日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

通過CNAME方式接入域名

重要

本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業(yè)務造成影響,請務必仔細閱讀。

開通Web 應用防火墻 WAF(Web Application Firewall)后,如何通過CNAME接入方式, 將網(wǎng)站域名添加到Web應用防火墻WAF中進行安全防護。您將了解到如何配置CNAME記錄,以及如何驗證和確認域名的添加是否成功。跟隨本文的指導,您可以輕松、快速地為您的網(wǎng)站添加WAF,以確保網(wǎng)站正常運行并受到WAF的安全防護。

防護原理

通過CNAME接入將網(wǎng)站域名添加到WAF后,網(wǎng)站所有的業(yè)務流量將被引流到WAF進行檢測。WAF過濾Web應用攻擊后,將正常的業(yè)務流量轉發(fā)回源站服務器,從而保障網(wǎng)站的業(yè)務安全和數(shù)據(jù)安全。此時,WAF作為一個反向代理集群,同時參與流量的檢測和轉發(fā)。

image

前提條件

  • 已開通WAF 3.0服務。具體操作,請參見開通包年包月WAF 3.0開通按量付費WAF 3.0

  • 如果您的網(wǎng)站部署在中國內(nèi)地服務器上,您需要確保該網(wǎng)站的域名已完成ICP(Internet Content Provider)備案,且接入WAF防護期間備案信息是有效的。

    說明

    中國內(nèi)地WAF實例會定期檢查所防護域名備案信息的有效性。如果域名備案信息已過期,WAF會按照相關法律法規(guī)要求,對域名執(zhí)行未備案治理,治理方式包括但不限于停止轉發(fā)站點請求、清除備案失效的域名配置等。更多信息,請參見未備案不得提供非經(jīng)營性互聯(lián)網(wǎng)信息服務

    • 如果該網(wǎng)站部署在阿里云上,您需要在阿里云進行ICP備案。具體操作,請參見ICP備案流程

      您可以在網(wǎng)站底部查看域名是否已完成ICP備案。下圖以阿里巴巴官網(wǎng)為例,展示網(wǎng)站添加ICP備案號后的效果。備案

    • 如果該網(wǎng)站沒有部署在阿里云上,您可以聯(lián)系阿里云或其他云廠商進行ICP備案。

操作步驟

  1. 登錄Web應用防火墻3.0控制臺。在頂部菜單欄,選擇WAF實例的資源組和地域(中國內(nèi)地非中國內(nèi)地

  2. 在左側導航欄,單擊接入管理

  3. CNAME接入頁簽,單擊接入

  4. 配置監(jiān)聽向導頁,完成如下配置后,單擊下一步

    配置項

    配置說明

    域名

    填寫要防護的域名,包括精確域名(例如www.aliyundoc.com)或通配符域名(例如*.aliyundoc.com)。僅支持填寫一個域名。

    如果您是首次添加該域名,需要驗證是否擁有該域名的歸屬權。通過后,才能添加域名。具體操作,請參見驗證域名歸屬權

    說明
    • 通配符域名不僅可以匹配所有同級別的子域名,還能匹配不同級別的子域名。例如,*.aliyundoc.com能夠匹配www.aliyundoc.comexample.aliyundoc.comwww.example.aliyundoc.com等多級域名。

    • 二級通配符域名能夠匹配對應的二級主域名,例如,*.aliyundoc.com能夠匹配aliyundoc.com

    • 三級通配符域名不能匹配對應的三級主域名,例如,*.example.aliyundoc.com不能匹配example.aliyundoc.com

    • 如果防護對象中同時存在精確域名和能夠匹配該精確域名的通配符域名,精確域名的防護規(guī)則優(yōu)先生效。

    協(xié)議類型

    選擇網(wǎng)站使用的協(xié)議類型并填寫對應端口。每輸入一個端口,按回車確認。

    說明

    填寫的端口必須在可選端口范圍內(nèi)。您可以單擊查看端口范圍,查看WAF支持的HTTPHTTPS端口。更多信息,請參見WAF支持的端口范圍

    • 選中HTTPS后,您還需要將網(wǎng)站域名關聯(lián)的SSL證書上傳到WAF,使WAF監(jiān)聽和防護網(wǎng)站的HTTPS業(yè)務流量。

