTPS端口。更多信息,请参见WAF支持的端口范围。
选中HTTPS后,您还需要将网站域名关联的SSL证书上传到WAF,使WAF监听和防护网站的HTTPS业务流量。
在HTTPS证书上传方式区域,选择证书上传方式,并完成配置。
说明WAF 共享虚拟主机定制版不支持 HTTPS。
如果您的网站要同时支持国密SM2算法,您需要上传国密证书。包年包月版和按量付费版均支持该功能。
说明WAF当前仅支持与客户端通过国密算法进行TLS握手,不支持和源站通过国密SM2算法进行TLS握手,即WAF到源站不支持国密HTTPS。
打开开启国密HTTPS开关。
在国密HTTPS证书上传方式区域,选择证书上传方式,并完成配置。
可选:如果您的网站只允许国密客户端访问,您可以打开仅支持国密客户端访问开关。
选中HTTPS并配置证书后,您也可以根据业务需要,进行如下操作:
如果您的网站支持HTTP 2.0协议,您可以选中HTTP2,开启HTTP 2.0业务防护。
说明HTTP 2.0协议的端口与HTTPS协议端口一致。
高级配置
WAF前是否有七层代理(高防/CDN等)
网站在接入WAF前是否启用了其他七层代理服务(例如DDoS高防、CDN等)。
更多配置
资源组
从资源组下拉列表中选择该域名所属资源组。如果不选择,则默认加入默认资源组。
说明您可以使用资源管理服务创建资源组,根据业务部门、项目等维度对云资源进行分组管理。更多信息,请参见创建资源组。
在配置转发向导页,完成如下配置后,单击提交。
配置项
说明
负载均衡算法
如果源站有多个服务器地址,您可以根据业务需要,选择不同的负载均衡算法,使WAF将回源请求转发到对应的服务器,实现负载均衡。可选项:
服务器地址
填写网站对应的源站服务器的公网IP地址或源站域名,用于接收WAF转发回源的正常业务请求(回源请求)。可选项:
- 重要
如网站对应的源站服务器的公网IP地址变更,需要手动
添加新的回源IP。
开启备链路回源
当主链路回源地址都不通的情况下,会自动切换到备链路配置的回源地址上,切换生效时间30秒内。当主链路地址恢复时,可自动切换到主链路回源地址上。配置内容:
- 重要
如网站对应的源站服务器的公网IP地址变更,需要手动
添加新的回源IP。
HTTPS高级设置
其它高级设置
在接入完成向导页,获取WAF提供的CNAME地址,并根据页面提示将域名的DNS解析地址设置为WAF提供的CNAME地址。具体操作,请参见修改域名DNS解析设置。
重要在修改域名DNS解析设置前,请确认如下内容:
已通过本地验证确保转发配置生效。如果在WAF的网站转发配置未生效时修改域名DNS,可能导致业务中断。更多信息,请参见本地验证。
如果源站服务器安装了其他防火墙应用,您需要将WAF IP地址添加到应用的白名单,避免WAF转发回源站的正常业务请求被误拦截。您可以单击Web应用防火墙回源IP网段列表,查看并复制WAF回源IP地址段。更多信息,请参见放行WAF回源IP段。
完成以上配置后,您可以执行如下操作,检测域名是否添加成功:
在浏览器输入已添加的域名,如果网站能正常访问,表示域名添加成功。
在浏览器输入已添加的域名和Web攻击代码(例如
<被防护域名>/alert(xss)
,alert(xss)
为用作测试的跨站脚本攻击代码),如果返回405拦截提示页面,表示攻击被拦截,WAF防护成功。
重要通过CNAME方式接入的域名会做ICP备案校验。WAF会定期检查已接入域名的备案情况,已接入的域名,也可能出现备案过期的情况,一旦检查到过期,会自动停止域名的转发,如下图所示。
已接入域名备案过期后,您需要重新申请备案,备案成功后回到CNAME接入页面,点击再次接入防护按钮。
更多操作
查看域名DNS状态
为了能快速识别DNS解析异常的风险域名,WAF提供域名DNS状态检测功能。您可以在接入列表查看域名的DNS状态,并根据控制台提示的异常原因,修改DNS解析设置。
DNS状态 | 说明 | 相关操作 |
DNS解析正常 | 表示域名DNS正常解析到WAF。 | 无。 |
DNS解析异常,使用A记录接入 | DNS解析使用A记录接入,可能会导致业务中断。 | 需要删除A记录,重新添加CNAME记录,并将域名的DNS解析指向WAF提供的CNAME地址。具体操作,请参见修改域名DNS解析设置。 |
DNS解析异常,使用错误的WAF IP | DNS解析使用A记录接入,且指向的WAF IP错误,可能会导致业务中断。 | 需要删除A记录,重新添加CNAME记录,并将域名的DNS解析指向WAF提供的CNAME地址。具体操作,请参见修改域名DNS解析设置。 |
