操作步驟

1. 登錄Web應用防火墻3.0控制臺。在頂部菜單欄，選擇WAF實例的資源組和地域（中國內地、非中國內地）。

2. 在左側導航欄，單擊接入管理。

3. 在CNAME接入頁簽，單擊接入。

4. 在配置監聽向導頁，完成如下配置后，單擊下一步。

   配置項	配置說明
   域名	填寫要防護的域名，包括精確域名（例如www.aliyundoc.com）或通配符域名（例如*.aliyundoc.com）。僅支持填寫一個域名。 如果您是首次添加該域名，需要驗證是否擁有該域名的歸屬權。通過后，才能添加域名。具體操作，請參見驗證域名歸屬權。 說明 通配符域名能夠匹配所有同級別的子域名，不能匹配不同級別的子域名。例如，*.aliyundoc.com能夠匹配www.aliyundoc.com、example.aliyundoc.com等；*.aliyundoc.com不能匹配www.example.aliyundoc.com。 二級通配符域名能夠匹配對應的二級主域名，例如，*.aliyundoc.com能夠匹配aliyundoc.com。 三級通配符域名不能匹配對應的三級主域名，例如，*.example.aliyundoc.com不能匹配example.aliyundoc.com。 如果防護對象中同時存在精確域名和能夠匹配該精確域名的通配符域名，精確域名的防護規則優先生效。
   協議類型	選擇網站使用的協議類型并填寫對應端口。每輸入一個端口，按回車確認。 說明 填寫的端口必須在可選端口范圍內。您可以單擊查看端口范圍，查看WAF支持的HTTP和HTTPS端口。更多信息，請參見WAF支持的端口范圍。 選中HTTPS后，您還需要將網站域名關聯的SSL證書上傳到WAF，使WAF監聽和防護網站的HTTPS業務流量。 在HTTPS證書上傳方式區域，選擇證書上傳方式，并完成配置。 手動上傳 選中手動上傳，并填寫證書名稱、證書文件（格式示例：-----BEGIN CERTIFICATE-----......-----END CERTIFICATE-----）、私鑰文件（格式示例：-----BEGIN RSA PRIVATE KEY-----......-----END RSA PRIVATE KEY-----）。 重要 如果證書是PEM、CER、CRT格式，您可以使用文本編輯器直接打開證書文件，并復制其中的文本內容；如果是其他格式（例如PFX、P7B等），您必須將證書文件轉換成PEM格式后，才可以使用文本編輯器獲取其中的文本內容。您可以登錄數字證書管理服務控制臺，使用證書格式轉換工具進行轉換。具體操作，請參見證書格式轉換。 如果域名關聯了多個SSL證書（例如存在證書鏈），您必須將證書文件中的文本內容拼接后，再上傳到WAF。 選擇已有證書 如果您的證書為如下兩種情況，您可以選中選擇已有證書，從證書下拉列表中選擇要上傳到WAF的證書。 證書已通過阿里云數字證書管理服務（原 SSL 證書）簽發。 證書為第三方證書，且已上傳到數字證書管理服務。 重要 選擇上傳到數字證書管理服務的第三方證書時，WAF控制臺提示證書鏈完整性校驗失敗，使用該證書可能會影響您的業務訪問，可能是選擇的證書存在問題。您可以單擊云盾-證書服務，在數字證書管理服務控制臺重新上傳新的證書。具體操作，請參見上傳和共享SSL證書。 申請新證書 選中申請新證書，單擊立即申請，在數字證書管理服務為域名快速申請一張SSL證書。 說明 快速申請證書僅支持申請付費GeoTrust DV（Domain Validation）單域名證書。如果您需要申請其他類型的證書，請通過數字證書管理服務購買。更多信息，請參見購買SSL證書。 按照數字證書管理服務控制臺提示為域名配置證書后，證書將自動上傳到WAF。 如果您的網站要同時支持國密SM2算法，您需要上傳國密證書。僅包年包月企業版和旗艦版支持該功能，包年包月基礎版和高級版、按量付費版不支持。 打開開啟國密HTTPS開關。 在國密HTTPS證書上傳方式區域，選擇證書上傳方式，并完成配置。 手動上傳 選中手動上傳，并填寫證書名稱、國密加密證書、國密加密私鑰、國密簽名證書和國密簽名私鑰。 重要 國密證書通常是PEM格式，一般包含四個文件： 國密加密證書（例如server_enc.pem）和國密加密私鑰（例如server_enc.key） 國密簽名證書（例如server_sign.pem）和國密簽名私鑰（例如server_sign.key） 您可以使用文本編輯工具打開文件，復制其中的內容并粘貼到文本框。 如果您的國密證書是其他格式（例如PFX、P7B等），您必須將證書文件轉換成PEM格式。具體操作，請參見證書格式轉換。 選擇已有證書 如果您的證書為如下兩種情況，您可以選中選擇已有證書，從證書下拉列表中選擇要上傳到WAF的證書。 證書已通過阿里云數字證書管理服務簽發。 證書為第三方證書，且已上傳到數字證書管理服務。 申請新證書 選中申請新證書，單擊立即申請，在數字證書管理服務為域名快速申請一張國密SSL證書。 說明 快速申請國密證書可申請付費CFCA或vTrus證書。 按照數字證書管理服務控制臺提示，為域名購買證書并完成證書簽發后，證書將自動上傳到WAF。 可選：如果您的網站只允許國密客戶端訪問，您可以打開僅支持國密客戶端訪問開關。 選中HTTPS并配置證書后，您也可以根據業務需要，進行如下操作： 如果您的網站支持HTTP 2.0協議，您可以選中HTTP2，開啟HTTP 2.0業務防護。 說明 HTTP 2.0協議的端口與HTTPS協議端口一致。 