通过CNAME接入方式接入域名到Web应用防火墙(WAF)后,您必须将域名的DNS解析指向WAF提供的CNAME地址(或WAF IP地址),才可以使域名的Web请求解析到WAF进行安全防护。本文介绍了修改域名DNS解析设置的相关操作。
前提条件
- 您拥有在域名的DNS服务商处修改域名解析设置的权限。
- 已通过CNAME接入方式,在WAF中添加要防护的域名。
相关操作,请参见接入域名。
- 已在源站服务器上放行WAF回源IP段。
如果您的源站服务器上使用了安全狗、云锁等安全软件或应用了特定的访问控制策略,您必须在源站设置放行 WAF回源IP段 ,避免由WAF转发回源站服务器的正常流量被误判断为异常攻击而被拦截,影响Web业务正常访问。
相关操作,请参见放行WAF回源IP段。
- 可选:已通过本地验证确保转发配置生效。
建议您在修改域名DNS解析设置前,通过本地验证确保WAF的网站转发配置正常,防止因配置错误导致业务中断。
警告 如果在WAF的网站转发配置未生效时修改域名DNS解析设置,可能导致业务中断。相关操作,请参见本地验证。
背景信息
WAF支持通过以下两种方式接入域名的Web请求:
- CNAME接入(推荐):将域名解析到WAF CNAME地址。
在某些极端情况下(例如,节点故障、机房故障等),CNAME接入可以实现自动切换节点IP,甚至直接将解析切回源站,从而最大程度保证业务的稳定运行,提供高可用性和灾备能力。
- A记录接入:将域名解析到WAF IP地址。
建议您只在CNAME接入与域名解析设置存在冲突时(例如,CNAME记录与MX记录冲突,但出于业务原因必须保留MX记录),再使用A记录接入。
关于DNS解析记录冲突的详细说明,请参见解析记录冲突规则。
获取WAF CNAME地址和WAF IP地址
修改域名DNS解析设置前,您必须先获取域名对应的WAF CNAME地址(或WAF IP地址)。如果您在添加域名时已经获得相关地址,请跳过以下操作。
- 定位到已添加的域名,单击CNAME后的
图标,复制域名对应的WAF CNAME地址。
使用云解析DNS修改域名解析
以下操作以阿里云云解析DNS为例介绍修改域名解析记录的方法。如果您的域名解析托管在阿里云云解析DNS,您可以直接参照以下步骤进行操作。如果您使用其他服务商的DNS服务,请参照以下步骤在域名DNS服务商的系统上进行类似配置。
- 在修改记录对话框,选择使用CNAME接入或A记录接入的方式修改记录。
- CNAME接入:将记录类型设置为CNAME、记录值修改为WAF CNAME地址,其余设置保持不变。
说明 TTL值一般建议设置为10分钟。TTL值越大,DNS记录的同步和更新越慢。
关于不同记录类型的冲突需注意以下情况:
- 对于同一个主机记录,CNAME解析记录值只能填写一个,您需要将其修改为WAF CNAME地址。
- 不同DNS解析记录类型间存在冲突。例如,对于同一个主机记录,CNAME记录与A记录、MX记录、TXT记录等其他记录互相冲突。在无法直接修改记录类型的情况下,您可以先删除存在冲突的其他记录,再添加一条新的CNAME记录。
警告 删除其他解析记录并新增CNAME解析记录的过程应尽可能在短时间内完成。如果删除A记录后长时间没有添加CNAME解析记录,可能导致域名无法正常解析。
- 如果必须保留MX记录(邮件服务器记录),建议您使用A记录接入的方式将域名解析到WAF IP。
- A记录接入:将记录类型设置为A、记录值修改为WAF IP地址,其余设置保持不变。
说明 TTL值一般建议设置为10分钟。TTL值越大,DNS记录的同步和更新越慢。
- CNAME接入:将记录类型设置为CNAME、记录值修改为WAF CNAME地址,其余设置保持不变。