有奖捉虫:云通信与企业服务文档专题,速来> HOT
使用 Web 应用防火墙(WAF)防护您的 Web 业务前,需要先将防护的网站接入到 Web 应用防火墙。未完成接入前,您的 Web 应用防火墙防护将无法生效。本文档将指导您如何在 SaaS 型 WAF 中接入域名。

操作步骤

1. 登录 Web 应用防火墙控制台,在左侧导航栏中,选择资产中心 > 接入管理,进入域名接入页面。
2. 在域名接入页面,单击添加域名,进入添加域名页面。
3. 在添加域名页面,配置相关基础参数。


字段说明
所属实例:选择 SaaS 型,在右侧选择所需实例。
域名:在域名输入框中添加需要防护的域名 yyyyy.xxxxxxx.cn
服务器配置:协议和端口可按实际情况选择。更多端口添加请参见 接入相关端口
选择 HTTP 协议,输入端口。
选择 HTTPS 协议,输入端口后需要配置关联证书、HTTPS 强制跳转和 HTTPS 回源方式。
关联证书:单击关联证书,根据需求选择腾讯云托管证书或自有证书。
HTTPS 强制跳转:如需开启 HTTPS 强跳,需同时勾选 HTTP 和 HTTPS 访问协议。
HTTPS 回源方式:HTTP 或 HTTPS。
说明
选择 HTTP 协议时可以指定配置回源端口;选择 HTTPS 暂不支持指定配置回源端口,端口和对外开放端口一致。
选择 HTTPS 协议时支持开启回源 SNI 开关,并选择保持源请求 host、修正为源站 host 或自定义 host。
代理情况:根据实际情况选择是否已使用了高防、CDN、云加速等代理。
选择否:表示 WAF 收到的业务请求来自发起请求的客户端。WAF 直接获取与 WAF 建立连接的 IP 地址作为客户端 IP。
选择是:表示 WAF 收到的业务请求来自其他七层代理服务转发,而非直接来自发起请求的客户端。为了保证 WAF 可以获取真实的客户端 IP,进行安全分析和防护,您需要进一步设置客户端 IP 判断方法。
读取请求 Header 字段 X-Forwarded-For(XFF)中的第一个 IP 地址作为客户端 IP。
获取网络层的 remote_ip 作为客户端的源 IP,防止 XFF 伪造。
获取指定 header 字段的 IP 地址。
说明
推荐您在业务使用自定义 Header 存放客户端 IP,并在 WAF 中配置对应 Header 字段。该方式可以避免攻击者伪造 XFF 字段,屏蔽 WAF 的防护规则,有效提高业务的安全性。
源站地址:根据实际需求选择 IP 或域名。
IP:请输入源站 IPv4或 IPv6地址,用回车分隔多个 IP,最多支持输入50个。
域名:请输入源站域名,注意:源站域名不能和防护域名相同。
加权回源:当源站地址设置多 IP 回源时。可以选择加权回源方式,并设置不同的权重。
负载均衡策略:默认为轮询方式,可根据实际需求选择轮询、 IP Hash或加权轮询方式。
4. 配置完基础参数后,可根据需求配置高级参数,单击确定保存。

字段说明
回源连接方式:默认使用长连接回源,请确认源站是否支持长连接,若不支持,即使设置长连接,也会使用短连接。
开启 HTTP2.0:请确保您的源站支持并开启了 HTTP2.0,否则,即使配置开启2.0也将降级为1.1。
开启 Websocket:如果您的网站使用了 Websocket,建议您选择是。
开启健康检查:企业版以及以上版本,支持开启基于回源IP的四层健康检查机制。
开启 XFF 重置:支持清空 X-Forwarded-For 字段值,请确认 WAF 前无七层代理服务后开启。
5. 完成配置后,可在域名接入页面看到新添加的域名。当前界面显示未配置 CNAME 记录,需要 本地验证测试 后,再 修改 DNS 解析
说明
Web 应用防火墙将会为每个添加到 Web 应用防火墙的域名(不区分一级域名和二级域名)分配一个唯一的 CNAME。




后续步骤

当您添加完域名后,可执行如下步骤: