You need to enable JavaScript to run this app.
导航
大模型应用防火墙
  • 文档首页
    • /大模型应用防火墙/快速入门/通过 CNAME 方式接入大模型应用防火墙
通过 CNAME 方式接入大模型应用防火墙
最近更新时间:2025.03.28 19:07:11首次发布时间:2025.03.28 19:07:11
我的收藏
有用
有用
无用
无用

CNAME 接入方式不受业务部署位置的影响,如果您的业务没有部署在火山引擎上,建议通过此方式接入防护。在火山引擎大模型应用防火墙配置参数后,您只需要修改防护域名的 DNS 解析记录并放行平台的回源 IP 地址,即可将域名接入到大模型应用防火墙。

CNAME 方式接入后的网站请求过程

通过 CNAME 方式将网站接入大模型应用防火墙,就是将请求流量牵引到大模型应用防火墙进行检测,再将检测后的流量转发到源站的过程。参考示意图如下:
Image
用户请求过程如下:

  1. 客户端识别用户输入的域名,向 DNS 发送请求查询域名解析地址。
  2. 由于流量被牵引到大模型应用防火墙,此时 DNS 返回的域名解析地址为大模型应用防火墙 IP 地址,即客户端通过返回的域名解析地址直接访问大模型应用防火墙。

    说明

    如果存在代理服务,例如 CDN,DDoS 高防等,DNS 返回的域名解析地址为代理服务的 IP 地址。此时客户端通过返回的域名解析地址访问代理服务,代理服务通过大模型应用防火墙 IP 地址访问大模型应用防火墙。

  3. 大模型应用防火墙检测请求流量,通过回源 IP 地址段将正常流量转发至您的源站服务器。

为防护域名开启 DDoS 原生防护服务

为了提高业务安全,抵御更多攻击类型,您还可以通过大模型应用防火墙为公网 IP 业务开启 DDoS 原生防护服务,开启方式可参考下文中的操作步骤。启用 DDoS 原生防护服务后需注意以下事项:

  • 实例关联的影响
    如您在之前配置并开启了大模型应用防火墙关联 EIP 实例的云防火墙防护策略,在您选择开启 DDoS 原生防护(企业版)后,大模型应用防火墙的 EIP 会被与 DDoS 原生防护(企业版)与增强型防护 EIP 替代,此时大模型应用防火墙实例不受已有的云防火墙防护策略保护。如需要开启云防火墙防护,请重新配置。
  • 实例到期的影响
    • 绑定的 DDoS 原生防护(高级版)实例到期后,对应的普通型公网 IP 将不再具备 DDoS 原生防护能力,仍具备大模型应用防火墙防护能力。
    • 绑定的 DDoS 原生防护(企业版)实例到期后,对应的增强型公网 IP 将被解除关联,不再具备 DDoS 原生防护和大模型应用防火墙防护能力。
    • 大模型应用防火墙实例到期回收后,对应的公网 IP(包括增强型和普通型)将被解除关联,不再具备 DDoS 原生防护和大模型应用防火墙防护能力。

更多关于 DDoS 原生防护服务的介绍,可参考什么是 DDoS 原生防护(企业版)什么是 DDoS 原生防护(高级版)

前提条件

步骤一 配置接入参数

  1. 登录大模型应用防火墙控制台
  2. 在顶栏选择实例所属地域。
  3. 在左侧导航选择资产管理,然后单击添加域名
  4. 选择接入方式为 CNAME,并配置接入参数。
    Image
  5. 单击提交
    站点添加成功后, 会在页面返回防护域名的 CNAME 值和大模型应用防火墙的回源 IP 地址。更多配置说明可参见通过 CNAME 接入

步骤二 放行回源 IP 地址

业务接入后,所有的请求都会通过大模型应用防火墙的回源 IP 段返回到源站。这会导致每个回源 IP 上的请求量增加,从而容易触发安全策略的误拦截或限速,因此需要对回源 IP 段进行放行。
如果源站已经配置了防火墙或安装了安全软件,您需要复制以下回源 IP 地址,并将它们添加到源站的防火墙、访问控制列表(ACL)或者其他任何安全软件的白名单中。这样可以确保回源 IP 不会受到源站安全策略的影响。
放行回源 IP 地址的详细操作说明可参见放行回源 IP 地址
Image

步骤三 验证转发配置

通过 CNAME 方式成功添加防护域名后,大模型应用防火墙实例会将相关端口接收到的请求转发至您源站的对应端口。为了确保业务稳定,建议您在接入配置后进行转发验证。验证的详细操作可参见验证转发配置

步骤四 修改域名 DNS

确认转发生效后,您需要访问 Web 应用的 DNS 解析服务商,将 DNS 服务记录类型设置为 CNAME,将记录值修改为大模型应用防火墙的 CNAME 值。待 DNS 解析生效后,防护域名的请求流量就会转发到 WAF。修改 DNS 解析的详细操作可参见修改 DNS 解析
Image

步骤五 配置防护策略

域名接入后,大模型应用防火墙建议开启算力消耗防护和提示词防护策略。默认展示为您最近一次接入域名时的配置。此示例中的默认配置参考如下,支持按需修改。

  • 算力消耗防护策略:算力消耗时,执行观察动作。
  • 提示词防护策略:提示词内检测出侮辱&歧视商业违法违规欺诈赌博毒品等 8 个词库攻击时,执行观察动作。

Image
策略配置相关说明,可参见:

步骤六 分析防护数据

域名接入并配置好防护策略后,您可以结合安全数据和资源统计数据分析业务的请求情况并调整防护策略,相关说明可参见查看安全概览信息