本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
使用CNAME接入方式接入Web應用防火墻(Web Application Firewall,簡稱WAF)前,先要將需要防護的域名接入WAF。本文介紹如何將要防護的域名添加到WAF。
前提條件
已購買WAF實例,且當前實例支持接入的域名數量未超過限制。
說明支持接入的域名數量由WAF的實例規格和擴展域名包數量決定。更多信息,請參見域名擴展包。
如果您的網站部署在中國內地服務器上,您需要確保該網站的域名已完成ICP(Internet Content Provider)備案,且接入WAF防護期間備案信息是有效的。
說明中國內地WAF實例會定期檢查所防護域名備案信息的有效性。如果域名備案信息已過期,WAF會按照相關法律法規要求,對域名執行未備案治理,治理方式包括但不限于停止轉發站點請求、清除備案失效的域名配置等。更多信息,請參見未備案不得提供非經營性互聯網信息服務。
如果該網站部署在阿里云上,您需要在阿里云進行ICP備案。具體操作,請參見ICP備案流程。
您可以在網站底部查看域名是否已完成ICP備案。下圖以阿里巴巴官網為例,展示網站添加ICP備案號后的效果。
如果該網站沒有部署在阿里云上,您可以聯系阿里云或其他云廠商進行ICP備案。
添加域名
登錄Web應用防火墻控制臺,在頂部菜單欄,選擇WAF實例的資源組和地域(中國內地、非中國內地)。
在左側導航欄,選擇。
在域名列表頁簽,單擊網站接入。
說明進入添加域名頁面后,接入模式默認為Cname接入。
填寫網站信息,單擊下一步。
配置項
說明
域名
填寫要防護的域名,包括精確域名(例如www.aliyundoc.com)或通配符域名(例如*.aliyundoc.com)。僅支持填寫一個域名。
如果您是首次添加該域名,需要驗證是否擁有該域名的歸屬權。通過后,才能添加域名。具體操作,請參見驗證域名歸屬權。
說明通配符域名不僅可以匹配所有同級別的子域名,還能匹配不同級別的子域名。例如,
*.aliyundoc.com能夠匹配www.aliyundoc.com、example.aliyundoc.com、www.example.aliyundoc.com等多級域名。二級通配符域名能夠匹配對應的二級主域名,例如,
*.aliyundoc.com能夠匹配aliyundoc.com。三級通配符域名不能匹配對應的三級主域名,例如,
*.example.aliyundoc.com不能匹配example.aliyundoc.com。如果防護對象中同時存在精確域名和能夠匹配該精確域名的通配符域名,精確域名的防護規則和轉發配置優先生效。
防護資源
選擇要使用的防護資源類型。可選項:
公共集群:默認選擇。
獨享集群:使用獨享版WAF實例時,支持該選項。獨享集群支持定制化業務需求。更多信息,請參見獨享集群最佳實踐。
混合云集群:使用混合云接入時,選擇該選型。更多信息,請參見網站接入(混合云WAF)。
協議類型
選擇網站使用的協議類型。可選項:
HTTP
HTTPS
重要如果網站支持HTTPS加密認證,請選擇HTTPS協議并在添加域名后上傳域名的證書和私鑰文件。更多信息,請參見上傳HTTPS證書。
選中HTTPS后,還支持啟用以下功能:
HTTPS強制跳轉表示將客戶端的HTTP請求強制轉換為HTTPS請求。開啟該功能后,客戶端使用HTTPS請求,通過443端口訪問WAF,WAF轉發的請求也會通過443端口訪問源站。如果您需要強制客戶端使用HTTPS請求訪問網站以提高安全性,則開啟該功能。
重要只有在未選中HTTP協議時,支持開啟該設置。
