開通WAF後,您需要登入雲盾Web Application Firewall控制台,在管理 > 網站配置頁面添加您想要防護的網站資訊,為其啟用防護。

  • 如果您要防護的網站網域名稱使用阿里雲Alibaba Cloud DNS進行解析,我們支援一鍵完成添加和解析配置;否則,您需要手動添加網站,然後修改網域名稱的CNAME解析記錄,將網站網域名稱解析到WAF執行個體。
  • 如果您要防護的網站使用HTTPS協議,我們也支援相應配置,但您必須在添加網站後上傳認證和私密金鑰,才能使設定生效。

將網站添加至Web Application Firewall執行個體

參考以下步驟,將網站添加至您已購買或開通的Web Application Firewall(WAF)執行個體:

  1. 登入雲盾Web Application Firewall控制台
  2. 定位到管理 > 網站配置頁面,根據您的WAF執行個體所在的地區,選擇中國大陸海外地區
    说明 在中國大陸地區的WAF下添加的網站必須已完成ICP備案,關於備案操作請參考備案導航
  3. 單擊添加網站
    • WAF將自動列出當前阿里雲帳號在Alibaba Cloud DNS中添加過解析A記錄的網域名稱,勾選需要防護的網域名稱及協議類型,單擊立即防護即可將該網站網域名稱添加至WAF執行個體。同時,WAF將自動為您修改該網域名稱的DNS解析記錄,以接入該WAF執行個體進行防護。

      说明
      • 如果您未在Alibaba Cloud DNS中添加過解析A記錄,則網域名稱挑選清單不會出現,您需要手動添加網站網域名稱。
      • 如果您使用中國大陸WAF,則支援一鍵添加及解析的網站網域名稱必須已經通過工信部備案。
      • 一鍵添加及解析的過程一般需要10-15分鐘,您可以在網站配置頁面查看該網站網域名稱的DNS解析狀態,確認切換是否生效。
    • 如果想要防護的網站網域名稱不在網域名稱挑選清單中,您可以單擊防護其它網站,手動添加該網站網域名稱。操作步驟如下:
      1. 填寫網站網域名稱的配置資訊,單擊下一步。參數說明見下表:
        參數 描述 說明
        網域名稱 您想要防護的網站網域名稱 支援填寫泛網域名稱(如*.aliyundemo.cn),WAF將自動匹配該泛網域名稱的次層網域。如果您同時配置泛網域名稱和精確網域名稱(如*.aliyundemo.cn和abc.aliyundemo.cn),WAF將優先使用精確網域名稱所配置的轉寄規則和防護策略。
        说明 WAF暫時不支援添加尾碼為edu的網域名稱。如果您需要添加防護該類網域名稱,請提交工單聯絡售後支援人員。
        協議類型 該網站支援的協議類型。如果您的網站支援HTTPS加密認證,請勾選HTTPS協議,並在添加網站後上傳認證和私密金鑰 如果勾選HTTPS協議類型,可使用進階設定實現HTTP強制跳轉和HTTP回源等功能,保證訪問平滑。關於HTTPS協議的詳細配置說明,請查看HTTPS進階設定
        伺服器位址 該網站網域名稱的來源站點伺服器位址。 網站接入WAF執行個體進行防護後,WAF會將過濾後的訪問請求轉寄至該伺服器位址。
        (推薦)勾選IP,填寫來源站點伺服器的IP(如Elastic Compute Service執行個體的IP、負載平衡SLB執行個體的IP等),配置成功後WAF將請求轉寄至該來源站點IP。 最多支援配置20個來源站點IP。如果配置多個回源IP,WAF將自動進行健全狀態檢查和負載平衡。關於WAF的負載平衡功能說明,請查看來源站點負載平衡
        勾選其它地址,填寫伺服器回源網域名稱(如Object Storage Service的CNAME等),配置成功後WAF將請求轉寄至該網域名稱。 伺服器回源網域名稱不應和要防護的網站網域名稱相同。
        伺服器連接埠 該網站網域名稱的來源站點連接埠。網站接入WAF執行個體進行防護後,WAF會將過濾後的訪問請求轉寄至該連接埠。 HTTP協議預設為80連接埠;HTTPS協議預設為443連接埠。如果您想要使用其它連接埠,可單擊自訂進行添加。關於WAF支援的非標準連接埠說明,請查看非標準連接埠說明
        WAF前是否有七層代理(高防/CDN等) 根據該網站業務的實際情況勾選。 如果該網站在WAF前需要配置其它七層代理進行轉寄,請務必勾選,否則WAF將無法擷取訪問該網站的用戶端真實IP資訊。
        負載平衡演算法 如果配置多個來源站點IP,勾選IP hash輪詢,WAF將根據所選擇的方式分發訪問請求,實現負載平衡。 -