DNS解析异常,使用错误的CNAME地址 | DNS解析使用CNAME记录接入,但指向的CNAME地址错误,可能会导致业务中断。 | 需要将CNAME记录中的记录值修改为WAF提供的CNAME地址。具体操作,请参见修改域名DNS解析设置。 |
DNS解析未知,域名启用了代理 | WAF前启用七层代理,但七层代理配置的域名回源地址可能不为WAF CNAME地址。 | 检查代理配置的域名回源地址是否为WAF CNAME地址。 |
DNS校验超时 | 无。 | 单击图标,重新进行DNS状态检测。 |
无DNS解析记录,请接入WAF | 没有DNS解析记录,需要添加CNAME记录将DNS解析指向WAF。 | 添加CNAME记录将DNS解析指向WAF。具体操作,请参见修改域名DNS解析设置。 |
DNS未解析到WAF,请接入WAF | DNS未解析到WAF,需要修改CNAME记录将DNS解析指向WAF。 | 修改CNAME记录将DNS解析指向WAF。具体操作,请参见修改域名DNS解析设置。 |
为域名绑定或解除标签
您可以为接入WAF的域名绑定标签,并通过已绑定标签快速查找指定资源。
修改或删除已接入的域名
在删除域名前,请务必先将域名的解析地址改回接入WAF前的配置,例如,设置为源站服务器的IP地址等。否则,将使WAF无法转发正常业务请求到源站,导致网站无法被访问。
定位到目标域名,单击操作列的编辑或删除。
设置默认SSL或TLS策略
所有域名接入同一个WAF实例后,会绑定同一个WAF VIP用于监听相关业务请求。
为满足不同场景下对HTTPS通信安全合规和兼容性的要求,WAF支持为IPv4版本的VIP自定义SSL证书或TLS策略。您可以在进行合规扫描检测前,为VIP上传符合合规要求的HTTPS证书,禁用、启用某些特定版本的TLS协议和加密套件。
如果您购买并启用了独享IP,该配置同样会在独享IP生效。关于独享IP的更多信息,请参见域名独享IP。
在接入列表上方,单击默认SSL/TLS设置。
在默认SSL/TLS设置对话框,完成如下配置后,单击确定。
配置项
说明
HTTPS证书上传方式
上传SSL证书。具体操作与域名证书上传方式相同,请参见上传证书。
TLS协议版本
选择要启用的TLS协议版本。可选项:
支持TLS 1.0及以上版本,兼容性最高,安全性较低(默认)
支持TLS 1.1及以上版本,兼容性较好,安全性较好
支持TLS 1.2及以上版本,兼容性较好,安全性最高
如果要启用TLS 1.3协议,选中开启支持TLS1.3。
HTTPS加密套件
选择要启用的加密套件。可选项:
全部加密套件,兼容性较高,安全性较低(默认)
协议版本的自定义加密套件,请谨慎选择,避免影响业务
关于支持自定义的加密套件,请参见WAF支持的加密套件。
更新域名绑定的证书
如果证书即将到期或其他原因导致证书发生变更(例如证书被吊销)时,您需要更新域名绑定的证书。
证书的剩余有效期不足30个自然日时,WAF会在接入列表的证书信息处,通过图标,提示您的证书即将过期,请尽快更新证书。
如果您希望在证书即将到期时,收到邮件、短信等提醒,您可以设置SSL证书消息提醒,具体操作,请参见设置SSL证书消息提醒。
为避免您的业务因证书到期无法正常使用,您可以开通阿里云数字证书管理服务(原 SSL 证书)的证书托管服务,在证书即将到期时帮您自动申请并更新证书。更多信息,请参见什么是托管服务。
具体操作如下所示:
续费证书或将第三方证书上传到数字证书管理服务(原 SSL 证书)。具体操作,请参见SSL证书续费或上传和共享SSL证书。
同步证书到WAF。
在数字证书管理服务(原 SSL 证书)控制台部署证书到WAF。具体操作,请参见部署SSL证书到阿里云产品。
在WAF控制台上传证书。
在CNAME接入列表,定位到目标域名,单击操作列的编辑。
在HTTPS证书上传方式区域,选中选择已有证书,并重新选择更换后的证书。
后续操作
完成接入后,WAF会自动生成一个命名为“域名-waf”的防护对象,并为该防护对象默认开启基础防护规则。您可以在
页面,查看自动添加的防护对象,并为其配置防护规则。相关文档
如果您想了解防护对象、防护策略和防护流程等信息,请参见防护配置概述。
如果您想使用API将域名接入WAF实例的配置信息,请参见API文档CreateDomain - 添加CNAME接入资源。
如果您想使用API查询CNAME接入详情的配置信息,请参见API文档DescribeDomainDetail - 查询CNAME接入详情。