全部產品
Search

搜尋本產品

    Web Application Firewall:部署WAF和CDN為開啟內容加速的網域名稱提供WAF防禦

    文件中心

    Web Application Firewall:部署WAF和CDN為開啟內容加速的網域名稱提供WAF防禦

    更新時間:Sep 05, 2025

    如果您的網路開啟了內容分發網路(Content Delivery Network,簡稱CDN),且存在一定的Web攻擊風險時,我們推薦您組合使用CDN和Web Application Firewall(Web Application Firewall,簡稱WAF)。WAF支援與阿里雲CDN或非阿里雲CDN(例如網宿、加速樂、七牛、又拍等)聯合部署。本文介紹如何為業務同時部署WAF和CDN。

    網路架構

    WAF和CDN同時部署時採用以下網路架構:CDN(入口層,內容加速)> WAF(中介層,實現應用程式層防護)> 來源站點伺服器(ECS、SLB、VPC、IDC等)。網站業務流量會先經過CDN加速後,轉寄到WAF過濾Web攻擊,最後只有正常的業務流量被轉寄到來源站點伺服器,保障網站的業務安全和資料安全。

    前提條件

    • 已開通CDN服務,並已將網域名稱添加到CDN。更多資訊,請參見快速使用CDN

    • 已開通WAF執行個體。

    步驟一:網域名稱接入WAF

    1. 登入Web Application Firewall控制台,在頂部功能表列,選擇WAF執行個體的資源群組和地區(中國內地非中國內地)。

    2. 在左側導覽列,選擇資產中心 > 網站接入

    3. 網域名稱列表頁簽,單擊網站接入

    4. 添加網域名稱。

      • CNAME接入模式

        說明

        進入添加網域名稱頁面後,接入模式預設為Cname接入。CNAME接入模式下,您無需再修改接入模式

        1. 填寫網站資訊設定精靈,完成以下參數配置後,單擊下一步

          配置項

          說明

          網域名稱

          填寫要防護的網站網域名稱。

          防護資源

          按實際情況選擇要使用的防護資源類型。

          協議類型

          按實際情況選擇網站支援的協議類型。

          伺服器位址

          選擇IP並填寫來源站點伺服器對應的SLB公網IP、ECS公網IP或雲外機房伺服器的IP。

          伺服器連接埠

          根據已選擇的協議類型,按實際情況設定來源站點提供對應服務的連接埠。

          負載平衡演算法

          當設定了多個來源站點伺服器位址時,按實際情況選擇多來源站點伺服器間的負載平衡演算法。

          WAF前是否有七層代理(高防/CDN等)

          選擇

          啟用流量標記

          按實際情況設定是否啟用WAF流量標記功能。

          資源群組

          當需要根據業務部門、專案等維度對雲資源進行分組管理時,從資源群組列表中選擇該網域名稱所屬資源群組。

        2. 在網域名稱列表定位到新添加的網域名稱,複製WAF為該網域名稱分配的CNAME地址。WAF側CNAME地址

      • 透明接入模式

        1. 添加網域名稱頁面,選擇接入模式透明接入

        2. 添加網域名稱資訊設定精靈,完成以下參數配置後,單擊下一步

          配置項

          說明

          網域名稱

          填寫要防護的網站網域名稱。

          ALB類型七層SLB類型四層SLB類型ECS類型

          在標籤頁中選擇待防護執行個體所屬類型,勾選待防護執行個體對應的連接埠。

          WAF前是否有七層代理(高防/CDN等)

          選擇

          啟用流量標記

          按實際情況設定是否啟用WAF流量標記功能。

          資源群組

          當需要根據業務部門、專案等維度對雲資源進行分組管理時,從資源群組列表中選擇該網域名稱所屬資源群組。

        3. 檢查並確認配置後,單擊下一步

        4. 單擊完成,返回網域名稱列表。在伺服器列表頁簽,通過搜尋資源執行個體ID,尋找執行個體對應的IP和連接埠號碼。image.png

    步驟二:為已添加到CDN的網域名稱開啟WAF防護

    1. 登入CDN控制台

    2. 在左側導覽列,單擊域名管理

    3. 在網域名稱列表,定位到要開啟WAF防護的網域名稱,單擊操作列的管理

    4. 基本配置分頁,單擊新增來源站點資訊。完成如下配置後,單擊確定

      參數

      說明

      來源站點資訊

      • 如果網域名稱通過CNAME接入模式接入WAF時,選擇來源站點網域名稱並填寫添加網域名稱中擷取的WAF的CNAME地址。

      • 如果網域名稱通過透明接入模式接入WAF時,選擇IP並填寫添加網域名稱中擷取的來源站點伺服器的公網IP。

      優先順序

      設定支援的主備優先順序,主優先順序大於備優先順序。

      權重

      當多個來源站點的優先順序相同時,設定來源站點的權重,實現按權重的負載平衡。

      端口

      填寫CDN節點回到來源站點的請求連接埠。

    5. 在網域名稱詳情頁,單擊回源配置分頁,在配置頁簽,確認預設回源HOST未開啟。

      預設回源HOST

    6. 修改DNS解析指向CDN的CNAME。具體操作,請參見配置CNAME

    完成上述配置後,網站流量經過CDN,其中動態內容將繼續通過WAF進行安全檢測防護。

    說明

    如果您需要將其他網域名稱(網域名稱B)的業務通過已添加到WAF的網域名稱(網域名稱A)轉寄,實現通過登入網域名B訪問網域名稱A,而網域名稱B不生效WAF防護的效果。您可以在完成上述配置後,登入Alibaba Cloud DNS控制台,修改網域名稱B的DNS解析,設定URL轉寄到網域名稱A。具體操作,請參見配置URL顯性/隱性轉寄

    完成以上配置後,您可以執行如下操作,檢測網域名稱是否添加成功:

    • 在瀏覽器輸入已添加的網域名稱,如果網站能正常訪問,表示網域名稱添加成功。

    • 在瀏覽器輸入已添加的網域名稱和Web攻擊代碼(例如<被防護網域名稱>/alert(xss)alert(xss)為用作測試的跨站指令碼攻擊代碼),如果返回405攔截提示頁面,表示攻擊被攔截,WAF防護成功。

    相關操作

    如果您希望為開啟全站加速的網域名稱提供WAF防護,您可以在全站加速控制台開啟邊緣WAF並完成配置後,在全站加速節點上直接使用WAF防護。具體操作,請參見快速入門邊緣WAF(新版)

    相關文檔

    • 添加網域名稱:介紹了開通WAF後,如何通過CNAME接入方式將您要防護的網域名稱接入WAF進行防護。

    • 透明接入:介紹了開通WAF後,如何通過透明接入方式將您要防護的網域名稱接入WAF進行防護。

    • 添加加速網域名稱:介紹開通阿里雲CDN後,如何將網域名稱加入CDN。