高級配置 開啟HTTPS的強制跳轉（默認不開啟） 如果您希望將客戶端的HTTP請求強制轉換為HTTPS請求（默認跳轉到443端口），以提高安全性，可開啟該功能。 重要 只有在未選中HTTP協議時，支持開啟該功能。 TLS協議版本 自定義HTTPS通信中允許使用的TLS協議版本。如果客戶端使用不符合要求的協議版本，WAF會丟棄其請求流量。此處設置的協議版本越高，通信安全性越好，但兼容性會有所降低。 建議您根據網站本身的HTTPS配置，選擇允許WAF監聽的TLS協議版本。如果您不清楚網站的HTTPS配置，建議使用默認選項。 可選項： 支持TLS1.0及以上版本，兼容性最高，安全性較低（默認） 支持TLS1.1及以上版本，兼容性較好，安全性較好 使用該選項后，如果客戶端使用TLS 1.0版本，將無法訪問網站。 支持TLS1.2及以上版本，兼容性較好，安全性最高 使用該選項后，如果客戶端使用TLS 1.0和1.1版本，將無法訪問網站。 如果您的網站支持TLS 1.3協議，請選中開啟支持TLS1.3。WAF默認不監聽TLS 1.3協議的客戶端請求。 HTTPS加密套件 自定義HTTPS通信中允許使用的加密套件。如果客戶端使用不符合要求的加密套件，WAF會丟棄其請求流量。 默認已選擇WAF支持的全部加密套件。建議您只在網站只支持特定加密套件的前提下，再修改該配置。 可選項： 全部加密套件，兼容性較高，安全性較低（默認） 協議版本的自定義加密套件、請謹慎選擇，避免影響業務：如果您的網站本身只支持特定的加密套件，請選擇該選項，并從WAF支持的加密套件中選擇網站支持的加密套件。 如果客戶端使用其他加密套件，將無法訪問網站。
   WAF前是否有七層代理（高防/CDN等）	網站在接入WAF前是否啟用了其他七層代理服務（例如DDoS高防、CDN等）。 無其他代理服務，選擇否（默認） 表示WAF收到的業務請求由客戶端直接發起，而非通過其他代理服務轉發。該場景下，WAF會直接獲取與WAF建立連接的IP（來自請求的REMOTE_ADDR字段）作為客戶端IP。 有其他代理服務，選擇是 表示WAF收到的業務請求來自其他七層代理服務轉發，而非客戶端直接發起。為保證WAF可以獲取真實的客戶端IP進行安全分析，您需要進一步設置客戶端IP判定方式。 可選項： （默認）取X-Forwarded-For中的第一個IP作為客戶端源IP WAF默認讀取請求Header字段X-Forwarded-For（XFF）中的第一個IP地址作為客戶端IP。 【推薦】取指定Header字段中的第一個IP作為客戶端源IP，避免XFF偽造 如果您的網站業務已通過其他代理服務的設置，規定將客戶端源IP放置在某個自定義的Header字段（例如，X-Client-IP、X-Real-IP），則您需要選擇該選項，并在指定Header字段框中輸入對應的Header字段。 說明 推薦您在業務中使用自定義Header存放客戶端IP，并在WAF中配置對應Header字段。該方式可以避免攻擊者偽造XFF字段，躲避WAF的檢測規則，提高業務的安全性。 支持輸入多個Header字段。每輸入完一個Header字段，按回車進行確認。如果設置了多個Header，WAF將按順序嘗試讀取客戶端IP。如果第一個Header不存在，則讀取第二個，以此類推。如果所有指定Header都不存在，則讀取XFF中第一個IP地址作為客戶端IP。
   更多配置	開啟IPv6 WAF默認只處理IPv4業務流量。如果您的網站支持IPv6協議，您可以開啟該功能，將IPv6業務流量接入WAF進行防護。WAF會為當前域名分配一個IPv6的WAF IP地址，用于處理IPv6客戶端的請求流量。 重要 開啟IPv6后，不支持開啟獨享IP、配置防護資源。 開啟獨享IP 接入WAF防護的所有域名默認由一個WAF IP來防護。開啟獨享IP后，WAF會額外分配一個專用的WAF IP（即獨享IP），來監聽該域名的業務請求。當其他域名遭受大流量DDoS攻擊時，啟用獨享IP的域名不會受到該影響。更多信息，請參見域名獨享IP。 如果您的域名需要使用獨享IP防護，可開啟該功能。 重要 針對包年包月實例，僅高級版、企業版、旗艦版付費支持獨享IP。您可以在總覽頁面單擊立即升級，購買域名擴展規格后，開啟獨享IP。更多信息，請參見升級與降配。 按量付費實例按實際開啟的獨享IP數結算費用。更多信息，請參見按量付費計費說明。 開啟獨享IP后，不支持開啟IPv6，且防護資源默認為共享集群。 防護資源 選擇要使用的防護資源類型。 共享集群（默認） 共享集群智能負載均衡 開啟共享集群智能負載均衡后，WAF將為當前域名提供至少三個不同地域的防護節點，實現異地多節點自動容災，同時通過智能DNS解析能力和Least-time回源算法，保證業務流量從接入防護節點到轉發回源站服務器整個鏈路的時延最短。更多信息，請參見智能負載均衡。 重要 針對包年包月實例，僅高級版、企業版、旗艦版付費支持共享集群智能負載均衡。您可以在總覽頁面單擊立即升級，啟用智能負載均衡后，開啟共享集群智能負載均衡。更多信息，請參見升級與降配。 按量付費實例按是否啟用共享集群智能負載均衡結算費用。更多信息，請參見按量付費計費說明。 開啟共享集群智能負載均衡后，不支持開啟IPv6、獨享IP。
   資源組	從資源組下拉列表中選擇該域名所屬資源組。如果不選擇，則默認加入默認資源組。 說明 您可以使用資源管理服務創建資源組，根據業務部門、項目等維度對云資源進行分組管理。更多信息，請參見創建資源組。

