如果您的业务部署在其他云平台上,且您希望业务具备 DDoS 防护能力,可以购买高防型 WAF 实例并通过 CNAME 方式将防护域名接入。在火山引擎 Web 应用防火墙控制台配置防护域名参数和 WAF 回源参数后,您只需要修改防护域名的 DNS 解析记录并放行火山引擎 Web 应用防火墙的回源 IP 地址,即可完成域名的安全防护配置。
前提条件
- 防护域名已备案,且未添加到 WAF。
- 您已购买火山引擎高防型 WAF 实例。
步骤一:配置防护域名参数
在顶部菜单栏选择实例所属地域。
在左侧导航选择网站设置,然后单击 CNAME 接入。
配置相关参数。
参数
说明
网站配置
防护域名
填写需要接入防护的域名,支持泛域名或精准域名。域名须经过 ICP备案,未备案域名将无法正常添加。
说明
如需同时配置泛域名和域名主体本身,请分别配置。如:需要同时配置
*.b.a.com和b.a.com,需要分别接入域名并配置策略。协议类型
需要接入 WAF 的网站所使用的通信协议,可选 HTTP、HTTPS 协议,勾选目标协议后,可在协议下方的输入框输入端口号。
- 协议选择:勾选 HTTPS 协议后需要选择对应证书。如只勾选 HTTPS 协议,则 HTTP 请求将默认重定向至 HTTPS。
- 端口号配置:
- HTTP 协议默认支持 80 端口,HTTPS 默认支持 443 端口。
- 协议支持配置的端口数量因版本而异。
- 端口号输入后按回车键可继续输入其他端口号。
- 支持编辑或删除已输入的端口号。
注意
输入的端口号需在可添加端口范围内且不能重复,单击查看可添加端口可搜索查看对应协议下可添加的端口号。
- 更多设置:
- 协议跟随:开启后,访问请求的“回源协议”与“访问协议”保持一致。为保证正常回源,请同时选中 HTTP 和 HTTPS 并确认源站支持已选中的协议类型。
- HTTP 2.0:开启前需要勾选 HTTPS 协议类型,开启后支持 HTTP 2.0 协议接入防护,以 HTTP 1.0/1.1 协议转发回源。
- IPv6 防护:开启后支持对 IPv6 客户端请求的防护,可在回源配置中配置 IPv4 和 IPv6 源站地址。开启协议跟随后,IPv4 请求将转发 IPv4 源站,IPv6 请求转发 IPv6 源站。
日志服务
选择当前域名的日志服务的启用状态。
- 开启:域名规则创建完成后开始采集该域名产生的日志数据。
- 关闭:域名规则创建完成后不会采集该域名产生的日志数据。
说明
如果需要开启日志服务,需要先完成 WAF 访问日志服务的跨服务授权,让 WAF 服务获取日志采集和存储权限。
回源配置
负载均衡
- 加权轮询(WRR):权重值越高的后端服务器,被轮询到的次数(概率)越高。
- 加权最小连接数(WLC):将请求分发给“当前连接/权重”比值最小的后端服务器。
- 源地址哈希(SH):基于源 IP 地址的一致性哈希,相同源地址的请求会调度到相同的后端服务器。
源站配置
- 分组:
- 默认分组:默认包含全部未自定义配置回源规则的接入端口。当自定义分组规则未命中,默认匹配默认分组规则。
- 自定义分组:
- 单击添加可生成一个自定义分组,需要配置生效的端口范围。
- 支持编辑自定义分组名称,不超过 15 个字符,支持中文、英文、数字和下划线。
- 支持删除自定义分组,删除分组后将清空组内回源配置,并对组内接入端口按照默认分组配置执行回源操作。
- 接入端口配置:
- 默认分组的接入端口范围为全部未自定义配置回源规则的接入端口。
- 自定义分组支持在添加的端口范围内选择多个目标接口。不同自定义分组间不得重复选择。
说明
例如,您在网站配置中选择了 HTTP 协议下的
80、81、82、83端口,和 HTTPS 协议下的443、4443端口,且在源站配置的自定义分组 1 中选择了 HTTP 协议下的80和81端口,则余下的82、83、443和4443端口都将适用默认分组的回源规则配置。 - 源站地址配置:
- 源站协议:即从 WAF 回源至源站的回源协议,支持 HTTP/HTTPS 回源。
注意
未开启协议跟随时,同一地域下不同分组间的源站协议将全局保持一致。例如:您将自定义分组中的某源站配置的协议设置为 HTTP 协议,则所有分组(包括默认分组)下的源站协议都将设置为 HTTP 协议。
- 源站地址:需要接入 WAF 的网站所提供服务的源站 IP 地址。
- 源站端口:源站地址对应的端口。
- 权重:表示后端服务器收到请求的概率(概率为该服务器权重/组中所有服务器的总权重)。
- 权重越大转发的请求越多。
- 权重设置为 0,表示该服务器不会再接受新请求。
- 当监听器调度算法为源地址哈希(SH)时,无需配置权重。
说明
每个源站地址组最多支持添加 20 个源站。
- 源站协议:即从 WAF 回源至源站的回源协议,支持 HTTP/HTTPS 回源。
高级配置
代理配置
需要配置的网站在接入 WAF 前是否使用了高防、CDN 等七层代理。
- 否:WAF 前没有配置代理,WAF 取与 WAF 建立连接的 IP(取 X-Real-Ip)作为客户端 IP。
- 是:WAF 前配置了代理,表示 WAF 收到的业务请求来自其他七层代理服务转发,而非直接来自发起请求的客户端,需要进一步配置客户端 IP 判定方式。
- X-Forwarded-For 字段获取客户端真实 IP:通过 X-Forwarded-For 字段中第一个公网 IP 地址作为客户端真实 IP 地址。
注意
该方式存在攻击者伪造 X-Forwarded-For 字段的风险。
- 自定义 Header 字段:按匹配字段添加顺序获取客户端 IP 并将其作为客户端真实 IP 。如匹配字段无法获取客户端 IP,则将通过 X-Forwarded-For 字段获取;如 X-Forwarded-For 字段由于伪造非法 IP 无法获取,则取 X-Real-Ip 字段作为客户端 IP。
说明
单实例每域名最多可配置 5 个自定义 Header 字段。
- X-Forwarded-For 字段获取客户端真实 IP:通过 X-Forwarded-For 字段中第一个公网 IP 地址作为客户端真实 IP 地址。
单击下一步。
站点添加成功后,WAF 会在页面返回防护域名的 CNAME 值。
步骤二:修改域名 DNS
访问 Web 应用的 DNS 解析服务商,将 DNS 服务记录类型设置为 CNAME,将记录值修改为刚获取到的 WAF CNAME 值。
待 DNS 解析生效后,防护域名的请求流量就会转发到 WAF。
步骤三:放行 WAF 回源 IP 地址
在业务接入 Web 应用防火墙之后,所有的请求都会通过 WAF 的回源 IP 段返回到源站。这会导致每个回源 IP 上的请求量增加,从而容易触发安全策略的误拦截或限速,因此需要对 WAF 的回源 IP 段进行放行。
如果源站已经配置了防火墙或安装了安全软件,您复制以下回源 IP 地址,并将它们添加到源站的防火墙、访问控制列表(ACL)或者其他任何安全软件的白名单中。这样可以确保回源 IP 不会受到源站安全策略的影响。