請確保網站支持HTTPS業務再開啟該設置。開啟該設置后,部分瀏覽器將被強制設置為使用HTTPS請求訪問網站。
HTTP回源表示WAF使用HTTP協議向源站轉發回源請求,默認回源端口是80。開啟該功能后,無論客戶端訪問WAF的端口是80或443,WAF轉發的請求都會通過80端口訪問源站。開啟HTTP回源可以在無需改動源站服務器的前提下,通過WAF實現HTTPS訪問,幫助您降低網站的負載損耗。
重要如果您的網站不支持HTTPS回源,請務必開啟該設置。
如果客戶端通過80端口訪問WAF,則WAF轉發的請求也會通過80端口訪問源站。如果客戶端通過443端口訪問WAF,則WAF轉發的請求也會通過443端口訪問源站。
回源SNI表示WAF轉發客戶端請求到源站服務器,在與源站進行TLS握手時,通過SNI擴展字段(Server Name Indicator extension)指定要訪問的主機,并與該主機建立HTTPS連接。如果您的源站服務器有多個虛擬主機(對應不同域名),則需要開啟該設置。
選中啟用回源SNI后,您可以進一步設置SNI擴展字段的值。可選項:
與實際請求host保持一致(默認):表示WAF回源請求中SNI擴展字段的值與請求頭中Host字段的值保持一致。
例如,您配置的網站域名為
*.aliyundoc.com,客戶端實際請求了www.aliyundoc.com(即Host字段值),則WAF回源請求中SNI擴展字段的值為www.aliyundoc.com。自定義:表示您自定義WAF回源請求中SNI擴展字段的值。
一般情況無需自定義SNI,除非您的業務有特殊配置要求,希望WAF在回源請求中使用與實際請求Host不一致的SNI(即此處設置的自定義SNI)。
HTTP2(必須先選中HTTPS,才支持該選項)
如果您的網站支持HTTP 2.0協議,則您需要開啟該設置。HTTP 2.0協議的端口與HTTPS協議端口保持一致,開啟該設置后,您只需設置HTTPS端口即可。更多信息,請參見HTTP 2.0業務接入WAF防護是否會對源站有影響?。
說明只有企業版、旗艦版、獨享版的WAF實例支持開啟HTTP2。
服務器地址
設置網站的源站服務器地址,支持IP地址格式和域名(如CNAME)格式。完成接入后,WAF將過濾后的訪問請求轉發到此處設置的服務器地址。設置說明:
IP地址格式:填寫源站的公網IP地址。需要為公網可達的IP地址。
支持填寫多個IP地址,每填寫一個IP地址,按回車進行確認。最多支持添加20個源站IP。
說明如果設置了多個IP地址,WAF將在這些地址間自動進行健康檢查和負載均衡。
非中國內地WAF實例僅支持配置IPv4地址。中國內地WAF實例支持如下配置方式:
同時配置IPv4和IPv6地址
如果開啟IPv4/IPv6回源協議跟隨,則來自IPv6地址的請求將被轉發到IPv6源站,來自IPv4地址的請求將被轉發到IPv4源站。如果不開啟IPv4/IPv6回源協議跟隨,則不做區分,執行混合回源(即IPv4和IPv6請求都有可能回源到IPv4或IPv6源站)。
重要使用IPv6回源時,您必須確保網站接入列表中域名的IPv6狀態為已開啟。更多信息,請參見開啟IPv6防護。
只配置IPv4地址
IPv4和IPv6請求都將通過IPv4回源,即WAF將請求轉發到您設置的IPv4源站地址。
只配置IPv6地址
IPv4和IPv6請求都將通過IPv6回源,即WAF將請求轉發到您設置的IPv6源站地址。
如果源站在阿里云,一般填寫ECS的公網IP地址。
當ECS前面有SLB時,則填寫SLB的公網IP地址。