      HTTPS證書上傳方式區(qū)域,選擇證書上傳方式,并完成配置。

      說明

      WAF 共享虛擬主機定制版不支持 HTTPS。

      手動上傳

      選中手動上傳,并填寫證書名稱證書文件(格式示例:-----BEGIN CERTIFICATE-----......-----END CERTIFICATE-----)、私鑰文件(格式示例:-----BEGIN RSA PRIVATE KEY-----......-----END RSA PRIVATE KEY-----)。

      重要
      • 如果證書是PEM、CER、CRT格式,您可以使用文本編輯器直接打開證書文件,并復制其中的文本內(nèi)容;如果是其他格式(例如PFX、P7B等),您必須將證書文件轉換成PEM格式后,才可以使用文本編輯器獲取其中的文本內(nèi)容。您可以登錄數(shù)字證書管理服務控制臺,使用證書格式轉換工具進行轉換。具體操作,請參見證書格式轉換

      • 如果域名關聯(lián)了多個SSL證書(例如存在證書鏈),您必須將證書文件中的文本內(nèi)容拼接后,再上傳到WAF。

      選擇已有證書

      如果您的證書為如下兩種情況,您可以選中選擇已有證書,從證書下拉列表中選擇要上傳到WAF的證書。

      • 證書已通過阿里云數(shù)字證書管理服務(原 SSL 證書)簽發(fā)。

      • 證書為第三方證書,且已上傳到數(shù)字證書管理服務

      • 重要

        選擇上傳到數(shù)字證書管理服務的第三方證書時,WAF控制臺提示證書鏈完整性校驗失敗,使用該證書可能會影響您的業(yè)務訪問,可能是選擇的證書存在問題。您可以單擊云盾-證書服務,在數(shù)字證書管理服務控制臺重新上傳新的證書。具體操作,請參見上傳和共享SSL證書

      申請新證書

      選中申請新證書,單擊立即申請,在數(shù)字證書管理服務為域名快速申請一張SSL證書。

      說明
      • 快速申請證書僅支持申請付費GeoTrust DV(Domain Validation)單域名證書。如果您需要申請其他類型的證書,請通過數(shù)字證書管理服務購買。更多信息,請參見購買SSL證書

      • 按照數(shù)字證書管理服務控制臺提示為域名配置證書后,證書將自動上傳到WAF。

      如果您的網(wǎng)站要同時支持國密SM2算法,您需要上傳國密證書。包年包月版和按量付費版均支持該功能。

      說明

      WAF當前僅支持與客戶端通過國密算法進行TLS握手,不支持和源站通過國密SM2算法進行TLS握手,即WAF到源站不支持國密HTTPS。

      1. 打開開啟國密HTTPS開關。

      2. 國密HTTPS證書上傳方式區(qū)域,選擇證書上傳方式,并完成配置。

        • 手動上傳

          選中手動上傳,并填寫證書名稱國密加密證書國密加密私鑰國密簽名證書國密簽名私鑰

          重要

          國密證書通常是PEM格式,一般包含四個文件:

          • 國密加密證書(例如server_enc.pem)和國密加密私鑰(例如server_enc.key

          • 國密簽名證書(例如server_sign.pem)和國密簽名私鑰(例如server_sign.key

          您可以使用文本編輯工具打開文件,復制其中的內(nèi)容并粘貼到文本框。

          如果您的國密證書是其他格式(例如PFX、P7B等),您必須將證書文件轉換成PEM格式。具體操作,請參見證書格式轉換

        • 選擇已有證書

          如果您的證書為如下兩種情況,您可以選中選擇已有證書,從證書下拉列表中選擇要上傳到WAF的證書。

          • 證書已通過阿里云數(shù)字證書管理服務簽發(fā)。

          • 證書為第三方證書,且已上傳到數(shù)字證書管理服務

        • 申請新證書

          選中申請新證書,單擊立即申請,在數(shù)字證書管理服務為域名快速申請一張國密SSL證書。

          說明
          • 快速申請國密證書可申請付費CFCAvTrus證書。

          • 按照數(shù)字證書管理服務控制臺提示,為域名購買證書并完成證書簽發(fā)后,證書將自動上傳到WAF。

      3. 可選:如果您的網(wǎng)站只允許國密客戶端訪問,您可以打開僅支持國密客戶端訪問開關。

    • 選中HTTPS并配置證書后,您也可以根據(jù)業(yè)務需要,進行如下操作:

      • 如果您的網(wǎng)站支持HTTP 2.0協(xié)議,您可以選中HTTP2,開啟HTTP 2.0業(yè)務防護。

        說明

        HTTP 2.0協(xié)議的端口與HTTPS協(xié)議端口一致。

      • 高級配置

        • 開啟HTTPS的強制跳轉(默認不開啟)

          如果您希望將客戶端的HTTP請求強制轉換為HTTPS請求(默認跳轉到443端口),以提高安全性,可開啟該功能。開啟該功能后會默認開啟HTTP嚴格傳輸安全(HTTP Strict Transport Security,HSTS),配置HSTS響應頭,確保始終使用HTTPS請求連接。

          重要

          只有在未選中HTTP協(xié)議時,支持開啟該功能。

        • TLS協(xié)議版本

          自定義HTTPS通信中允許使用的TLS協(xié)議版本。如果客戶端使用不符合要求的協(xié)議版本,WAF會丟棄其請求流量。此處設置的協(xié)議版本越高,通信安全性越好,但兼容性會有所降低。

          建議您根據(jù)網(wǎng)站本身的HTTPS配置,選擇允許WAF監(jiān)聽的TLS協(xié)議版本。如果您不清楚網(wǎng)站的HTTPS配置,建議使用默認選項。

          可選項:

          • 支持TLS1.0及以上版本,兼容性最高,安全性較低(默認)

          • 支持TLS1.1及以上版本,兼容性較好,安全性較好

            使用該選項后,如果客戶端使用TLS 1.0版本,將無法訪問網(wǎng)站。

          • 支持TLS1.2及以上版本,兼容性較好,安全性最高

            使用該選項后,如果客戶端使用TLS 1.01.1版本,將無法訪問網(wǎng)站。

          如果您的網(wǎng)站支持TLS 1.3協(xié)議,請選中開啟支持TLS1.3。WAF默認不監(jiān)聽TLS 1.3協(xié)議的客戶端請求。

        • HTTPS加密套件

          自定義HTTPS通信中允許使用的加密套件。如果客戶端使用不符合要求的加密套件,WAF會丟棄其請求流量。

          默認已選擇WAF支持的全部加密套件。建議您只在網(wǎng)站只支持特定加密套件的前提下,再修改該配置。

          可選項:

          • 全部加密套件,兼容性較高,安全性較低(默認)支持以下強加密套件和弱加密套件:

            • 強加密套件

              • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

              • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

              • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

              • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

              • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

              • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

              • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

              • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

              • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

              • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

              說明

              TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

              TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

              加密套件由于使用RSA加密算法與AESCBC加密模式,與使用AESGCM加密模式或者ECDSA加密算法相比安全性會略有遜色,在一些安全性檢測工具中存在被歸屬為弱加密套件的情況。

            • 弱加密套件

              • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

              • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

              • TLS_RSA_WITH_AES_128_GCM_SHA256

              • TLS_RSA_WITH_AES_256_GCM_SHA384

              • TLS_RSA_WITH_AES_128_CBC_SHA256

              • TLS_RSA_WITH_AES_256_CBC_SHA256

              • TLS_RSA_WITH_AES_128_CBC_SHA

              • TLS_RSA_WITH_AES_256_CBC_SHA

              • SSL_RSA_WITH_3DES_EDE_CBC_SHA

          • 協(xié)議版本的自定義加密套件、請謹慎選擇,避免影響業(yè)務:如果您的網(wǎng)站本身只支持特定的加密套件,請選擇該選項,并從WAF支持的加密套件中選擇網(wǎng)站支持的加密套件。

            如果客戶端使用其他加密套件,將無法訪問網(wǎng)站。

    WAF前是否有七層代理(高防/CDN等)

    網(wǎng)站在接入WAF前是否啟用了其他七層代理服務(例如DDoS高防、CDN等)。

    • 無其他代理服務,選擇(默認)

      表示WAF收到的業(yè)務請求由客戶端直接發(fā)起,而非通過其他代理服務轉發(fā)。該場景下,WAF會直接獲取與WAF建立連接的IP(來自請求的REMOTE_ADDR字段)作為客戶端IP。