5. 在配置轉發向導頁，完成如下配置后，單擊提交。

   配置項	說明
   負載均衡算法	如果源站有多個服務器地址，您可以根據業務需要，選擇不同的負載均衡算法，使WAF將回源請求轉發到對應的服務器，實現負載均衡?？蛇x項： IP hash（默認） 將來自同一個客戶端IP的請求固定轉發到的一個源站服務器地址。 輪詢 將所有請求輪流分配給不同的源站服務器。 Least time 通過智能DNS解析能力和Least-time回源算法，保證業務流量從接入WAF到轉發回源站服務器整個鏈路的路徑及時延最短。 重要 如需使用Least time算法，必須確認配置監聽時，將防護資源設置為共享集群智能負載均衡。更多信息，請參見配置防護資源。
   服務器地址	填寫網站對應的源站服務器的公網IP地址或源站域名，用于接收WAF轉發回源的正常業務請求（回源請求）?？蛇x項： IP 必須為公網可達的IP地址。 支持填寫多個IP地址。每填寫一個IP地址，按回車進行確認。最多支持添加20個源站IP。 說明 如果設置了多個源站IP地址，WAF會將回源請求轉發到不同的源站，實現負載均衡。 支持同時配置IPv4和IPv6地址，或者只配置IPv4地址，只配置IPv6地址。 同時配置IPv4和IPv6地址時，來自IPv4客戶端的請求將被轉發到IPv4源站，來自IPv6客戶端的請求將被轉發到IPv6源站。 重要 如需配置IPv6回源，必須確保在配置監聽時，開啟了IPv6防護。更多信息，請參見開啟IPv6。 域名（如CNAME） 服務器地址為域名時，只支持IPv4地址，暫不支持IPv6地址，即WAF只會將客戶端請求轉發到源站域名解析出來的IPv4地址。
   HTTPS高級設置	開啟HTTP回源 HTTP回源表示WAF使用HTTP協議向源站轉發回源請求，默認回源端口是80。開啟該功能后，無論客戶端訪問WAF的端口是80或443，WAF轉發的請求都會通過80端口訪問源站。開啟HTTP回源可以在無需改動源站服務器的前提下，通過WAF實現HTTPS訪問，幫助您降低網站的負載損耗。 重要 如果您的網站不支持HTTPS回源，請務必開啟該設置。 啟用回源SNI 回源SNI（Server Name Indicator extension）表示WAF轉發客戶端請求到源站服務器，在與源站進行TLS握手時，通過SNI擴展字段指定要訪問的主機，并與該主機建立HTTPS連接。如果您的源站服務器有多個虛擬主機（對應不同域名），則需要開啟該設置。 選中啟用回源SNI后，您可以進一步設置SNI擴展字段的值。可選項： 與實際請求host保持一致（默認） 表示WAF回源請求中SNI擴展字段的值與請求頭中Host字段的值保持一致。 例如，您配置的網站域名為*.aliyundoc.com，客戶端實際請求了www.aliyundoc.com（即Host字段值），則WAF回源請求中SNI擴展字段的值為www.aliyundoc.com。 自定義 表示您自定義WAF回源請求中SNI擴展字段的值。 一般情況無需自定義SNI，除非您的業務有特殊配置要求，希望WAF在回源請求中使用與實際請求Host不一致的SNI（即此處設置的自定義SNI）。
