如果您的业务未配置负载均衡，建议通过 CNAME 方式接入云 WAF 实例。在火山引擎 Web 应用防火墙控制台配置防护域名参数和 WAF 回源参数后，您只需要修改防护域名的 DNS 解析记录并放行火山引擎 Web 应用防火墙的回源 IP 地址，即可完成域名的安全防护配置。本文介绍通过 CNAME 接入防护的操作步骤。

前提条件

• 您已创建云 WAF 实例。创建相关操作，请参考创建 WAF 实例。
• 所需防护域名已备案，且未添加到云 WAF 实例。备案相关操作，请参考备案流程。

注意事项

WAF CNAME 接入支持 WebSocket 和 WebSockets 协议，且默认为启用状态，暂不支持关闭。

流程说明

步骤一：添加域名

1. 登录 Web 应用防火墙控制台。
2. 在顶部菜单栏选择实例所属地域。
3. 在左侧导航选择网站设置，然后单击新建站点。
4. 选择接入方式为 CNAME。
5. 填写要接入 WAF 的网站信息，并提交。
   

步骤二：放行 WAF 回源 IP

在业务接入 Web 应用防火墙之后，所有的请求都会通过 WAF 的回源 IP 段返回到源站。这会导致每个回源 IP 上的请求量增加，从而容易触发安全策略的误拦截或限速，因此需要对 WAF 的回源 IP 段进行放行。如果源站已经配置了防火墙或安装了安全软件，您需要以下回源 IP 地址，并将它们添加到源站的防火墙、访问控制列表（ACL）或者其他任何安全软件的白名单中。这样可以确保回源 IP 不会受到源站安全策略的影响。
您可以在添加完成后的返回页面，单击复制全部 IP 地址，获取需要放行的回源 IP 信息。

步骤三：验证转发配置

建议您在放行回源 IP 后，验证 WAF 实例的业务转发配置是否生效，避免因配置未生效导致业务切换过程中发生中断。验证操作详情请参见验证转发配置。

步骤四：修改域名 DNS

1. 访问 Web 应用的 DNS 解析服务商，将 DNS 服务记录类型设置为 CNAME，将记录值修改为刚获取到的 WAF CNAME 值。

   

   待 DNS 解析生效后，防护域名的请求流量就会转发到 WAF。

2. 您可以在网站设置页面查看添加的网站信息，接入成功的网站状态和防护模式如下。
   

步骤五：设置防护策略

域名接入后，您可以在返回页面快捷配置 CC 防护、漏洞防护、API 防护以及 Bot 管理对应的防护策略，或是直接前往防护策略页面，配置自定义策略内容。关于防护策略设置的更多详情，请参见防护策略类型。

后续操作

• 查看防护数据，可参考查看安全概览信息。
• 查看日志信息，可参考查看和分析日志。