    • 有其他代理服務,選擇

      表示WAF收到的業(yè)務請求來自其他七層代理服務轉發(fā),而非客戶端直接發(fā)起。為保證WAF可以獲取真實的客戶端IP進行安全分析,您需要進一步設置客戶端IP判定方式

      可選項:

      • (默認)X-Forwarded-For中的第一個IP作為客戶端源IP

        WAF默認讀取請求Header字段X-Forwarded-For(XFF)中的第一個IP地址作為客戶端IP。

      • 【推薦】取指定Header字段中的第一個IP作為客戶端源IP,避免XFF偽造

        如果您的網(wǎng)站業(yè)務已通過其他代理服務的設置,規(guī)定將客戶端源IP放置在某個自定義的Header字段(例如,X-Client-IP、X-Real-IP),則您需要選擇該選項,并在指定Header字段框中輸入對應的Header字段。

        說明

        推薦您在業(yè)務中使用自定義Header存放客戶端IP,并在WAF中配置對應Header字段。該方式可以避免攻擊者偽造XFF字段,躲避WAF的檢測規(guī)則,提高業(yè)務的安全性。

        支持輸入多個Header字段。每輸入完一個Header字段,按回車進行確認。如果設置了多個Header,WAF將按順序嘗試讀取客戶端IP。如果第一個Header不存在,則讀取第二個,以此類推。如果所有指定Header都不存在,則讀取XFF中第一個IP地址作為客戶端IP。

    更多配置

    • 開啟IPv6

      WAF默認只處理IPv4業(yè)務流量。如果您的網(wǎng)站支持IPv6協(xié)議,您可以開啟該功能,將IPv6業(yè)務流量接入WAF進行防護。WAF會為當前域名分配一個IPv6WAF IP地址,用于處理IPv6客戶端的請求流量。

    • 開啟獨享IP

      接入WAF防護的所有域名默認由一個WAF IP來防護。開啟獨享IP后,WAF會額外分配一個專用的WAF IP(即獨享IP),來監(jiān)聽該域名的業(yè)務請求。當其他域名遭受大流量DDoS攻擊時,啟用獨享IP的域名不會受到該影響。更多信息,請參見域名獨享IP

      如果您的域名需要使用獨享IP防護,可開啟該功能。

      重要
      • 針對包年包月實例,僅高級版、企業(yè)版、旗艦版付費支持獨享IP。

      • 按量付費實例按實際開啟的獨享IP數(shù)結算費用。更多信息,請參見按量付費計費說明

    • 防護資源

      選擇要使用的防護資源類型。

      • 共享集群(默認)

      • 共享集群智能負載均衡

        開啟共享集群智能負載均衡后,WAF將為當前域名提供至少三個不同地域的防護節(jié)點,實現(xiàn)異地多節(jié)點自動容災,同時通過智能DNS解析能力和Least-time回源算法,保證業(yè)務流量從接入防護節(jié)點到轉發(fā)回源站服務器整個鏈路的時延最短。更多信息,請參見智能負載均衡

        重要
        • 針對包年包月實例,僅高級版、企業(yè)版、旗艦版付費支持共享集群智能負載均衡。您可以在總覽頁面單擊立即升級,啟用智能負載均衡后,開啟共享集群智能負載均衡。更多信息,請參見升級與降配

        • 按量付費實例按是否啟用共享集群智能負載均衡結算費用。更多信息,請參見按量付費計費說明

        • 開啟共享集群智能負載均衡后,不支持開啟IPv6、獨享IP。

    資源組

    從資源組下拉列表中選擇該域名所屬資源組。如果不選擇,則默認加入默認資源組

    說明

    您可以使用資源管理服務創(chuàng)建資源組,根據(jù)業(yè)務部門、項目等維度對云資源進行分組管理。更多信息,請參見創(chuàng)建資源組

  5. 配置轉發(fā)向導頁,完成如下配置后,單擊提交

    配置項

    說明

    負載均衡算法

    如果源站有多個服務器地址,您可以根據(jù)業(yè)務需要,選擇不同的負載均衡算法,使WAF將回源請求轉發(fā)到對應的服務器,實現(xiàn)負載均衡。可選項:

    • IP hash(默認)

