使用CNAME接入方式接入云WAF前,先要添加需要防护的域名。本文介绍如何将要防护的域名添加到云WAF。
前提条件
- 已购买WAF实例,且当前实例支持接入的域名数量未超过限制。
- 如果您已购买云WAF实例,您必须先为域名完成ICP备案,才可以将网站接入云WAF。如何备案请参见新增备案。
说明根据《非经营性互联网信息服务备案管理办法》第五条规定:在中华人民共和国境内提供非经营性互联网信息服务,应当依法履行备案手续。未经备案,不得在中华人民共和国境内从事非经营性互联网信息服务。本办法所称在中华人民共和国境内提供非经营性互联网信息服务,是指在中华人民共和国境内的组织或个人利用通过互联网域名访问的网站或者利用仅能通过互联网IP地址访问的网站,提供非经营性互联网信息服务。第十九条规定:互联网接入服务提供者应当记录其接入的非经营性互联网信息服务提供者的备案信息。
操作步骤
-
登录天翼云控制中心。
-
单击页面顶部的区域选择框,选择区域。
-
在产品服务列表页,选择“安全 > Web应用防火墙(原生版)”。
-
进入到云WAF控制台,在左侧导航栏选择“域名接入”进入域名列表页。
-
点击“添加域名”进入域名接入信息配置页,依次配置“域名”、“服务器配置”、“代理情况”、“负载均衡策略”等信息。
配置项说明如下:
配置项 说明 域名 填写网站域名,可添加精确域名和泛域名:
精确域名:支持多级别精确域名,例如主域名ctyun.cn、子域名www.ctyun.cn等。
泛域名:支持使用泛域名格式,例如*.ctyun.cn可以匹配www.ctyun.cn、test.ctyun.cn。
说明使用泛域名后,WAF将自动匹配该泛域名对应的所有子域名,例如,*.ctyun.cn能够匹配www.ctyun.cn、test.ctyun.cn等。
泛域名不支持匹配对应的主域名,例如*.ctyun.cn不能匹配ctyun.cn。
如果同时存在精确域名和泛域名,则精确域名的转发规则和防护策略优先生效。
添加的域名必须通过工信部ICP备案,若未备案则无法添加。
服务器配置 单击“添加一个服务器端口组”,弹出新增服务器端口组窗口。 选择网站使用的协议类型以及对应的转发服务端口:
协议类型:HTTP/HTTPS。
端口:选中协议后,系统会对应设置默认端口,HTTP协议默认为80端口,HTTPS协议默认为443端口。用户也可自定义选择其他端口,可选类型:
标准端口:80、8080;443、8443。
非标端口:除以上标准端口以外的端口。
说明- 如果防护域名使用非标准端口,请查看WAF支持的端口。
- WAF通过此处添加的端口为网站提供流量的接入与转发服务,网站域名的业务流量只通过已添加的服务端口进行转发。对于未添加的端口,WAF不会转发任何该端口的访问请求流量到源站服务器,因此这些端口的启用不会对源站服务器造成任何安全威胁。
源站地址:设置网站的源站服务器地址,支持IP地址格式和域名(如CNAME)格式。完成接入后,WAF将过滤后的访问请求转发到此处设置的服务器地址。设置说明如下:
IP地址格式:填写源站的公网IP地址。需要为公网可达的IP地址。
支持填写多个IP地址,每填写一个IP地址,按回车进行确认。
最多支持添加20个源站IP或20个服务器域名。
支持同时配置IPv4和IPv6地址。
域名格式:一般对应该域名在DNS服务商处配置的CNAME。使用域名格式时, WAF会将客户端请求转发到回源域名解析出来的IP地址。
证书配置 若选择HTTPS协议,还需要上传证书,且证书必须正确、有效,才能保证WAF正常防护网站的HTTPS协议访问请求。
点击“上传证书”,进入服务器端证书配置页面。
选择证书类型,支持“通用证书”和“国密证书”。
支持证书选择、手动填写、文件上传方式:
证书选择:如您使用了证书管理服务,可通过下拉框选择已有证书。
手动填写:填写证书名称,并将与域名关联的证书文件和私钥文件的文本内容的PEM编码分别复制粘贴到证书文件和证书私钥中。
文件上传:填写证书名称,点击“上传”,将与域名关联的证书文件和私钥文件上传至平台中。
说明手动填写需要将证书和私钥的PEM编码内容填入。
上传证书时,如果证书是.PEM/.CER/.CRT的后缀,可以直接上传;私钥文件若为.KEY/.PEM的后缀,请确保内容格式为PME编码,即可上传。
高级设置 选择HTTPS后,还支持启用高级设置功能。
HTTPS强制跳转:开启HTTPS的强制跳转,HTTPS强制跳转表示将客户端的HTTP请求强制转换为HTTPS请求,默认跳转到443端口。
如果您需要强制客户端使用HTTPS请求访问网站以提高安全性,则开启该设置。
说明只有在未选中HTTP协议时,支持开启该设置。
请确保网站支持HTTPS业务再开启该设置。开启该设置后,部分浏览器将被强制设置为使用HTTPS请求访问网站。
SSL解析方式:支持“单向认证”。
IPv6 WAF默认只处理IPv4请求流量。如果需要支持IPv6请求,请开启该功能。
:开启IPv6功能,支持将IPv6请求流量接入WAF进行防护。
注意功能开启并完成域名接入后无法修改,如需关闭IPv6请求防护,需要重新接入域名
:不开启IPv6功能,仅防护IPv4请求流量。
代理情况 选择网站业务在接入WAF前是否开启了其他代理服务(例如DDoS高防、CDN等),按实际情况选择:
否:表示WAF收到的业务请求来自发起请求的客户端。WAF直接获取与WAF建立连接的IP作为客户端IP。
是:表示WAF收到的业务请求来自其他代理服务转发,而非直接来自发起请求的客户端。
为了保证WAF可以获取真实的客户端IP进行安全分析,需要进一步设置源IP获取方式。
源IP获取方式:系统默认设置为“从Socket连接中获取”,您也可按实际情况,创建一个有序的判定列表,系统将从列表的第一项开始查找,若不存在或者是非法的IP格式,则尝试下一条。
其中检测末项固定为“从Socket连接中获取”。获取方式列表最多可添加5条规则,可选项如下:
- 从Socket连接中获取
- 从X-Fowarded-For连接中获取倒数第1层代理
- 从HTTP头X-Client-IP中获取
负载均衡策略 当设置了多个源站服务器地址时,需设置多源站服务器间的负载均衡算法。可选项如下: 轮询:将所有请求轮流分配给不同的源站服务器。
IP Hash:将来自同一个IP的请求定向分配给同一个源站服务器。
设置生效后,WAF将根据设置的负载均衡算法向多个源站地址分发回源请求,实现负载均衡。
流量标记 开启流量标记功能,WAF在转发客户端请求到源站服务器时,通过在回源请求头部添加标记字段,标记该请求经过WAF转发,可以帮助源站判断请求来源。
如果请求中存在指定标记字段,则为WAF检测后的正常请求,放行该请求;如果请求中不存在指定标记字段,则为攻击者请求,拦截该请求。
单击“添加一个标记”,添加流量标记。最多支持添加5个标记字段。
支持如下标记类型:
- 自定义Header,配置自定义Header名、Header值。
- 客户端真实源IP,配置客户端真实源IP所在的HTTP Header名。
- 客户端真实源端口,配置客户端真是源端口所在的HTTP Header名。
注意请勿填写标准的HTTP头部字段,否则会导致标准头部字段内容被自定义的字段值覆盖。
回源长连接 功能开启后,支持回源长连接功能,最大支持1000个回源长连接。
开启“回源长连接”后,还需配置“空闲连接超时时间”,默认值为10秒,最多支持60秒。
功能关闭后,将不支持WebSocket。