當源站在阿里云外的IDC機房或者其他云服務商時,建議您PING域名查詢域名的公網IP地址,再填寫域名的公網IP地址。
填寫的IP沒有在透明接入模式下開啟引流。
域名(如CNAME)格式:填寫服務器回源域名,例如對象存儲OSS的CNAME等。
使用域名格式時,支持IPv4回源,即WAF會將客戶端請求轉發到回源域名解析出來的IPv4地址。
重要服務器回源域名不應和要防護的網站域名相同。
如果您的源站服務器地址為OSS域名,則完成網站接入后,您必須前往OSS控制臺中為該OSS域名綁定自定義域名。具體操作,請參見綁定自定義域名。
服務器端口
添加網站使用的轉發服務端口。
WAF通過此處添加的端口為網站提供流量的接入與轉發服務,網站域名的業務流量只通過已添加的服務端口進行轉發。對于未添加的端口,WAF不會轉發任何該端口的訪問請求流量到源站服務器,因此這些端口的啟用不會對源站服務器造成任何安全威脅。
重要網站信息中設置的協議類型和服務器端口必須是源站服務器提供Web業務的協議和端口,不支持端口轉換。例如,源站服務器提供Web服務的是80端口和HTTP協議,域名配置也必須是一致的,設置其他端口則無法正常轉發。
默認端口:
HTTP:80端口,選中HTTP協議后默認設置。
HTTPS或HTTP2:443端口,選中HTTPS協議后默認設置。
自定義端口:在HTTP端口輸入框、HTTPS端口輸入框輸入端口并按回車進行添加。單擊查看可選范圍可以查詢所有支持使用的端口。
負載均衡算法
設置了多個源站服務器地址時,選擇多源站服務器間的負載均衡算法。可選項:
IP hash(默認):將某個IP的請求定向到同一個源站服務器。
說明使用IP hash時,如果源站服務器的IP地址不夠分散,可能會出現負載不均的情況。
輪詢:將所有請求輪流分配給源站服務器。
Least time:通過智能DNS解析能力和升級后的Least-time回源算法,保證業務流量從接入防護節點到轉發回源站服務器整個鏈路的時延最短。
說明Least time僅在開通智能負載均衡后支持使用。更多信息,請參見智能負載均衡。
設置生效后,WAF將根據設置的負載均衡算法向多個源站地址分發回源請求,實現負載均衡。
WAF前是否有七層代理(高防/CDN等)
選擇網站業務在接入WAF前是否開啟了其他七層代理服務(例如DDoS高防、CDN等)。可選項:
否:表示WAF收到的業務請求來自發起請求的客戶端。WAF直接獲取與WAF建立連接的IP(來自
REMOTE_ADDR字段)作為客戶端IP。是:表示WAF收到的業務請求來自其他七層代理服務轉發,而非直接來自發起請求的客戶端。為了保證WAF可以獲取真實的客戶端IP進行安全分析,您需要進一步設置客戶端IP判定方式。
WAF默認讀取請求Header字段
X-Forwarded-For(XFF)中的第一個IP地址作為客戶端IP。如果您的網站業務已通過其他代理服務的設置,規定將客戶端源IP放置在某個自定義的Header字段(例如X-Client-IP、X-Real-IP),則您需要選擇取指定Header字段中的第一個IP作為客戶端源IP,避免XFF偽造,并在指定Header字段框中輸入對應的Header字段。
說明推薦您在業務中使用自定義Header存放客戶端IP,并在WAF中配置對應Header字段。該方式可以避免攻擊者偽造XFF字段,躲避WAF的檢測規則,提高業務的安全性。
支持輸入多個Header字段。每輸入完一個Header字段,需要按半角逗號(,)確認。設置了多個Header時,WAF將按順序嘗試讀取客戶端IP。如果第一個Header不存在,則讀取第二個,以此類推。如果所有指定Header都不存在,則讀取XFF中第一個IP地址作為客戶端IP。