      將來自同一個客戶端IP的請求固定轉發(fā)到的一個源站服務器地址。

    • 輪詢

      將所有請求輪流分配給不同的源站服務器。

    • Least time

      通過智能DNS解析能力和Least-time回源算法,保證業(yè)務流量從接入WAF到轉發(fā)回源站服務器整個鏈路的路徑及時延最短。

      重要

      如需使用Least time算法,必須確認配置監(jiān)聽時,將防護資源設置為共享集群智能負載均衡。更多信息,請參見配置防護資源

    服務器地址

    填寫網(wǎng)站對應的源站服務器的公網(wǎng)IP地址或源站域名,用于接收WAF轉發(fā)回源的正常業(yè)務請求(回源請求)。可選項:

    • IP

      • 必須為公網(wǎng)可達的IP地址。

      • 支持填寫多個IP地址。每填寫一個IP地址,按回車進行確認。最多支持添加20個源站IP。

        說明

        如果設置了多個源站IP地址,WAF會將回源請求轉發(fā)到不同的源站,實現(xiàn)負載均衡。

      • 支持同時配置IPv4IPv6地址,或者只配置IPv4地址,只配置IPv6地址。

        同時配置IPv4IPv6地址時,來自IPv4客戶端的請求將被轉發(fā)到IPv4源站,來自IPv6客戶端的請求將被轉發(fā)到IPv6源站。

        重要

        如需配置IPv6回源,必須確保在配置監(jiān)聽時,開啟了IPv6防護。更多信息,請參見開啟IPv6

      重要

      如網(wǎng)站對應的源站服務器的公網(wǎng)IP地址變更,需要手動

      添加新的回源IP。

    • 域名(如CNAME)

      服務器地址為域名時,只支持IPv4地址,暫不支持IPv6地址,即WAF只會將客戶端請求轉發(fā)到源站域名解析出來的IPv4地址。

    開啟備鏈路回源

    當主鏈路回源地址都不通的情況下,會自動切換到備鏈路配置的回源地址上,切換生效時間30秒內(nèi)。當主鏈路地址恢復時,可自動切換到主鏈路回源地址上。配置內(nèi)容:

    • IP

      • 必須為公網(wǎng)可達的IP地址。

      • 支持填寫多個IP地址。每填寫一個IP地址,按回車進行確認。最多支持添加20個源站IP。

        說明

        如果設置了多個源站IP地址,WAF會將回源請求轉發(fā)到不同的源站,實現(xiàn)負載均衡。

      • 支持同時配置IPv4IPv6地址,或者只配置IPv4地址,只配置IPv6地址。

        同時配置IPv4IPv6地址時,來自IPv4客戶端的請求將被轉發(fā)到IPv4源站,來自IPv6客戶端的請求將被轉發(fā)到IPv6源站。

        重要

        如需配置IPv6回源,必須確保在配置監(jiān)聽時,開啟了IPv6防護。更多信息,請參見開啟IPv6

      重要

      如網(wǎng)站對應的源站服務器的公網(wǎng)IP地址變更,需要手動

      添加新的回源IP。

    • 域名(如CNAME)

      服務器地址為域名時,只支持IPv4地址,暫不支持IPv6地址,即WAF只會將客戶端請求轉發(fā)到源站域名解析出來的IPv4地址。

    HTTPS高級設置

    • 開啟HTTP回源

      HTTP回源表示WAF使用HTTP協(xié)議向源站轉發(fā)回源請求,默認回源端口是80。開啟該功能后,無論客戶端訪問WAF的端口是80443,WAF轉發(fā)的請求都會通過80端口訪問源站。開啟HTTP回源可以在無需改動源站服務器的前提下,通過WAF實現(xiàn)HTTP訪問,幫助您降低網(wǎng)站的負載損耗。

      重要

      如果您的網(wǎng)站不支持HTTPS回源,請務必開啟該設置。

    • 啟用回源SNI

      回源SNI(Server Name Indicator extension)表示WAF轉發(fā)客戶端請求到源站服務器,在與源站進行TLS握手時,通過SNI擴展字段指定要訪問的主機,并與該主機建立HTTPS連接。如果您的源站服務器有多個虛擬主機(對應不同域名),則需要開啟該設置。

      選中啟用回源SNI后,您可以進一步設置SNI擴展字段的值。可選項:

      • 與實際請求host保持一致(默認)

