文档简介:
使用CNAME接入方式接入云WAF前,先要添加需要防护的域名。本文介绍如何将要防护的域名添加到云WAF。
前提条件
已购买WAF实例,且当前实例支持接入的域名数量未超过限制。
如果您已购买云WAF实例,您必须先为域名完成ICP备案,才可以将网站接入云WAF。
操作步骤
1. 登录天翼云控制中心;
2. 单机管理控制台右上方的
,选择地域;
3. 在控制台列表页,选择“安全>Web应用防火墙(原生版)”;
4. 进入到云WAF控制台,点击“域名接入”进入域名列表页,点击“添加域名”;
5. 进入域名接入信息配置页,依次配置“防护域名”、“服务器配置”、“源站配置”、“源站地址”、“代理情况”、“负载均衡策略”信息:
配置项说明如下:
|
配置项 |
说明 |
|
域名 |
填写网站域名。支持添加精确域名和泛域名:
|
|
服务器配置 |
选择网站使用的协议类型以及对应的转发服务端口。 协议类型可选项:
选中协议后,系统会对应设置默认端口,HTTP协议默认为80端口,HTTPS协议默认为443端口。用户也可自定义选择其他端口,可选类型:
选择HTTPS后,还支持启用以下功能:
HTTPS强制跳转表示将客户端的HTTP请求强制转换为HTTPS请求,默认跳转到443端口。如果您需要强制客户端使用HTTPS请求访问网站以提高安全性,则开启该设置。 说明:
若选择HTTPS协议,还需要上传证书,且证书必须正确、有效,才能保证WAF正常防护网站的HTTPS协议访问请求。 上传证书支持以下方式:
|
|
源站地址 |
设置网站的源站服务器地址,支持IP地址格式和域名(如CNAME)格式。完成接入后,WAF将过滤后的访问请求转发到此处设置的服务器地址。设置说明:
|
|
代理情况 |
选择网站业务在接入WAF前是否开启了其他代理服务(例如DDoS高防、CDN等),按实际情况选择:
|
|
负载均衡策略 |
当设置了多个源站服务器地址时,需设置多源站服务器间的负载均衡算法。可选项如下:
设置生效后,WAF将根据设置的负载均衡算法向多个源站地址分发回源请求,实现负载均衡。 |
6. 修改DNS解析。
根据根据页面提示修改域名的DNS解析,将网站域名解析到WAF进行防护,完成后单击下一步。更多信息,请参见修改域名DNS。
7. 添加完成。
根据页面提示设置放行WAF回源IP段,完成后单击完成,返回网站列表,返回网站接入页面。更多信息,请参见放行WAF回源IP段。
8. 域名添加完成后,该域名WAF防护开关默认开启。
后续配置
完成域名接入流程后,网站访问流量将经过WAF保护,您还需要完善以下防护配置,才能实现针对性的网站防护。
|
配置 |
说明 |
相关文档 |
|
Web基础防护 |
覆盖OWASP常见安全威胁,支持SQL注入、XSS、文件包含、远程命令执行、目录穿越、文件上传、CSRF、SSRF、命令注入、模板注入、XML实体注入等攻击检测和拦截。 |
Web基础防护 |
|
CC防护 |
CC防护支持默认防护策略及灵活的自定义防护策略。自定义策略支持依托精准访问控制规则进行特征识别,并根据访问源IP/ SESSION控制访问频率,恶意流量通过阻断、人机验证等处置手段有效缓解CC攻击。 |
CC防护 |
|
BOT防护 |
提供公开类型、协议特征、自定义会话特征等多种判定维度的防护策略,支持根据BOT会话行为特征设置BOT对抗策略,对BOT行为进行处理,有效防护搜索引擎、扫描器、脚本工具等爬虫攻击。 |
BOT防护 |
|
精准访问控制 |
支持基于IP、URL、Referer、User-Agent等请求特征进行多维度组合,定义访问匹配条件过滤访问请求,实现针对性的攻击阻断。 |
精准访问控制 |
|
IP黑白名单 |
支持添加始终拦截与始终放行的黑白名单IP/IP地址段,增强防御准确性。 |
IP黑白名单 |
|
地域访问控制 |
支持针对地理位置的黑名单封禁,可指定需要封禁的国家、地区,阻断该区域的来源IP的访问。 |
地域访问控制 |