      2. 選擇修改該網域名稱DNS解析的方式(手動修改CDN修改),並按照頁面提示完成修改。

        如果您需要手動修改該網域名稱的DNS解析,查看手動修改DNS解析瞭解詳細操作步驟。
        说明 在修改網域名稱的DNS解析前,建議您先在網站的來源站點伺服器上配置允許存取WAF回源IP段在本地環境中驗證網域名稱轉寄配置是否生效,確保該網站的訪問請求可以正常轉寄回來源站點伺服器。

查看Web Application Firewall為該網站分配的CNAME

網站配置添加成功後,WAF將自動為該網域名稱分配一個CNAME。通過將該網站網域名稱的訪問解析到該CNAME,所有訪問請求即可先經過該WAF執行個體後被轉寄至來源站點伺服器,實現安全防護。
说明 如果想要擷取該網域名稱所分配到的WAF IP,您通過Ping該網域名稱所分配到CNAME所解析到的IP即是所分配的WAF IP。一般情況下,所分配的WAF IP不會頻繁變更。
登入雲盾Web Application Firewall控制台,在 管理 > 網站配置頁面,選擇已添加的網站,將滑鼠移至 複製CName按鈕上即可查看WAF為該網站分配的CNAME。
说明 單擊 複製CName可將該CNAME複製到剪貼簿中。


上傳HTTPS認證和私密金鑰(僅適用於HTTPS網站)

如果您添加的網站支援HTTPS加密認證,且已勾選HTTPS協議類型,在添加網站配置後,您還需要在雲盾Web Application Firewall控制台上傳相應的認證和私密金鑰,否則將無法通過HTTPS協議訪問該網站。

網站配置添加成功後,在 管理 > 網站配置頁面中,該網站網域名稱的HTTPS協議狀態將顯示為異常,提示您當前認證配置有誤。

參考以下步驟,為該網站網域名稱上傳認證和私密金鑰:

  1. 登入雲盾Web Application Firewall控制台,在管理 > 網站配置頁面,選擇該網站網域名稱。
  2. 單擊HTTPS協議狀態右側的上傳認證按鈕。
  3. 更新認證對話方塊中,選擇上傳方式
    • 勾選手動上傳,填寫認證名稱,將該網站網域名稱所綁定的認證檔案和私密金鑰檔案中的常值內容分別複製粘貼到認證檔案私密金鑰檔案文字框中。
      说明
      • 對於一般格式的認證(如.pem、.cer、.crt等格式的認證),您可用文字編輯器直接開啟認證檔案複製其中的常值內容;對於其他格式的認證(如.pfx、.p7b等格式的認證)的認證,則需要將認證檔案轉換成.pem格式後再用文字編輯器開啟來複製其中的常值內容。

        關於認證格式的轉換方式,請查看HTTPS認證轉換成PEM格式

      • 如果該HTTPS認證有多個認證檔案(如憑證鏈結),需要將認證檔案中的常值內容拼接合并後粘貼至認證檔案文字框中。
      認證檔案常值內容範例
      -----BEGIN CERTIFICATE-----
      xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx8ixZJ4krc+1M+j2kcubVpsE2
      cgHdj4v8H6jUz9Ji4mr7vMNS6dXv8PUkl/qoDeNGCNdyTS5NIL5ir+g92cL8IGOkjgvhlqt9vc
      65Cgb4mL+n5+DV9uOyTZTW/MojmlgfUekC2xiXa54nxJf17Y1TADGSbyJbsC0Q9nIrHsPl8YKk
      vRWvIAqYxXZ7wRwWWmv4TMxFhWRiNY7yZIo2ZUhl02SIDNggIEeg==
      -----END CERTIFICATE-----
      私密金鑰檔案常值內容範例
      -----BEGIN RSA PRIVATE KEY-----
      DADTPZoOHd9WtZ3UKHJTRgNQmioPQn2bqdKHop+B/dn/4VZL7Jt8zSDGM9sTMThLyvsmLQKBgQ
      Cr+ujntC1kN6pGBj2Fw2l/EA/W3rYEce2tyhjgmG7rZ+A/jVE9fld5sQra6ZdwBcQJaiygoIYo
      aMF2EjRwc0qwHaluq0C15f6ujSoHh2e+D5zdmkTg/3NKNjqNv6xA2gYpinVDzFdZ9Zujxvuh9o
      4Vqf0YF8bv5UK5G04RtKadOw==
      -----END RSA PRIVATE KEY-----


    • 如果該網站網域名稱所綁定的HTTPS認證已添加至該雲帳號的雲盾認證服務進行管理,勾選選擇已有認證,直接選擇該認證即可。

  4. 單擊儲存,該網域名稱所綁定的認證和私密金鑰即上傳成功,HTTPS協議狀態更新為正常

查看網站網域名稱DNS解析狀態

網站網域名稱配置剛添加完成後,該網域名稱的DNS解析狀態可能顯示為 異常

一般來說,這種情況是正常的。當您將該網站網域名稱的DNS解析記錄切換至WAF所分配的CNAME,且該網站網域名稱的正常訪問流量已經經過WAF後,該網域名稱的DNS解析狀態才會顯示為正常。關於更多DNS解析狀態的判斷標準說明,請查看DNS解析狀態說明