本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
在Web應用防火墻(Web Application Firewall,簡稱WAF)添加網站域名后,您必須使用WAF的CNAME地址修改域名的DNS解析設置,將網站的Web請求解析到WAF進行安全防護。本文介紹了修改域名DNS的相關內容。
背景信息
WAF僅支持使用CNAME記錄,將被防護域名的Web請求解析到WAF。
在某些極端情況下(例如節點故障、機房故障等),CNAME記錄可以實現自動切換節點IP,甚至直接將解析切回源站,從而最大程度保證業務的穩定運行,提供高可用性和災備能力。
WAF不支持使用A記錄。
為提升系統穩定性與安全性,WAF默認為接入WAF的域名開啟VIP隔離功能,將您的域名與分配的VIP強綁定。如果您使用A記錄并將請求解析到VIP,在該域名的VIP發生改變時,例如開啟或關閉獨享IP或者智能負載均衡,將可能導致業務中斷。
如果您已使用A記錄接入,該域名的DNS狀態會顯示異常。您需要刪除A記錄,重新添加CNAME記錄,并將域名的DNS解析指向WAF提供的CNAME地址。
本文內容適用于為網站單獨開啟WAF防護,即網站不接入CDN、DDoS高防等其他代理型服務。如果您需要同時部署WAF和其他代理型服務,請參見以下文檔:
前提條件
已通過CNAME接入模式在WAF中手動添加要防護的網站信息。具體操作,請參見添加域名。
擁有在域名的DNS服務商處修改域名解析設置的權限。
已在源站服務器上放行WAF回源IP段。
如果您的源站服務器上使用了其他服務商的安全軟件或應用了特定的訪問控制策略,您必須在源站設置放行WAF回源IP段,避免由WAF轉發回源站服務器的正常流量被誤判斷為異常攻擊而被攔截,影響源站服務器的Web業務被正常訪問。具體操作,請參見放行WAF回源IP段。
已通過本地驗證確保轉發配置生效。
建議您在修改域名DNS解析設置前,通過本地驗證確保WAF的網站轉發配置正常,防止因配置錯誤導致業務中斷。具體操作,請參見本地驗證。
警告如果在WAF的網站轉發配置未生效時修改域名DNS解析設置,可能導致業務中斷。
獲取WAF CNAME地址
修改域名DNS前,您必須先獲取域名對應的WAF CNAME地址。如果您在添加域名時已經獲得相關地址,請忽略以下步驟。
登錄Web應用防火墻控制臺。
在左側導航欄,選擇。
在域名列表中定位到已添加的域名,將光標懸置在域名上,查看并復制域名對應的WAF CNAME地址。
使用云解析DNS修改域名解析
如果您的域名解析托管在阿里云云解析DNS,您可以直接參照以下步驟進行操作。如果您使用其他服務商的DNS服務,請參照以下步驟在域名DNS服務商的系統上進行類似配置。
登錄云解析DNS控制臺。
在域名解析頁面,定位到要設置的域名,單擊其操作列下的解析設置。
在解析設置頁面,定位到要設置的主機記錄,單擊其操作列下的修改。
關于主機記錄的選擇,以
aliyun.com域名為例:www: 用于精確匹配www開頭的域名,例如
www.aliyun.com。@: 用于匹配根域名,例如
aliyun.com。*: 用于匹配泛域名,包括所有子域名,例如
blog.aliyun.com、www.aliyun.com等。
在修改記錄對話框,選擇記錄類型為CNAME,修改記錄值為WAF CNAME地址,其余設置保持不變。
修改DNS解析記錄時,需要注意以下情況:
TTL值一般建議設置為10分鐘。TTL值越大,DNS記錄的同步和更新越慢。
修改域名解析時,可能由于記錄類型不同而產生沖突。
對于同一個主機記錄,CNAME解析記錄值只能填寫一個,您需要將其修改為WAF CNAME地址。
不同DNS解析記錄類型間存在沖突。例如,對于同一個主機記錄,CNAME記錄與A記錄、MX記錄、TXT記錄等其他記錄互相沖突。在無法直接修改記錄類型的情況下,您可以先刪除存在沖突的其他記錄,再添加一條新的CNAME記錄。
警告刪除其他解析記錄并新增CNAME解析記錄的過程應盡可能在短時間內完成。如果刪除A記錄后長時間沒有添加CNAME解析記錄,可能導致域名無法正常解析。
單擊確定,完成解析設置修改,等待修改后的DNS解析記錄生效。
驗證DNS解析設置。您可以ping網站域名或使用DNS檢測工具驗證DNS解析是否生效。
說明由于DNS解析記錄生效需要一定時間,如果驗證失敗,您可以等待10分鐘后重新驗證。