        表示WAF回源請求中SNI擴展字段的值與請求頭中Host字段的值保持一致。

        例如,您配置的網(wǎng)站域名為*.aliyundoc.com,客戶端實際請求了www.aliyundoc.com(即Host字段值),則WAF回源請求中SNI擴展字段的值為www.aliyundoc.com

      • 自定義

        表示您自定義WAF回源請求中SNI擴展字段的值。

        一般情況無需自定義SNI,除非您的業(yè)務有特殊配置要求,希望WAF在回源請求中使用與實際請求Host不一致的SNI(即此處設置的自定義SNI)。

    其它高級設置

    • 通過X-Forwarded-Proto頭字段獲取WAF的監(jiān)聽協(xié)議

      WAF 3.0 會默認為經(jīng)過的 HTTP 請求自動插入 X-Forwarded-Proto 頭部,用于標識與 WAF 之間的通信協(xié)議使用的是HTTP還是HTTPS協(xié)議訪問代理服務器。如果您的網(wǎng)站應用程序無法正確處理該頭部,可能會導致一些兼容性問題,影響業(yè)務正常運行。您可以選擇關閉 WAF 自動插入該頭部的功能,避免此類問題發(fā)生。

    • 啟用流量標記

      啟用流量標記可以幫助源站區(qū)分經(jīng)過WAF的請求,獲取客戶真實源IP或源端口。

      例如,如果攻擊者在域名接入WAF前,已獲取源站IP信息,并通過購買其他WAF實例,將請求回源到目標源站時,您可以在源站對啟用流量標記的字段進行校驗。如果請求中存在指定標記字段,則為WAF檢測后的正常請求,放行該請求;如果請求中不存在指定標記字段,則為攻擊者請求,攔截該請求。

      您可以配置如下類型的標記字段:

      • 自定義Header

        通過配置HeaderHeader,使WAF在回源請求中添加該Header信息,標記經(jīng)過WAF的請求(區(qū)分沒有經(jīng)過WAF的請求,便于您的后端服務統(tǒng)計分析)。

        例如,您可以使用ALIWAF-TAG: Yes標記經(jīng)過WAF的請求,其中,ALIWAF-TAGHeader名,YesHeader值。

      • 客戶端真實源IP

        通過配置真實客戶端源IP所在的頭部字段名,WAF可記錄該頭部字段并將該頭部字段傳遞回源站。關于WAF判定客戶端真實源IP的具體規(guī)則,請參見WAF前是否有七層代理(高防/CDN等)參數(shù)的描述。

      • 客戶端真實源端口

        通過配置真實客戶端源端口所在的頭部字段名,WAF可記錄該頭部字段并將該頭部字段傳遞回源站。

      重要

      請不要填寫標準的HTTP頭部字段(例如User-Agent等),否則會導致標準頭部字段內(nèi)容被自定義的字段值覆蓋。

      單擊新增標記,可以增加標記字段。最多支持設置5個標記字段。

    • 設置WAF回源到源站的超時時間

      • 設置新建連接超時時間:WAF與源站建立連接的超時時間,默認值為5s,可配置范圍為1s~3600s。

      • 設置讀連接超時時間:等待源站響應的超時時間,默認值為120s,可配置范圍為1s~3600s。

      • 設置寫連接超時時間:WAF向源站發(fā)送請求的超時時間,默認值為120s,可配置范圍為1s~3600s。

    • 回源重試

      開啟該功能后,如果回源失敗,WAF會默認為每個源站嘗試回源三次。關閉該功能后,如果回源失敗,WAF將不再進行重試。

    • 回源長連接

      開啟該功能后,您還需要進行如下設置:

      • 復用長連接的請求個數(shù):默認值為1,000個,可配置范圍為60個~1,000個。

      • 空閑長連接超時時間:默認值為15s,可配置范圍為1s~60s。

      說明

      關閉該功能后,回源長連接將不支持WebSocket協(xié)議。

  6. 接入完成向導頁,獲取WAF提供的CNAME地址,并根據(jù)頁面提示將域名的DNS解析地址設置為WAF提供的CNAME地址。具體操作,請參見修改域名DNS解析設置

    重要

    在修改域名DNS解析設置前,請確認如下內(nèi)容:

    • 已通過本地驗證確保轉發(fā)配置生效。如果在WAF的網(wǎng)站轉發(fā)配置未生效時修改域名DNS,可能導致業(yè)務中斷。更多信息,請參見本地驗證

    • 如果源站服務器安裝了其他防火墻應用,您需要將WAF IP地址添加到應用的白名單,避免WAF轉發(fā)回源站的正常業(yè)務請求被誤攔截。您可以單擊Web應用防火墻回源IP網(wǎng)段列表,查看并復制WAF回源IP地址段。更多信息,請參見放行WAF回源IP

    復制CNAME

    完成以上配置后,您可以執(zhí)行如下操作,檢測域名是否添加成功:

    • 在瀏覽器輸入已添加的域名,如果網(wǎng)站能正常訪問,表示域名添加成功。

    • 在瀏覽器輸入已添加的域名和Web攻擊代碼(例如<被防護域名>/alert(xss)alert(xss)為用作測試的跨站腳本攻擊代碼),如果返回405攔截提示頁面,表示攻擊被攔截,WAF防護成功。

    重要

    通過CNAME方式接入的域名會做ICP備案校驗。WAF會定期檢查已接入域名的備案情況,已接入的域名,也可能出現(xiàn)備案過期的情況,一旦檢查到過期,會自動停止域名的轉發(fā),如下圖所示。image

    已接入域名備案過期后,您需要重新申請備案,備案成功后回到CNAME接入頁面,點擊再次接入防護按鈕。

更多操作

查看域名DNS狀態(tài)

為了能快速識別DNS解析異常的風險域名,WAF提供域名DNS狀態(tài)檢測功能。您可以在接入列表查看域名的DNS狀態(tài),并根據(jù)控制臺提示的異常原因,修改DNS解析設置。

DNS狀態(tài)

DNS狀態(tài)

