You need to enable JavaScript to run this app.
导航
大模型应用防火墙
  • 文档首页
    • /大模型应用防火墙/用户指南/资产管理/CNAME 接入/通过 CNAME 接入
通过 CNAME 接入
最近更新时间:2025.03.28 19:07:11首次发布时间:2025.03.28 19:07:11
我的收藏
有用
有用
无用
无用

如果您的业务未配置负载均衡,建议通过 CNAME 方式接入防护实例。在火山引擎网络应用防护平台配置防护域名参数和回源参数后,您只需要修改防护域名的 DNS 解析记录并放行平台的回源 IP 地址,即可完成域名的安全防护配置。

CNAME 方式接入后的网站请求过程

通过 CNAME 方式将网站接入大模型应用防火墙,就是将请求流量牵引到大模型应用防火墙进行检测,再将检测后的流量转发到源站的过程。参考示意图如下:
Image
用户请求过程如下:

  1. 客户端识别用户输入的域名,向 DNS 发送请求查询域名解析地址。
  2. 由于流量被牵引到大模型应用防火墙,此时 DNS 返回的域名解析地址为大模型应用防火墙 IP 地址,即客户端通过返回的域名解析地址直接访问大模型应用防火墙。

    说明

    如果存在代理服务,例如 CDN,DDoS 高防等,DNS 返回的域名解析地址为代理服务的 IP 地址。此时客户端通过返回的域名解析地址访问代理服务,代理服务通过大模型应用防火墙 IP 地址访问大模型应用防火墙。

  3. 大模型应用防火墙检测请求流量,通过回源 IP 地址段将正常流量转发至您的源站服务器。

为防护域名开启 DDoS 原生防护服务

为了提高业务安全,抵御更多攻击类型,您还可以通过大模型应用防火墙为公网 IP 业务开启 DDoS 原生防护服务,开启方式可参考下文中的操作步骤。启用 DDoS 原生防护服务后需注意以下事项:

  • 实例关联的影响
    如您在之前配置并开启了大模型应用防火墙关联 EIP 实例的云防火墙防护策略,在您选择开启 DDoS 原生防护(企业版)后,大模型应用防火墙的 EIP 会被与 DDoS 原生防护(企业版)与增强型防护 EIP 替代,此时大模型应用防火墙实例不受已有的云防火墙防护策略保护。如需要开启云防火墙防护,请重新配置。
  • 实例到期的影响
    • 绑定的 DDoS 原生防护(高级版)实例到期后,对应的普通型公网 IP 将不再具备 DDoS 原生防护能力,仍具备大模型应用防火墙防护能力。
    • 绑定的 DDoS 原生防护(企业版)实例到期后,对应的增强型公网 IP 将被解除关联,不再具备 DDoS 原生防护和大模型应用防火墙防护能力。
    • 大模型应用防火墙实例到期回收后,对应的公网 IP(包括增强型和普通型)将被解除关联,不再具备 DDoS 原生防护和大模型应用防火墙防护能力。

更多关于 DDoS 原生防护服务的介绍,可参考什么是 DDoS 原生防护(企业版)什么是 DDoS 原生防护(高级版)

前提条件

操作步骤

  1. 登录大模型应用防火墙控制台

  2. 在顶栏选择实例所属地域。

  3. 在左侧导航选择资产管理,然后单击添加域名

  4. 选择接入方式为 CNAME,并配置接入参数。
    Image

    参数

    说明

    网站配置

    防护域名

    填写需要接入防护的域名,支持泛域名或精准域名。域名须经过 ICP备案,未备案域名将无法正常添加。

    说明

    如需同时配置泛域名和域名主体本身,请分别配置。如:需要同时配置*.b.a.comb.a.com,需要分别接入域名并配置策略。

    防护路径

    设置防护路径及需要检测的大模型提示词所处位置。

    • 路径:指受大模型应用防火墙防护的网站的文件路径或目录结构,用于组织和存储网站的各种资源,例如 HTML 文件、图像、脚本文件等。配置的路径信息用于监控和过滤对网站的请求,以防止恶意攻击和安全漏洞的利用。例如/about-us.html
    • 提示词位置:指需要检测的大模型提示词内容在页面请求内容中所处位置。目前仅支持 JSON 格式,且参数层级之间用.连接,例如User.Address.Country

