通過修改網域名稱的DNS解析記錄將網站網域名稱解析到WAF,完成業務正式接入。推薦您使用CNAME方式接入WAF,成功添加網域名稱到WAF控制台後,WAF會為網域名稱分配一個CNAME值,您只需添加/修改網域名稱的CNAME解析記錄為分配的CNAME值,即可完成接入。

參照步驟1:添加網站配置查看Web Application Firewall為該網站分配的CNAME,記錄下WAF分配給網域名稱的CNAME值,如 xxxxxxxx7wmqvixt8vedyneaepztpuqu.alicloudwaf.com

CNAME接入說明

WAF通常採用CNAME解析的方式將網站接入進行防護,也支援A記錄解析的方式接入。
说明 強烈建議您採用CNAME解析的方式。因為在某些極端情況下(如節點故障、機房故障等),通過CNAME解析方式接入WAF,可以實現自動切換節點IP甚至將直接解析切回來源站點,從而最大程度保證業務的穩定運行,提供高可用性和災備能力。

如果必須使用A記錄解析的方式接入(例如,@記錄與MX記錄衝突等情況),您可以通過Ping WAF分配的CNAME值擷取所分配的WAF IP(該IP地址一般不會頻繁變更),然後將網站網域名稱通過A記錄解析的方式接入WAF進行防護。

網域名稱主機記錄

關於網域名稱的主機記錄,以網域名稱 abc.com為例:
  • www: 用於精確匹配www開頭的網域名稱,如www.abc.com,但無法匹配abc.com
  • @: 用於匹配直接存取abc.com的情況
  • *: 用於匹配泛網域名稱,即匹配任意網域名稱,如blog.abc.comwww.abc.comabc.com
修改DNS解析記錄的注意事項
  • 對於同一個主機記錄,CNAME解析記錄值只能填寫一個,您可以將該記錄值修改為WAF的CNAME值,從而將網站網域名稱接入WAF進行防護。
  • 由於不同DNS解析記錄類型存在衝突,對於同一個主機記錄,CNAME記錄與A記錄、MX記錄、TXT記錄等其他記錄互相衝突。您需要刪除原其它記錄後再添加CNAME記錄解析記錄,或者將原記錄類型修改為CNAME類型。

    關於DNS解析記錄互斥的詳細說明,請參考解析記錄衝突的規則

    说明 刪除其它解析記錄並新增CNAME解析記錄的過程應儘可能在短時間內完成。如果刪除A記錄後長時間沒有添加CNAME解析記錄,可能導致網域名稱無法正常解析。
  • 如果必須保留MX記錄(郵件伺服器記錄),您可以使用A記錄解析的方式將網域名稱解析到WAF的IP。通過Ping CNAME擷取所分配的WAF IP(該IP地址一般不會頻繁變更)後,將網站網域名稱A解析記錄類型的記錄值修改為該WAF IP。
    说明 使用A記錄解析的方式進行接入,WAF將無法支援自動故障叢集調度和故障bypass操作。

操作步驟

本文以阿里雲Alibaba Cloud DNS和花生殼為例,介紹DNS配置方式,其它DNS供應商可以參考本文檔進行類似配置。

阿里雲雲解析配置樣本
说明 如果您使用 阿里雲Alibaba Cloud DNS行網域名稱解析,並且在執行步驟1:添加網站配置前已經為網域名稱設定並啟用了A記錄(且如果是中國大網域名稱,已完成備案),則您在添加網站配置時,可以一鍵添加網站並自動更新解析記錄。以下操作步驟適用於您的網域名稱已經添加到WAF網域名稱列表,但DNS解析狀態為異常的情況。

參照以下步驟,在阿里雲雲解析修改CNAME記錄來接入WAF:

  1. 登入阿里雲雲解析控制台
  2. 選擇要操作的網域名稱,單擊其操作列的解析設定

  3. 選擇要操作的主機記錄,單擊其操作列下的修改
    说明 您也可以刪除已有的A記錄,然後單擊 添加記錄,添加一條新的CNAME記錄。刪除原解析記錄後,請儘快添加CNAME解析記錄,否則可能導致網站網域名稱解析失敗。


  4. 將記錄類型修改為CNAME,記錄值修改為WAF所分配的CNAME值。
    说明 TTL值一般建議設定為600秒(即10分鐘)。TTL值越大,則DNS記錄的同步和更新越慢。


花生殼配置樣本

部分網域名稱供應商(如花生殼)可能不支援直接修改已有解析記錄的記錄類型和主機記錄,您需要刪除原有的A記錄後,再添加新的CNAME解析記錄。
说明 刪除原解析記錄後,請儘快完成添加CNAME解析記錄,否則可能導致網站網域名稱解析失敗。
參照下圖設定來修改您的網域名稱在花生殼上的DNS解析資訊。

驗證DNS配置

將網站網域名稱的DNS解析切換至WAF後,您的網站網域名稱即接入WAF進行防護。解析記錄配置完成後,您可以通過Ping網站網域名稱的方式或 DNS Check等其他工具驗證DNS解析生效情況。
说明 由於DNS解析記錄生效需要一定時間,如果本地測試網域名稱無法訪問,您可以等待10分鐘後重新檢查。