啟用流量標記
設置是否啟用WAF流量標記功能。
流量標記表示WAF在轉發客戶端請求到源站服務器時,在請求頭中添加或修改由您指定的自定義字段,用于標記該請求經過WAF轉發,記錄該請求的客戶端真實源IP或真實源端口。
選中啟用流量標記后,您需要設置標記字段。
重要請不要填寫標準的HTTP頭部字段(例如User-Agent等),否則會導致標準頭部字段內容被自定義的字段值覆蓋。
如果攻擊者在域名接入WAF前,已獲取源站IP信息,并通過購買其他WAF實例,將請求回源到目標源站時,您可以啟用流量標記并設置標記字段。當源站接收到請求后,建議對該字段進行校驗。如果存在指定標記字段,則允許訪問。
標記字段分為以下類型:
通過配置Header名和Header值,使WAF在回源請求中添加該Header信息,標記經過WAF的請求(區分沒有經過WAF的請求,便于您的后端服務統計分析)。
例如,您可以使用
ALIWAF-TAG: Yes標記經過WAF的請求,其中,ALIWAF-TAG為Header名,Yes為Header值。通過配置真實客戶端源IP所在的頭部字段名,WAF可記錄該頭部字段并將該頭部字段傳遞回源站。關于WAF判定客戶端真實源IP的具體規則,請參見WAF前是否有七層代理(高防/CDN等)參數的描述。
通過配置真實客戶端源端口所在的頭部字段名,WAF可記錄該頭部字段并將該頭部字段傳遞回源站。
單擊新增標記,可以增加標記字段。最多支持設置5個標記字段。
回源超時配置
設置新建連接超時時間:WAF與源站建立連接的超時時間,默認值為5s,可配置范圍為1s~3600s。
設置讀連接超時時間:等待源站響應的超時時間,默認值為120s,可配置范圍為1s~3600s。
設置寫連接超時時間:WAF向源站發送請求的超時時間,默認值為120s,可配置范圍為1s~3600s。
說明僅云WAF的高級版、企業版、旗艦版或獨享版實例支持該功能。混合云WAF版本的實例不支持該功能。
開啟該功能后,如果回源失敗,WAF會默認為每個源站嘗試回源三次。關閉該功能后,如果回源失敗,WAF將不再進行重試。
開啟該功能后,您還需要進行如下設置:
復用長連接的請求個數:默認值為1,000個,可配置范圍為60個~1,000個。
空閑長連接超時時間:默認值為15s,可配置范圍為1s~60s。
說明關閉該功能后,回源長連接將不支持WebSocket協議。
資源組
從資源組列表中選擇該域名所屬資源組。
說明您可以使用資源管理服務創建資源組,根據業務部門、項目等維度對云資源進行分組管理。更多信息,請參見創建資源組。
如果步驟4填寫的域名所對應的泛解析域名已被其他用戶配置,需要按照提示對話框提供的記錄類型、域名、記錄值信息,配置TXT解析記錄。
例如,如果您使用了阿里云的云解析DNS,可登錄云解析DNS控制臺,并根據提示對話框提供的信息,配置TXT解析記錄。具體操作,請參見添加解析記錄。
修改DNS解析。
根據頁面提示修改域名的DNS解析,將網站域名解析到WAF進行防護,完成后單擊下一步。更多信息,請參見修改域名DNS。
添加完成。
根據頁面提示設置放行WAF回源IP段,完成后單擊完成,返回網站列表,返回網站接入頁面。更多信息,請參見放行WAF回源IP段。
上傳HTTPS證書
如果您在步驟4添加協議類型時,選擇HTTPS,您必須在WAF控制臺上傳與該網站域名關聯的HTTPS證書,且證書必須正確、有效,才能保證WAF正常防護網站的HTTPS協議訪問請求。
上傳的HTTPS證書支持以下方式:
手動上傳證書:您需要提前準備好網站的證書文件和私鑰文件。
需要準備的證書相關內容如下(上傳時請確保證書有完整的證書鏈):