說明

相關操作

DNS解析正常

表示域名DNS正常解析到WAF。

無。

DNS解析異常,使用A記錄接入

DNS解析使用A記錄接入,可能會導致業(yè)務中斷。

需要刪除A記錄,重新添加CNAME記錄,并將域名的DNS解析指向WAF提供的CNAME地址。具體操作,請參見修改域名DNS解析設置

DNS解析異常,使用錯誤的WAF IP

DNS解析使用A記錄接入,且指向的WAF IP錯誤,可能會導致業(yè)務中斷。

需要刪除A記錄,重新添加CNAME記錄,并將域名的DNS解析指向WAF提供的CNAME地址。具體操作,請參見修改域名DNS解析設置

DNS解析異常,使用錯誤的CNAME地址

DNS解析使用CNAME記錄接入,但指向的CNAME地址錯誤,可能會導致業(yè)務中斷。

需要將CNAME記錄中的記錄值修改為WAF提供的CNAME地址。具體操作,請參見修改域名DNS解析設置

DNS解析未知,域名啟用了代理

WAF前啟用七層代理,但七層代理配置的域名回源地址可能不為WAF CNAME地址。

檢查代理配置的域名回源地址是否為WAF CNAME地址。

DNS校驗超時

無。

單擊update圖標,重新進行DNS狀態(tài)檢測。

DNS解析記錄,請接入WAF

沒有DNS解析記錄,需要添加CNAME記錄將DNS解析指向WAF。

添加CNAME記錄將DNS解析指向WAF。具體操作,請參見修改域名DNS解析設置

DNS未解析到WAF,請接入WAF

DNS未解析到WAF,需要修改CNAME記錄將DNS解析指向WAF。

修改CNAME記錄將DNS解析指向WAF。具體操作,請參見修改域名DNS解析設置

為域名綁定或解除標簽

您可以為接入WAF的域名綁定標簽,并通過已綁定標簽快速查找指定資源。

  • 單個綁定或解除標簽

    1. 定位到目標域名,將鼠標懸停在標簽列的編輯圖標上,如果該域名未新增標簽,單擊綁定,如果該域名已有標簽,單擊編輯

    2. 編輯標簽對話框,選擇或輸入標簽鍵,并填寫標簽值

      說明
      • 一次最多綁定20標簽鍵,允許標簽值為空。

      • 輸入標簽鍵標簽值時,最多支持128個字符,不支持以aliyunacs:開頭,且不能包含http://https://

      • 標簽可以在接入時為域名綁定,也可以在配置防護策略時為域名對應的防護對象綁定,且同時生效。即為域名綁定標簽后,對應的防護對象也會被綁定該標簽。

      綁定標簽后,您可以通過域名列表上方的標簽篩選,查找已綁定標簽的域名。

    3. 可選:如果您不再使用該標簽,可在編輯標簽對話框,單擊目標標簽的刪除圖標,刪除該標簽。

  • 批量綁定或解除標簽

    選中多個域名,單擊列表下方的增加標簽刪除標簽

修改或刪除已接入的域名

警告

在刪除域名前,請務必先將域名的解析地址改回接入WAF前的配置,例如,設置為源站服務器的IP地址等。否則,將使WAF無法轉發(fā)正常業(yè)務請求到源站,導致網(wǎng)站無法被訪問。

定位到目標域名,單擊操作列的編輯刪除

設置默認SSLTLS策略

所有域名接入同一個WAF實例后,會綁定同一個WAF VIP用于監(jiān)聽相關業(yè)務請求。

為滿足不同場景下對HTTPS通信安全合規(guī)和兼容性的要求,WAF支持為IPv4版本的VIP自定義SSL證書或TLS策略。您可以在進行合規(guī)掃描檢測前,為VIP上傳符合合規(guī)要求的HTTPS證書,禁用、啟用某些特定版本的TLS協(xié)議和加密套件。

說明

如果您購買并啟用了獨享IP,該配置同樣會在獨享IP生效。關于獨享IP的更多信息,請參見域名獨享IP

  1. 在接入列表上方,單擊默認SSL/TLS設置image.png

  2. 默認SSL/TLS設置對話框,完成如下配置后,單擊確定

    配置項

    說明

    HTTPS證書上傳方式

    上傳SSL證書。具體操作與域名證書上傳方式相同,請參見上傳證書

    TLS協(xié)議版本

    選擇要啟用的TLS協(xié)議版本。可選項:

    • 支持TLS 1.0及以上版本,兼容性最高,安全性較低(默認)

    • 支持TLS 1.1及以上版本,兼容性較好,安全性較好

    • 支持TLS 1.2及以上版本,兼容性較好,安全性最高

    如果要啟用TLS 1.3協(xié)議,選中開啟支持TLS1.3

    HTTPS加密套件

    選擇要啟用的加密套件。可選項:

    • 全部加密套件,兼容性較高,安全性較低(默認)

    • 協(xié)議版本的自定義加密套件,請謹慎選擇,避免影響業(yè)務

      關于支持自定義的加密套件,請參見WAF支持的加密套件

更新域名綁定的證書

如果證書即將到期或其他原因導致證書發(fā)生變更(例如證書被吊銷)時,您需要更新域名綁定的證書。

說明
  • 證書的剩余有效期不足30個自然日時,WAF會在接入列表的證書信息處,通過image.png圖標,提示您的證書即將過期,請盡快更新證書。

  • 如果您希望在證書即將到期時,收到郵件、短信等提醒,您可以設置SSL證書消息提醒,具體操作,請參見設置SSL證書消息提醒

  • 為避免您的業(yè)務因證書到期無法正常使用,您可以開通阿里云數(shù)字證書管理服務(原 SSL 證書)的證書托管服務,在證書即將到期時幫您自動申請并更新證書。更多信息,請參見什么是托管服務

具體操作如下所示:

  1. 續(xù)費證書或將第三方證書上傳到數(shù)字證書管理服務(原 SSL 證書)。具體操作,請參見SSL證書續(xù)費上傳和共享SSL證書

  2. 同步證書到WAF。

    • 數(shù)字證書管理服務(原 SSL 證書)控制臺部署證書到WAF。具體操作,請參見部署SSL證書到阿里云產(chǎn)品

    • WAF控制臺上傳證書。

      1. CNAME接入列表,定位到目標域名,單擊操作列的編輯

      2. HTTPS證書上傳方式區(qū)域,選中選擇已有證書,并重新選擇更換后的證書。

后續(xù)操作

完成接入后,WAF會自動生成一個命名為“域名-waf”的防護對象,并為該防護對象默認開啟Web核心防護規(guī)則。您可以在防護配置 > 防護對象頁面,查看自動添加的防護對象,并為其配置防護規(guī)則。防護對象

相關文檔