超时配置 开启超时配置,可以配置如下超时时间:
连接超时时间:WAF转发客户端请求时,与源站建立连接的超时时间。
读连接超时时间:WAF等待源站响应的超时时间。
写连接超时时间:WAF向源站发送请求的超时时间。
以上默认值均为60秒,最短支持10秒,最长支持1200秒。
-
本地验证。
根据页面提示,在本地电脑上搭建简易的模拟环境,验证网站流量转发设置已经生效,避免转发设置未生效时修改域名的DNS解析设置,导致业务访问异常。更多信息,请参见本地验证。
-
修改DNS解析。
根据页面提示修改域名的DNS解析,将网站域名解析到WAF进行防护,完成后单击“下一步”。更多信息,请参见修改域名DNS。 -
添加完成。
根据页面提示设置放行WAF回源IP段,完成后单击“完成,返回域名列表”,返回网站接入页面。更多信息,请参见放行WAF回源IP段。 -
域名添加完成后,该域名WAF防护开关默认开启。
后续配置
完成域名接入流程后,网站访问流量将经过WAF保护,您还需要完善以下防护配置,才能实现针对性的网站防护。
配置 说明 相关文档 Web基础防护
覆盖OWASP常见安全威胁,支持SQL注入、XSS、文件包含、远程命令执行、目录穿越、文件上传、CSRF、SSRF、命令注入、模板注入、XML实体注入等攻击检测和拦截。
CC防护
CC防护支持默认防护策略及灵活的自定义防护策略。自定义策略支持依托精准访问控制规则进行特征识别,并根据访问源IP/ SESSION控制访问频率,恶意流量通过阻断、人机验证等处置手段有效缓解CC攻击。
BOT防护
提供公开类型、协议特征、自定义会话特征等多种判定维度的防护策略,支持根据BOT会话行为特征设置BOT对抗策略,对BOT行为进行处理,有效防护搜索引擎、扫描器、脚本工具等爬虫攻击。
精准访问控制
支持基于IP、URL、Referer、User-Agent等请求特征进行多维度组合,定义访问匹配条件过滤访问请求,实现针对性的攻击阻断。
IP黑白名单
支持添加始终拦截与始终放行的黑白名单IP/IP地址段,增强防御准确性。
地域访问控制 支持针对地理位置的黑名单封禁,可指定需要封禁的国家、地区,阻断该区域的来源IP的访问。 地域访问控制 防敏感信息泄露 支持对网站返回的内容进行过滤(拦截、脱敏展示),过滤内容包括敏感信息、关键字和响应码。 防敏感信息泄露 网页防篡改 通过缓存页面和锁定访问请求,可避免页面被恶意篡改而带来的负面影响,对重点静态页面进行保护。 网页防篡改 Cookie防篡改 通过对Cookie中的字段增加完整性校验保护,WAF会新增一个Cookie字段用于篡改校验。 Cookie防篡改 隐私屏蔽
通过设置隐私屏蔽规则,可屏蔽用户隐私信息,避免用户隐私信息出现在系统记录的日志中。
隐私屏蔽
其他配置
证书上传
可直接将证书文件、证书私钥文件直接上传至服务中,将证书内容填写至系统,实现上传。
配置项说明如下:
| 参数 | 描述 |
|---|---|
| 证书名称 | 必填,填写证书名称。 |
| 证书文件 | 必填,填写证书文件。证书文件用于回源时对会话进行加密。 |
| 证书私钥 | 必填,填写证书私钥。证书私钥用于解密用户的请求。 |
支持的证书加密套件请参见WAF支持的加密套件。
域名状态
域名接入后会WAF会周期性检测域名状态,以便保证WAF能够正常地对源站进行保护。
接入状态如下图:
域名接入状态说明如下:
域名状态 说明 正常防护 无异常,DNS已解析到WAF,WAF处于正常检测和转发中。 配置下发中 WAF配置策略进行了变更会出现此状态,此状态表示变更未完成全引擎集群节点同步,配置策略正在同步至所有节点,等待策略同步完成后即可恢复正常。 配置下发失败 WAF配置变更存在部分引擎集群节点未同步会出现配置下发失败的状态,WAF有周期硬同步机制,当出现此状态后需要等待一段时间,系统会自动重新执行配置下发动作。 未配置CNAME记录 WAF查询该域名解析记录,发现该接入域名的CNAME记录未指向WAF分配的CNAME地址,需要用户于DNS服务商处修改DNS解析地址为WAF提供的CNMAE。 检测到源站不可达 引擎集群访问源站对应端口服务不通,请检查源站对应端口是否开启,WAF回源访问白名单是否配置,详情请参见放行WAF回源IP段。 证书过期 该状态指防护域名所提供的加密证书过期,证书有效期小于当前系统时间,使用过期证书会导致浏览器无法正常打开访问页面,建议更换在有效期内的加密证书以便业务能够正常访问和防护。 证书异常 证书解析异常,出现此状态请检查上传证书的格式及证书文件是否正常,可尝试重新上传证书文件,当前支持的证书文件格式为PEM/CRT/CER文件。 备案异常 无法查询到该接入域名的工信部备案数据,若该域名没有备案,请先备案域名后再开启WAF。
如果域名出现异常需要修改域名DNS,请参见修改域名DNS。
注意如果需要修改或删除域名,请确保原域名在DNS服务商处已修改为解析到源站地址,否则在WAF直接进行修改域名或删除域名,会导致原域名由于无法解析到正确的源站地址,从而导致源站域名无法正常访问。
域名常见解析类型
| 解析类型 | 含义 | 说明 |
|---|---|---|
| A记录 | 用来指定域名的IPv4地址,保证域名指向对应的主机,当域名解析类型为A记录时,对应值必须为IP地址。 | 在接入WAF前的域名解析类型一般为该类型,需要将该类型切换为CNAME类型。 |
| AAAA记录 | 同A记录,用来指定主机名(或域名)对应的IPv6地址(例如:ff06:0:0:0:0:0:0:c3)记录。 | 用于IPV6地址类型解析,若接入WAF前的域名解析类型为AAAA类型,需要切换为CNAME类型。 |
| MX记录 | 如果需要设置邮箱,让邮箱能收到邮件,就需要添加MX记录。 | 较少使用,可忽略。 |
| CNAME记录 | 如果需要将域名指向另一个域名,再由另一个域名提供IP地址,就需要添加CNAME记录。 | 接入WAF后,需要使用该解析类型,其中CNAME类型的值需要填入WAF生成的值。 |
回源方式说明
根据您的业务场景,WAF提供灵活的回源方式,用户可以选择HTTP回源,也可选择HTTPS回源,不同的回源方式设置如下。
-
方式一:使用HTTP进行回源
客户端访问网站和WAF转发客户端请求到源站均使用HTTP协议进行传输。 -
方式二:使用HTTPS回源
客户端访问网站和WAF转发客户端请求到源站均使用HTTPS协议进行传输。
-
方式三:同时使用HTTP和HTTPS回源
客户端访问网站时,WAF随机使用HTTP协议或HTTPS协议转发客户端请求到源站。
配置示例
-
示例一:同一域名有多个防护端口
配置场景:需要防护的域名为www.ctyun.cn,需要防护的端口有80/443、8080/8443、5443。
配置如下:需要添加3个服务器端口组。
-
示例二:客户端请求转发到不同的源站服务器
配置场景:需要防护的域名为www.ctyun.cn,源站服务器有多个IP地址。
配置如下:服务器端口组中,源站地址配置多个IP地址。 -
示例三:HTTP/HTTPS分别转发
- 客户端访问网站使用HTTP协议时,WAF也使用HTTP协议转发客户端请求到源站。
- 客户端访问网站使用HTTPS协议时,WAF也使用HTTPS协议转发客户端请求到源站。
-
示例四:HTTP/HTTPS随机转发
客户端访问网站时,WAF随机使用HTTP协议或HTTPS协议转发客户端请求到源站。