*.crt(公鑰文件)或*.pem(證書文件)
*.key(私鑰文件)
選擇已有證書:您可以直接從數字證書管理服務的已有證書中選擇與域名關聯的證書。更多信息,請參見數字證書管理服務。
申請新證書。
登錄Web應用防火墻控制臺,在頂部菜單欄,選擇WAF實例的資源組和地域(中國內地、非中國內地)。
在左側導航欄,選擇。
在域名列表中定位到要操作的域名,單擊源站信息列下的
圖標。說明只有在添加域名時選擇了HTTPS協議類型,源站信息列下才會出現
圖標。在上傳證書(或更新證書)對話框,選擇一種上傳方式上傳HTTPS證書。
說明如果您已經上傳過證書,則顯示更新證書對話框。更新證書對話框中的配置內容和上傳證書對話框一致。
手動上傳:填寫證書名稱,并將與域名關聯的證書文件和私鑰文件的文本內容分別復制粘貼到證書文件和私鑰文件。
關于證書文件的說明如下:
如果證書是PEM、CER、CRT格式,您可以使用文本編輯器直接打開證書文件并復制其中的文本內容。
如果證書是除PEM、CER、CRT外的其他格式,例如PFX、P7B等,您需要將證書文件轉換成PEM格式后,才可以使用文本編輯器打開并復制其中的文本內容。關于證書格式的轉換方法,請參見HTTPS證書轉換成PEM格式。
請確保上傳完整的證書鏈。如果域名關聯了多個證書文件,您需要先將證書文件中的文本內容拼接合并,再粘貼到證書文件。
選擇已有證書:從證書列表選擇要上傳的證書。
證書列表羅列了SSL證書服務中已簽發的證書,您可以從列表中選擇與當前域名關聯的證書。單擊云盾-證書服務,可以跳轉到SSL證書管理控制臺管理證書。
申請新證書:單擊立即申請,跳轉到數字證書管理服務的購買證書頁面為域名快速申請證書。
按照頁面提示為域名配置證書后,已配置證書將默認上傳到WAF。
說明快速申請證書僅支持申請收費型DV證書。如果您需要申請其他類型的證書,請前往SSL證書購買頁面進行操作。更多信息,請參見購買SSL證書。
單擊確定。
后續配置
完成域名接入流程后,網站訪問流量將經過WAF保護,您還需要完善以下配置,才能更好地防護網站安全。
配置類型 | 說明 | 相關文檔 |
網站防護配置 | WAF包含多種防護檢測模塊,幫助網站應對不同類型的安全威脅,其中規則防護引擎和CC安全防護模塊默認開啟,分別用于防御常見的Web應用攻擊(例如SQL注入、XSS跨站、WebShell上傳等)和CC攻擊,其他防護模塊需要您手動開啟并配置具體防護規則。 | |
告警配置 | 通過配置告警規則,您可以使WAF在網站請求流量中檢測到攻擊事件、異常流量時,向您發送告警通知,幫助您及時掌握業務的安全狀態。 | |
日志服務配置 | 通過啟用日志服務,您可以使WAF采集并存儲網站業務的日志數據,供您進行業務查詢與分析。WAF日志服務默認存儲180天內的網站全量日志,幫助您滿足等保合規要求。 |
相關操作
查看和管理已接入的域名
成功添加域名后,您可以在網站接入頁面的域名列表中查看已接入的域名并根據需要執行以下操作:
上傳HTTPS證書:如果網站支持HTTPS協議,請務必確保在WAF上傳正確的證書和私鑰,保證正常防護HTTPS業務流量。您可以在源站信息列下單擊
上傳域名的HTTPS證書和私鑰。 更多信息,請參見上傳HTTPS證書。
開啟IPv6防護:如果網站有IPv6協議業務流量需要防護,您可以在快捷操作列下為域名開啟IPV6開關。
更多信息,請參見開啟IPv6防護。
開啟日志服務:在快捷操作列下為域名開啟日志服務后,WAF日志服務將采集網站的全量日志,支持用作查詢分析、儀表盤展示、設置告警等功能。更多信息,請參見快速使用WAF日志服務
