更新时间:2024-04-10 GMT+08:00
单独使用WAF配置指导
当网站没有接入到WAF前,DNS直接解析到源站的IP。网站接入WAF后,需要把DNS解析到WAF的CNAME,这样流量才会先经过WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。本文介绍通过DNS配置模式接入WAF时,如何在已添加网站配置后,配置域名解析,实现业务接入。
原理图
图1 未使用代理配置原理图
前提条件
- 已有网站域名。
- 已购买WAF。
- 并已将网站信息(源站服务器的IP、端口等信息)添加到WAF。
- 在域名的DNS服务商处有更新DNS记录的权限。
- (可选)放行WAF回源段IP。源站服务器上已启用非华为云安全软件(如安全狗、云锁)时,您需要在这些软件上设置放行WAF回源段IP,防止由WAF转发到源站的正常业务流量被拦截。具体请参考通过配置ECS/ELB访问控制策略保护源站安全。
- (可选)进行本地验证。通过本地验证确保WAF转发规则配置正常后,再修改网站域名的DNS解析记录,防止因配置错误导致业务中断。具体请参考本地验证。
操作背景
- 如果您之前在DNS云解析服务上添加的域名主机记录的“类型”是“CNAME-将域名指向另外一个域名”,可参照CNAME接入完成配置。
有关DNS云解析服务的记录集类型和规则的详细介绍,请参见记录集类型及配置规则。
CNAME接入
如果您之前在DNS云解析服务上添加的域名主机记录的“类型”是“CNAME-将域名指向另外一个域名”,请参照以下操作步骤接入WAF。
以下操作以华为云云解析DNS为例介绍修改域名CNAME解析记录的方法。如果您的域名的DNS解析托管在华为云云解析DNS上,您可以直接参照以下步骤进行操作;若您使用华为云以外的DNS服务,请参考以下步骤在域名的DNS服务商的系统上进行类似配置。
- 获取CNAME值。
- 单击管理控制台左上角的
,选择区域或项目。 - 单击页面左上方的
,选择。 - 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。
- 在目标域名所在行中,单击目标域名名称,进入域名基本信息页面。
图2 查看基本信息
- 在“CNAME”信息行,单击
,复制“CNAME”值。
- 单击管理控制台左上角的
- 域名解析。
- 进入云解析页面的入口,如图3所示。
- 在目标域名所在行的“操作”列,单击“修改”,进入“修改记录集”页面。
- 在弹出的“修改记录集”对话框中修改记录值,如图4所示。
- “主机记录”:在WAF中配置的域名。
- “类型”:选择“CNAME-将域名指向另外一个域名”。
- “线路类型”:全网默认。
- “TTL(秒)”:一般建议设置为5分钟,TTL值越大,则DNS记录的同步和更新越慢。
- “值”:修改为已复制的WAF CNAME地址。
- 其他的设置保持不变。
关于修改解析记录:
- 对于同一个主机记录,CNAME解析记录不能重复,您需要将已存在的解析记录的CNAME修改为WAF CNAME地址。
- 同一解析记录下,不同DNS解析记录类型间可能存在冲突。例如,对于同一个主机记录,CNAME记录与A记录、MX记录、TXT记录等其他记录互相冲突。在无法直接修改记录类型的情况下,您可以先删除存在冲突的其他记录,再添加一条新的CNAME记录。删除其他解析记录并新增CNAME解析记录的过程应尽可能在短时间内完成。如果删除A记录后没有添加CNAME解析记录,可能导致域名无法正常解析。
域名解析类型的限制规则请参见添加记录集时,为什么会提示“与已有解析记录冲突”?。
- 单击“确定”,完成DNS配置,等待DNS解析记录生效。
- (可选)验证DNS配置。您可以Ping网站域名验证DNS解析是否生效。
由于DNS解析记录生效需要一定时间,如果验证失败,您可以等待5分钟后重新检查。
父主题: WAF云模式接入配置
