文档简介:
开通云WAF实例后,需要将您需要防护的网站域名接入WAF,使网站的访问流量全部流转到WAF进行检测并转发,实现恶意流量的拦截。
域名接入WAF后,WAF作为一个反向代理存在于客户端和服务器之间,服务器的真实IP被隐藏起来,Web访问者只能看到WAF的IP地址。
当前云WAF提供CNAME接入模式,可以防护通过域名访问的Web应用/网站,包括Web业务服务器部署在天翼云上、非天翼云或线下的域名。
CNAME接入流程
在WAF控制台添加需要防护的网站域名后,通过修改域名的DNS解析设置,将网站流量解析到WAF,使访问网站的流量经过WAF并受到WAF的防护。WAF将过滤和处理后的请求转发回该域名的源站服务器。接入流程如下:
1. 添加域名:配置域名、协议、源站等相关信息;
2. 放行WAF回源IP段:WAF使用特定的回源IP段将经过防护引擎检测后的正常流量转发回网站域名的源站服务器。网站接入WAF进行防护时,您需要设置源站服务器的安全软件或访问控制策略,放行WAF回源IP段的入方向流量。
3. 本地验证:添加域名后,在本地电脑上搭建简易的模拟环境,验证网站流量转发设置已经生效,避免转发设置未生效时修改域名的DNS解析设置,导致业务访问异常。
4. 修改域名DNS:若域名在接入WAF前未使用代理,则需要到该域名的DNS服务商处,修改域名的DNS解析配置,将网站的流量解析到WAF;若域名在接入WAF前使用了代理(DDoS高防、CDN等),则需要将使用的代理类服务(DDoS高防、CDN等)的回源地址修改为的目标域名的“CNAME”值。
完成接入流程后,网站访问流量将经过WAF转发检测。WAF包含多种防护检测模块,帮助网站应对不同类型的安全威胁,其中Web基础防护模块默认开启,用于防御常见的Web应用攻击(例如SQL注入、XSS跨站、webshell上传等),其他防护模块需要您手动开启并配置具体防护规则。
