Web 应用防火墙：域名独享IP

什么是共享IP、独享IP

在CNAME接入方式下，域名接入WAF后，系统将分配一个独立的虚拟IP（VIP）用于接收业务请求。该VIP不与其他租户共享。阿里云WAF实例提供高可用的防护服务，此VIP并非绑定于某一具体物理设备，而是属于阿里云WAF集群资源。在同一WAF实例下：

• 未开启域名独享IP或智能负载均衡功能时，所有域名共用一个VIP。

• 开启域名独享IP后，每个域名分配独立的VIP。

然而，此IP地址并不固定，为最大程度保证业务的稳定运行，请严格按照CNAME接入的步骤修改域名DNS解析设置。更多信息，请参见是否能将DNS解析修改为WAF的VIP？

独享IP的价值

启用域名独享 IP 可有效隔离 DDoS 攻击风险。当某一域名遭受大流量 DDoS 攻击导致WAF 的 VIP 进入黑洞状态时，若其他域名共用该 VIP，则同样无法访问。通过为关键域名启用独享 IP，可避免因共享 IP 被黑洞而影响重要业务的可用性。

启用独享IP

仅支持在 CNAME接入 方式下为域名启用独享 IP，启用独享IP的操作步骤如下：

计费说明

独享 IP 为计费功能，按启用该功能的域名数量计费：

• 启用独享 IP 的域名越多，费用越高。

• 具体计费标准请参见：按量付费计费说明与包年包月计费说明。

WAF的VIP（独享IP或共享IP）与WAF的回源IP段有什么区别？

• WAF VIP

  • 是WAF的入口IP，是客户端访问网站时实际连接的目标地址。  

  • 所有来自客户端的请求首先到达此 VIP，由 WAF 进行安全检测和过滤。 

  • 分为 共享 IP（多个域名共用）和 独享 IP（单个域名专用）。

• WAF 回源 IP 段

  • 是 WAF 在完成安全检测后，向源站服务器发起回源请求时所使用的 IP 地址段。 

  • 从源站视角看，所有来自 WAF 的请求均源自这些回源 IP。 

  • 源站的安全策略（如防火墙、安全组）必须放行 WAF 的回源 IP 段，否则将导致回源失败。

如何查看WAF VIP的具体IP地址?

WAF的VIP（即独享IP或共享IP）无法在控制台上直接查看，需要在客户端使用ping或nslookup命令对已接入WAF的域名进行查询。

ping example.com  #需替换为已接入WAF的域名

是否能将DNS解析修改为WAF的VIP？

不能，通过CNAME方式接入WAF时，必须将DNS解析指向WAF提供的CNAME地址，而非指向WAF的VIP地址。这是因为VIP地址可能会发生变更，例如开启或关闭独享IP或智能负载均衡时，甚至极端情况下的WAF故障时，直接指向VIP可能导致服务中断。使用CNAME可确保后端IP地址自动切换，保障业务连续性。

对域名做端口扫描，为什么显示并未开放的高危端口？有无风险？

使用Nmap等工具扫描CNAME接入WAF的域名时，可能会扫描出源站服务器未开放的端口。这是因为域名解析指向WAF的VIP，实际扫描目标为VIP端口，属正常情况。

WAF仅转发控制台已配置端口的流量。对于未配置端口，WAF在完成TCP三次握手后立即发送RST包终止连接，不转发任何数据。因此，未配置端口无安全风险，且VIP端口不支持手动关闭。更多信息，请参见WAF非标端口开放说明。

如何设置默认SSL或TLS策略，使VIP满足合规要求？

为满足合规场景下的HTTPS通信要求，WAF支持为VIP自定义SSL证书及TLS策略。在对WAF的VIP执行合规扫描前，请按照以下步骤上传符合合规要求的HTTPS证书，并启用或禁用指定版本的TLS协议与加密套件。