    说明

    最多支持设置 10 个路径。

    协议类型

    需要接入大模型应用防火墙的网站所使用的通信协议,可选 HTTP、HTTPS 协议,勾选目标协议后,可在协议下方的输入框输入端口号。

    • 协议选择:勾选 HTTPS 协议后需要选择对应证书。

      注意

      如只勾选 HTTPS 协议,请将原 HTTP 协议端口也配置在 HTTPS 协议中,HTTP 请求将默认重定向至 HTTPS。

    • 端口号配置:
      • HTTP 协议默认支持 80 端口,HTTPS 默认支持 443 端口。
      • 协议支持配置的端口数量因版本而异。
      • 端口号输入后按回车键可继续输入其他端口号。
      • 支持编辑或删除已输入的端口号。

      注意

      输入的端口号需在可添加端口范围内且不能重复,单击查看可添加端口可搜索查看对应协议下可添加的端口号。

    • 更多设置:
      • 协议跟随:开启后,访问请求的“回源协议”与“访问协议”保持一致。为保证正常回源,请同时选中 HTTP 和 HTTPS 并确认源站支持已选中的协议类型。
      • HTTP 2.0:开启前需要勾选 HTTPS 协议类型,开启后支持 HTTP 2.0 协议接入防护,以 HTTP 1.0/1.1 协议转发回源。
      • IPv6 防护:开启后支持对 IPv6 客户端请求的防护,可在回源配置中配置 IPv4 和 IPv6 源站地址。开启协议跟随后,IPv4 请求将转发 IPv4 源站,IPv6 请求转发 IPv6 源站。

    日志采集

    选择当前域名的日志服务的启用状态。

    • 开启:域名规则创建完成后开始采集该域名产生的日志数据。
    • 关闭:域名规则创建完成后不会采集该域名产生的日志数据。

    说明

    如果需要开启日志服务,需要先完成大模型应用防火墙访问日志服务的跨服务授权,让大模型应用防火墙服务获取日志采集和存储权限。

    DDoS 原生防护

    如您需要对实例开启 DDoS 原生防护,可启用该功能,并选择相关 DDoS 原生防护实例。

    说明

    请确保您已购买对应的 DDoS 原生防护实例。购买说明请参考购买 DDoS 原生防护实例(企业版)DDoS 原生防护实例(高级版)

    注意

    如您在之前配置并开启了大模型应用防火墙关联 EIP 实例的云防火墙防护策略,在您选择开启 DDoS 原生防护(企业版)后,大模型应用防火墙的 EIP 会被与 DDoS 原生防护(企业版)关联的增强型防护 EIP 替代,此时大模型应用防火墙实例不受已有的云防火墙防护策略保护。如需要开启云防火墙防护,请重新配置。

    接入能力

    代理配置

    需要配置的网站在接入大模型应用防火墙前是否使用了高防、CDN 等七层代理。

    • :未配置代理,大模型应用防火墙取与其建立连接的 IP(取 X-Real-Ip)作为客户端 IP。
    • :已配置代理,表示大模型应用防火墙收到的业务请求来自其他七层代理服务转发,而非直接来自发起请求的客户端,需要进一步配置客户端 IP 判定方式。
      • X-Forwarded-For 字段获取客户端真实 IP:通过 X-Forwarded-For 字段中第一个公网 IP 地址作为客户端真实 IP 地址。

        注意

        该方式存在攻击者伪造 X-Forwarded-For 字段的风险。

      • 自定义 Header 字段:按匹配字段添加顺序获取客户端 IP 并将其作为客户端真实 IP 。如匹配字段无法获取客户端 IP,则将通过 X-Forwarded-For 字段获取;如 X-Forwarded-For 字段由于伪造非法 IP 无法获取,则取 X-Real-Ip 字段作为客户端 IP。

        说明

        单实例每域名最多可配置 5 个自定义 Header 字段。

    长连接

    配置客户端与大模型应用防火墙之间的长连接限制。

    • 长连接保持时间:客户端与大模型应用防火墙之间的长连接保持时间。默认为 75 秒,支持配置 0~900 秒。
    • 复用长连接请求数:单个已建立的 TCP 连接上可以重复发送多个请求的个数。默认为 100 个,支持配置 60~1000 个。