   其它高級設置	啟用流量標記 如果您需要標記經過WAF的請求、記錄并傳遞客戶端真實源IP或源端口的信息回源站，您可以啟用流量標記，并配置標記字段。例如，如果攻擊者在域名接入WAF前，已獲取源站IP信息，并通過購買其他WAF實例，將請求回源到目標源站時，您可以啟用流量標記，并配置標記字段。當源站接收到請求后，建議對該字段進行校驗。如果存在指定標記字段，則允許訪問。 重要 請不要填寫標準的HTTP頭部字段（例如User-Agent等），否則會導致標準頭部字段內容被自定義的字段值覆蓋。 標記字段分為以下類型： 自定義Header 通過配置Header名和Header值，使WAF在回源請求中添加該Header信息，標記經過WAF的請求（區分沒有經過WAF的請求，便于您的后端服務統計分析）。 例如，您可以使用ALIWAF-TAG: Yes標記經過WAF的請求，其中，ALIWAF-TAG為Header名，Yes為Header值。 客戶端真實源IP 通過配置真實客戶端源IP所在的頭部字段名，WAF可記錄該頭部字段并將該頭部字段傳遞回源站。關于WAF判定客戶端真實源IP的具體規則，請參見WAF前是否有七層代理（高防/CDN等）參數的描述。 客戶端真實源端口 通過配置真實客戶端源端口所在的頭部字段名，WAF可記錄該頭部字段并將該頭部字段傳遞回源站。 單擊新增標記，可以增加標記字段。最多支持設置5個標記字段。 設置WAF回源到源站的超時時間 設置新建連接超時時間：WAF與源站建立連接的超時時間，默認值為5s，可配置范圍為1s~3600s。 設置讀連接超時時間：等待源站響應的超時時間，默認值為120s，可配置范圍為1s~3600s。 設置寫連接超時時間：WAF向源站發送請求的超時時間，默認值為120s，可配置范圍為1s~3600s。 回源重試 開啟該功能后，如果回源失敗，WAF會默認為每個源站嘗試回源三次。關閉該功能后，如果回源失敗，WAF將不再進行重試。 回源長連接 開啟該功能后，您還需要進行如下設置： 復用長連接的請求個數：默認值為1,000個，可配置范圍為60個~1,000個。 空閑長連接超時時間：默認值為15s，可配置范圍為1s~60s。 說明 關閉該功能后，回源長連接將不支持WebSocket協議。

6. 在接入完成向導頁，獲取WAF提供的CNAME地址，并根據頁面提示將域名的DNS解析地址設置為WAF提供的CNAME地址。具體操作，請參見修改域名DNS解析設置。

   重要

   在修改域名DNS解析設置前，請確認如下內容：

   • 已通過本地驗證確保轉發配置生效。如果在WAF的網站轉發配置未生效時修改域名DNS，可能導致業務中斷。更多信息，請參見本地驗證。

   • 如果源站服務器安裝了其他防火墻應用，您需要將WAF IP地址添加到應用的白名單，避免WAF轉發回源站的正常業務請求被誤攔截。您可以單擊Web應用防火墻回源IP網段列表，查看并復制WAF回源IP地址段。更多信息，請參見放行WAF回源IP段。

   

   完成以上配置后，您可以執行如下操作，檢測域名是否添加成功：

   • 在瀏覽器輸入已添加的域名，如果網站能正常訪問，表示域名添加成功。

   • 在瀏覽器輸入已添加的域名和Web攻擊代碼（例如<被防護域名>/alert(xss)，alert(xss)為用作測試的跨站腳本攻擊代碼），如果返回405攔截提示頁面，表示攻擊被攔截，WAF防護成功。

7. 在本地計算機上執行ping命令，ping 網站域名的CName地址，獲取您已購買的WAF實例的IP地址。

8. 將WAF的IP地址添加為DDoS原生防護實例的防護對象，為WAF實例開啟DDoS原生防護企業版防護。具體操作請參見防護對象。

   成功添加防護對象后，WAF實例將享有DDoS原生防護實例的DDoS攻擊全力防護能力，在業務遭受DDoS攻擊時，自動觸發流量清洗，防御DDoS攻擊。