說明日志服務是WAF提供的增值服務,必須開通后才能使用。更多信息,請參見步驟一:開通WAF日志服務。
設置防護資源:在快捷操作列下單擊防護資源后的
,為域名設置防護資源。 支持的防護資源類型包括:
查看攻擊監控報表:單擊攻擊監控列下的查看報表,跳轉到安全報表頁面,查看域名的防護報表。更多信息,請參見WAF安全報表。
設置防護策略:單擊操作列下的防護配置,跳轉到網站防護頁面,設置Web安全、Bot管理、訪問控制/限流防護模塊的防護策略。更多信息,請參見網站防護配置概述。
編輯域名:單擊操作列下的編輯,修改網站信息,例如協議類型、服務器地址、服務器端口等。不支持修改域名。
刪除域名:單擊操作列下的刪除,刪除域名。
警告在刪除域名前,請將域名DNS解析回服務器源站IP。否則,在刪除域名后,域名的流量將無法正常轉發。
域名接入WAF后,需保證域名備案信息的有效性。為符合相關法律法規要求,WAF會對已接入的域名進行定期輪詢檢查。若ICP備案到期后未及時續期,導致已接入WAF的域名處于未備案狀態,WAF會自動停止域名轉發。此時,您需要進行如下操作:
完成域名的ICP備案。
訪問網站接入頁面,在域名列表頁簽,單擊已完成ICP備案的域名操作列的再次接入防護。
管理域名ICP備案
域名接入WAF后,需保證域名備案信息的有效性。WAF會對已接入的域名進行定期輪詢檢查,若ICP備案到期后未及時續期,導致已接入WAF的域名處于未備案狀態,WAF會自動停止域名轉發。此時,您需要進行如下操作:
完成域名的ICP備案。
訪問網站接入頁面,在域名列表頁簽,單擊已完成ICP備案的域名操作列的再次接入防護。
查看域名DNS狀態
為了能快速識別DNS解析異常的風險域名,WAF提供域名DNS狀態檢測功能。您可以在接入列表查看域名的DNS狀態,并根據控制臺提示的異常原因,修改DNS解析設置。
DNS狀態 | 說明 | 相關操作 |
DNS解析正常 | 表示域名DNS正常解析到WAF。 | 無。 |
DNS解析異常,使用A記錄接入 | DNS解析使用A記錄接入,可能會導致業務中斷。 | 需要刪除A記錄,重新添加CNAME記錄,并將域名的DNS解析指向WAF提供的CNAME地址。具體操作,請參見修改域名DNS解析設置。 |
DNS解析異常,使用錯誤的WAF IP | DNS解析使用A記錄接入,且指向的WAF IP錯誤,可能會導致業務中斷。 | 需要刪除A記錄,重新添加CNAME記錄,并將域名的DNS解析指向WAF提供的CNAME地址。具體操作,請參見修改域名DNS解析設置。 |
DNS解析異常,使用錯誤的CNAME地址 | DNS解析使用CNAME記錄接入,但指向的CNAME地址錯誤,可能會導致業務中斷。 | 需要將CNAME記錄中的記錄值修改為WAF提供的CNAME地址。具體操作,請參見修改域名DNS解析設置。 |
DNS解析未知,域名啟用了代理 | WAF前啟用七層代理,但七層代理配置的域名回源地址可能不為WAF CNAME地址。 | 檢查代理配置的域名回源地址是否為WAF CNAME地址。 |
DNS校驗超時 | 無。 | 單擊 |
無DNS解析記錄,請接入WAF | 沒有DNS解析記錄,需要添加CNAME記錄將DNS解析指向WAF。 | 添加CNAME記錄將DNS解析指向WAF。具體操作,請參見修改域名DNS解析設置。 |
DNS未解析到WAF,請接入WAF | DNS未解析到WAF,需要修改CNAME記錄將DNS解析指向WAF。 | 修改CNAME記錄將DNS解析指向WAF。具體操作,請參見修改域名DNS解析設置。 |
圖標,重新進行DNS狀態檢測。常見問題
請參見常見問題中的網站接入配置問題。