    请求 Body 最大值

    可接收客户端请求正文的最大值。默认为 60 MB,支持配置 1~10240 MB。

    源站配置

    回源方式

    • 公网 IP 地址:回源地址为公网 IP。
    • VPC 内私有 IP 地址:回源地址为私有 IP,需选择对应火山引擎 VPC。

    负载均衡

    • 加权轮询(WRR):权重值越高的后端服务器,被轮询到的次数(概率)越高。
    • 加权最小连接数(WLC):将请求分发给“当前连接/权重”比值最小的后端服务器。
    • 源地址哈希(SH):基于源 IP 地址的一致性哈希,相同源地址的请求会调度到相同的后端服务器。

    源站配置

    • 分组:
      • 默认分组:默认包含全部未自定义配置回源规则的接入端口。当自定义分组规则未命中,默认匹配默认分组规则。
      • 自定义分组:
        • 单击添加可生成一个自定义分组,需要配置生效的端口范围。
        • 支持编辑自定义分组名称,不超过 15 个字符,支持中文、英文、数字和下划线。
        • 支持删除自定义分组,删除分组后将清空组内回源配置,并对组内接入端口按照默认分组配置执行回源操作。
    • 接入端口配置:
      • 默认分组的接入端口范围为全部未自定义配置回源规则的接入端口。
      • 自定义分组支持在添加的端口范围内选择多个目标接口。不同自定义分组间不得重复选择。

      说明

      例如,您在网站配置中选择了 HTTP 协议下的80818283端口,和 HTTPS 协议下的4434443端口,且在源站配置的自定义分组 1 中选择了 HTTP 协议下的8081端口,则余下的82834434443端口都将适用默认分组的回源规则配置。

    • 源站地址配置:
      • 源站协议:即从大模型应用防火墙回源至源站的回源协议,支持 HTTP/HTTPS 回源。

        注意

        未开启协议跟随时,同一地域下不同分组间的源站协议将全局保持一致。例如:您将自定义分组中的某源站配置的协议设置为 HTTP 协议,则所有分组(包括默认分组)下的源站协议都将设置为 HTTP 协议。

      • 源站地址:需要接入大模型应用防火墙的网站所提供服务的源站 IP 地址。
      • 源站端口:源站地址对应的端口。
      • 权重:表示后端服务器收到请求的概率(概率为该服务器权重/组中所有服务器的总权重)。
        • 权重越大转发的请求越多。
        • 权重设置为 0,表示该服务器不会再接受新请求。
        • 当监听器调度算法为源地址哈希(SH)时,无需配置权重。

      说明

      每个最源站地址组最多支持添加 20 个源站。

    回源能力

    建立超时时间

    大模型应用防火墙和后端服务器的建连超时时间,建议大于健康检查超时时间。默认为 4 秒,支持配置 4~120 秒。

    写连接超时时间

    大模型应用防火墙将请求传输给后端服务器的超时时间。默认为 60 秒,支持配置 30~3600 秒。

    读连接超时时间

    大模型应用防火墙从后端服务器读取响应的超时时间。默认为 60 秒,支持配置 30~3600 秒。

    回源长连接

    大模型应用防火墙回源时,长连接可复用的个数。默认为 100 个,支持配置 60~1000 个。

    回源重试

    大模型应用防火墙回源失败后,可重试的次数。默认为 3 次,支持配置 1~10 次。

    空闲长连接超时时间

    大模型应用防火墙与后端服务器建立请求的长连接空闲时间。默认为 15 秒,支持配置 1~60 秒。

  5. 单击提交
    站点添加成功后, 会在页面返回防护域名的 CNAME 值和大模型应用防火墙的回源 IP 地址。

后续操作

为确保 CNAME 方式接入的域名能被正常访问,您还需要进行以下操作:

  1. 放行回源 IP 地址:如果源站配置了防火墙或是安装了安全软件,需要将大模型应用防火墙回源 IP 地址加白,避免影响业务流量转发回源。详情可参见放行回源 IP 地址
  2. 验证转发是否生效:确认转发规则是否生效,确保业务流量可经由大模型应用防火墙正常转发。详情可参见验证转发配置
  3. 修改 DNS 解析:将待防护域名解析到高防提供的 CNAME 地址(推荐)或高防 IP,实现流量牵引到高防实例。详情可参见修改 DNS 解析