使用 Web 应用防火墙(WAF)防护您的 Web 业务前,需要先将防护的网站接入到 Web 应用防火墙。未完成接入的网站将无法获得 WAF 防护。
本文档将指导您如何在 SaaS 型 WAF 中完成域名接入操作。
前提条件
已购买 SaaS 类型 WAF 实例,详情请前往 Web 应用防火墙购买页。
若接入的源站域名位于中国大陆地区,源站业务内容必须合法,并完成工信部备案。具体备案要求请参阅 接入 WAF 的域名要求。
操作步骤
1. 登录 Web 应用防火墙控制台,在左侧导航栏顶部选择实例所在区域(中国大陆/非中国大陆)。
2. 在左侧导航栏中,选择接入管理 > 域名接入。
3. 在域名接入页面,单击添加域名,进入添加域名页面。
4. 在添加域名页面,配置相关基础参数。
字段说明
所属实例:选择 SaaS 型,并在右侧选择所需的具体实例。
域名:在域名输入框中添加需要防护的域名。
说明:
1. 域名格式要求:支持接入标准域名(如 example.com、a.b.example.com)。单域名接入配置仅对该域名生效。
2. 泛域名格式要求:同一账号下支持精准域名(如 a.path.example.com)与泛域名(如 *.path.example.com)同时接入。系统优先匹配精准度更高的策略。不同账号间不得接入同一泛域名下的域名。
服务配置:根据实际情况选择协议和端口配置。详细端口信息请参阅 接入相关端口。
HTTP 协议:输入相应端口。
HTTPS 协议:输入端口后需配置关联证书、HTTPS 强制跳转及 HTTPS 回源方式。
普通证书配置:启用 HTTPS 协议时,需将网站域名关联的 SSL 证书配置至 WAF,以便监听和防护该域名的 HTTPS 业务流量。单击关联普通证书,选择腾讯云托管证书或导入自有普通证书。
国密证书配置:若网站需支持国密 SM2 算法,需上传国密证书。国密证书与普通证书可同时生效。此功能仅企业版及以上版本支持。单击国密证书配置,选择腾讯云托管证书或导入自有国密证书。
HTTPS 强制跳转:如需开启 HTTPS 强制跳转,需同时勾选 HTTP 和 HTTPS 访问协议。
HTTPS 回源方式:
HTTP 协议:可指定配置回源端口。
HTTPS 协议:暂不支持指定配置回源端口,端口与对外开放端口保持一致。
回源 SNI 开关:开启后,支持用户设置 host 的方式为保持源请求 host、修改为源站 host,以及自定义 host。
代理情况:根据实际业务情况选择是否使用高防、CDN、云加速等代理服务。
选择否:WAF 接收的请求直接来自客户端。WAF 将与客户端建立连接的 IP 地址作为客户端 IP。
选择是:WAF 接收的请求来自其他七层代理服务。为确保获取真实客户端 IP 以进行安全分析,需设置客户端 IP 判断方法:
读取请求 Header 字段 X-Forwarded-For (XFF) 中的第一个 IP 地址作为客户端 IP。
获取网络层的 remote_ip 作为客户端源 IP,防止 XFF 伪造。
获取指定 header 字段的 IP 地址。
说明:
建议在业务中使用自定义 Header 存放客户端 IP,并在 WAF 中配置对应 Header 字段。此方式可避免攻击者伪造 XFF 字段,绕过 WAF 防护规则,提升业务安全性。
回源策略:根据业务需求,可选择以下两种回源策略:
负载均衡回源:请在参数负载均衡回源策略中设置相关防护策略。
自定义分流回源:支持将不同流量转发至不同源站地址。配置字段支持 HOST 或 URL 地址,匹配方式包括等于、不等于、属于、不属于四种逻辑关系,匹配内容支持用户自定义。回源策略支持配置轮询和 IP HASH 两种方式。
灰度功能提示:
源站地址:根据实际需求选择 IP 或域名:
IP:输入源站 IPv4 或 IPv6 地址,多个地址用回车分隔,最多支持输入 50 个。
域名:输入源站域名。
注意:
源站域名不能与防护域名相同。
负载均衡策略:支持轮询、IP Hash 与加权轮询策略。配置两个及以上源站 IP 地址时,支持选择加权轮询策略,默认采用轮询方式。
5. 完成基础参数配置后,可根据需求设置高级参数。高级设置提供两种模式:
常规业务场景配置:适用于常规 Web 业务或 API 服务的域名。
大模型业务场景配置:适用于有大模型 API / 生成式 AI 服务的域名。
说明:
开启 LLM WAF 增值能力后,支持配置 SSE 协议接入。普通模式下不支持 SSE 协议接入。
字段说明:
开启代理缓存:启用后,WAF 可缓存部分从源站获取的内容,当用户请求相同内容时直接从缓存返回,降低源站压力。若业务依赖 SSE,建议关闭代理缓存以确保数据实时更新。
回源连接方式:默认使用长连接回源。请确认源站是否支持长连接;若不支持,即使设置为长连接,系统仍将使用短连接。
写/读超时时长:自定义 WAF 向源站发送请求数据和等待响应的超时时限,默认 300 秒,范围 1~600 秒。
TLS 版本:支持多种 TLS 版本选择。WAF 会默认拦截不在指定范围内的 TLS 协议版本和加密套件的访问流量。为确保业务正常运行,请谨慎选择。
加密套件模板:支持通用型模板、安全型模板及自定义模板。
开启 HTTP2.0:请确保源站支持并已开启 HTTP2.0,否则即使配置开启也将降级为 1.1。
开启 WebSocket:若网站使用 WebSocket,建议选择启用。
开启 XFF 重置:支持清空 X-Forwarded-For 字段值。请确认 WAF 前无七层代理服务后再启用。
回源 HOST:可选择保持源 HOST 或自定义回源 HOST。
源站拨测服务:用于探测域名在 WAF 上的服务 IP 和源站的可访问性,支持自动化运维告警和排障,建议启用。
说明:
Web 应用防火墙将为每个添加的域名(包括一级域名和二级域名)分配唯一的 CNAME。
后续步骤
当您添加完域名后,可执行如下步骤:
