Setelah menambahkan nama domain ke Web Application Firewall (WAF) dalam mode rekaman CNAME, Anda perlu memodifikasi rekaman Sistem Nama Domain (DNS) untuk memetakan nama domain tersebut ke CNAME yang disediakan oleh WAF. Dengan cara ini, permintaan ke nama domain dialihkan ke WAF. Topik ini menjelaskan langkah-langkah untuk memodifikasi rekaman DNS dari sebuah nama domain.
Informasi latar belakang
Anda hanya dapat menggunakan rekaman CNAME untuk memetakan nama domain yang dilindungi ke WAF.
Jika terjadi kegagalan seperti kegagalan node atau pusat data, WAF akan menggunakan alamat IP berbeda atau meneruskan permintaan ke server asal untuk memastikan kelangsungan layanan dan menyediakan kemampuan ketersediaan tinggi serta pemulihan bencana.
WAF tidak mendukung rekaman A.
Secara default, WAF mengaktifkan mekanisme isolasi alamat IP virtual (VIP) untuk nama domain yang ditambahkan ke WAF guna meningkatkan stabilitas dan keamanan sistem. WAF menetapkan VIP ke nama domain Anda. Jika Anda menambahkan rekaman A untuk memetakan nama domain ke VIP, gangguan layanan mungkin terjadi ketika VIP diubah, misalnya saat mengaktifkan atau menonaktifkan alamat IP eksklusif atau penyeimbangan beban cerdas.
Jika Anda menggunakan rekaman A, status resolusi DNS dari nama domain menjadi abnormal. Anda harus menghapus rekaman A dan menambahkan rekaman CNAME untuk memetakan nama domain ke CNAME yang ditetapkan oleh WAF.
Jika Anda tidak menerapkan proxy seperti Alibaba Cloud CDN, Anti-DDoS Pro, atau Anti-DDoS Premium pada situs web Anda, Anda dapat merujuk ke topik ini. Jika Anda ingin menerapkan WAF bersama dengan layanan proxy lainnya, lihat topik-topik berikut:
Prasyarat
Situs web telah ditambahkan ke WAF dalam mode CNAME. Untuk informasi lebih lanjut, lihat Tambahkan nama domain ke WAF.
Anda memiliki izin untuk memodifikasi rekaman DNS dalam sistem penyedia layanan DNS Anda.
Permintaan dari blok CIDR balik-asal WAF diizinkan di server asal.
Jika Anda menggunakan perangkat lunak keamanan pihak ketiga atau kebijakan kontrol akses tertentu untuk server asal Anda, Anda harus menambahkan blok CIDR balik-asal WAF ke daftar putih. Dengan cara ini, permintaan normal tidak diblokir. Untuk informasi lebih lanjut, lihat Mengizinkan akses dari blok CIDR balik-asal WAF.
Konfigurasi pengalihan situs web Anda benar dan berlaku.
Sebelum memodifikasi rekaman DNS, pastikan konfigurasi pengalihan situs web sudah benar untuk mencegah gangguan layanan akibat konfigurasi yang tidak valid. Untuk informasi lebih lanjut, lihat Verifikasi pengaturan nama domain.
PeringatanJika Anda memodifikasi rekaman DNS sebelum konfigurasi pengalihan berlaku, gangguan layanan mungkin terjadi.
Mendapatkan CNAME yang ditetapkan oleh WAF untuk nama domain Anda
Anda harus mendapatkan CNAME yang ditentukan oleh WAF untuk nama domain Anda sebelum memodifikasi rekaman DNS. Jika Anda sudah mendapatkan CNAME, lewati langkah-langkah berikut.
Masuk ke Konsol WAF.
Di bilah navigasi di sebelah kiri, pilih .
Dalam domain name list, temukan nama domain yang Anda tambahkan ke WAF dan gerakkan pointer di atas nama domain tersebut. Lihat dan salin CNAME yang ditentukan oleh WAF untuk nama domain tersebut.
Gunakan Alibaba Cloud DNS untuk memodifikasi rekaman DNS
Jika Anda menggunakan Alibaba Cloud DNS, ikuti langkah-langkah berikut untuk memodifikasi rekaman DNS. Jika Anda menggunakan layanan DNS pihak ketiga, rujuk langkah-langkah berikut untuk memodifikasi rekaman DNS dalam sistem penyedia layanan DNS Anda:
Masuk ke Konsol Alibaba Cloud DNS.
Di halaman Authoritative DNS Resolution, temukan nama domain yang rekaman DNS-nya ingin Anda modifikasi dan klik DNS Settings di kolom Actions.
Di halaman DNS Settings, temukan nama host yang ingin Anda kelola dan klik Modify di kolom Actions.
Dalam contoh berikut,
aliyun.comdigunakan:www: cocok dengan nama domain yang dimulai dengan www, seperti
www.aliyun.com.@: cocok dengan nama domain root, seperti
aliyun.com.*: cocok dengan nama domain wildcard, termasuk semua subdomain seperti
blog.aliyun.comdanwww.aliyun.com.
Di panel Modify DNS Record, atur parameter Record Type ke CNAME dan parameter Record Value ke CNAME yang ditentukan oleh WAF. Pertahankan pengaturan parameter lainnya.
Saat memodifikasi rekaman DNS, perhatikan hal berikut:
Kami merekomendasikan Anda mengatur time-to-live (TTL) menjadi 10 menit. Nilai TTL yang lebih besar menentukan periode waktu yang lebih lama untuk menyinkronkan dan memperbarui rekaman DNS.
Berbagai jenis rekaman DNS bertentangan satu sama lain.
Anda hanya dapat menentukan satu nilai CNAME untuk setiap rekaman DNS. Atur parameter Nilai ke CNAME yang ditentukan oleh WAF.
Berbagai jenis rekaman DNS bertentangan satu sama lain. Misalnya, Anda tidak dapat menambahkan rekaman CNAME dan rekaman A, MX, atau TXT untuk nama host pada saat yang sama. Jika Anda tidak dapat mengubah jenis rekaman, hapus semua rekaman DNS yang bertentangan dan tambahkan rekaman CNAME baru.
PeringatanAnda harus menghapus semua rekaman DNS yang bertentangan dan menambahkan rekaman CNAME sesegera mungkin. Jika tidak, nama domain Anda menjadi tidak dapat diakses.
Klik OK dan tunggu hingga rekaman DNS baru berlaku.
Verifikasi rekaman DNS. Anda dapat melakukan ping ke nama domain situs web Anda atau menggunakan alat deteksi DNS untuk memeriksa apakah rekaman DNS berlaku.
CatatanRekaman DNS tidak langsung berlaku. Jika verifikasi gagal, verifikasi rekaman DNS lagi setelah 10 menit.
Operasi terkait
Aktifkan perlindungan untuk server asal
Jika alamat IP asal Anda terpapar, penyerang dapat melewati WAF dan meluncurkan serangan pada server asal Anda. Untuk menghindari serangan tersebut, kami merekomendasikan agar Anda mengonfigurasi grup keamanan Elastic Compute Service (ECS) atau daftar putih Server Load Balancer (SLB). Untuk informasi lebih lanjut, lihat Konfigurasikan perlindungan untuk server asal.
Mendapatkan alamat IP sebenarnya dari klien
Setelah menambahkan situs web Anda ke WAF, server asal Anda menerima permintaan dari WAF. Anda dapat memperoleh alamat IP sebenarnya dari klien dari header permintaan
X-Forwarded-For. Untuk informasi lebih lanjut, lihat Ambil alamat IP asal klien.