使用 Web 应用防火墙(WAF)防护您的 Web 业务前,需要先将防护的网站接入到 Web 应用防火墙。未完成接入前,您的 Web 应用防火墙防护将无法生效。本文档将指导您如何在 SaaS 型 WAF 中接入域名。
操作步骤
1. 登录 Web 应用防火墙控制台,在左侧导航栏顶部,将控制台切换至实例所在区域(中国大陆/非中国大陆)。
2. 在左侧导航栏中,选择接入管理 > 域名接入。
3. 在域名接入页面,单击添加域名,进入添加域名页面。
4. 在添加域名页面,配置相关基础参数。
字段说明
所属实例:选择 SaaS 型,在右侧选择所需实例。
域名:在域名输入框中添加需要防护的域名。
说明:
1. 如果接入 WAF 防护源站域名地域属于中国大陆地区,源站业务内容必须合法,并且完成工信部备案,备案要求请参见 域名相关。
2. 域名格式要求:支持接入域名为 example.com、a.b.example.com 等形式域名,单域名接入后,当前配置仅针对该域名生效。
3. 泛域名格式要求:同一个账号下,支持精准域名(a.path.example.com)和泛域名(*.path.example.com)同时接入,匹配越精准策略优先级越高。不同的账号不支持接入同一个泛域名下的域名。
服务配置:协议和端口可按实际情况选择。更多端口添加请参见 接入相关端口。
选择 HTTP 协议,输入端口。
选择 HTTPS 协议,输入端口后需要配置关联证书、HTTPS 强制跳转和 HTTPS 回源方式。
证书配置:当您启用 HTTPS 协议后,还需将网站域名关联的 SSL 证书配置到 WAF 中,以便 WAF 能够监听并防护该域名的 HTTPS 业务流量。单击关联普通证书,根据需求选择腾讯云托管证书或导入自有普通证书。
国密证书配置:若您的网站需支持国密 SM2算法,您需要上传国密证书,国密证书和普通证书同时生效,企业版及以上版本支持该功能。单击国密证书配置,根据需求选择腾讯云托管证书或导入自有国密证书。
HTTPS 强制跳转:如需开启 HTTPS 强跳,需同时勾选 HTTP 和 HTTPS 访问协议。
HTTPS 回源方式:HTTP 或 HTTPS。
回源 SNI 开关:开启 SNI 后,支持用户设置 host 的方式为保持源请求 host、修改为源站 host,以及自定义 host 三种方式。
说明:
选择 HTTP 协议时可以指定配置回源端口;选择 HTTPS 暂不支持指定配置回源端口,端口和对外开放端口一致。
选择 HTTPS 协议时支持开启回源 SNI 开关,并支持选择保持源请求 host、修正为源站 host 或自定义 host。
代理情况:根据实际情况选择是否已使用了高防、CDN、云加速等代理。
选择否:表示 WAF 收到的业务请求来自发起请求的客户端。WAF 直接获取与 WAF 建立连接的 IP 地址作为客户端 IP。
选择是:表示 WAF 收到的业务请求来自其他七层代理服务转发,而非直接来自发起请求的客户端。为了保证 WAF 可以获取真实的客户端 IP,进行安全分析和防护,您需要进一步设置客户端 IP 判断方法。
读取请求 Header 字段 X-Forwarded-For(XFF)中的第一个 IP 地址作为客户端 IP。
获取网络层的 remote_ip 作为客户端的源 IP,防止 XFF 伪造。
获取指定 header 字段的 IP 地址。
说明:
推荐您在业务使用自定义 Header 存放客户端 IP,并在 WAF 中配置对应 Header 字段。该方式可以避免攻击者伪造 XFF 字段,屏蔽 WAF 的防护规则,有效提高业务的安全性。
回源策略:根据客户业务需求可以配置负载均衡回源和自定义分流回源两种不同的回源策略设置。
负载均衡回源:请在参数负载均衡回源策略中设置相关防护策略。
自定义分流回源:支持用户自定义不同的流量转发至不同的源站地址。配置字段支持 HOST 或 URL 地址,匹配方式支持等于、不等于、属于、不属于四种不同的逻辑符合,匹配内容支持用户自定义属于,匹配后的回源策略,支持用户自定义配置轮询和 IP HASH 两种不同的方式。
灰度功能提示:
源站地址:根据实际需求选择 IP 或域名。
IP:请输入源站 IPv4或 IPv6地址,用回车分隔多个 IP,最多支持输入50个。
域名:请输入源站域名,注意:源站域名不能和防护域名相同。
负载均衡策略:支持轮询、IP Hash 与加权轮询策略,配置两个及以上源站 IP 地址时,支持选择加权轮询策略,默认值为轮询方式。
5. 完成基础参数配置后,可根据需求设置高级参数。高级设置提供两种模式选择:常规业务场景配置和大模型业务场景配置,开启 LLM WAF 增值能力后,支持配置 SSE 协议接入,正常为普通模式,不支持 SSE 协议接入。
字段说明
开启代理缓存:开启代理缓存后 WAF 可以缓存一部分从源站获取的内容,下次用户请求相同内容时,直接从缓存返回,降低源站压力。如果您的业务依赖 SSE 建议关闭代理缓存,确保数据实时更新。
回源连接方式:默认使用长连接回源,请确认源站是否支持长连接,若不支持,即使设置长连接,也会使用短连接。
写/读超时时长: 自定义 WAF 向源站发送请求数据和等待源站返回响应数据超时时限,默认300秒,范围1~600秒。
TLS 版本:支持多种 TLS 版本选择,WAF 会默认拦截不在指定范围内的 TLS 协议版本和加密套件的访问流量,为了不影响您的业务,请谨慎选择。
加密套件模板:支持通用型模板、安全型模版及自定义模版。
开启 HTTP2.0:请确保您的源站支持并开启了 HTTP2.0,否则,即使配置开启2.0也将降级为1.1。
开启 WebSocket:如果您的网站使用了 WebSocket,建议您选择是。
开启 XFF 重置:支持清空 X-Forwarded-For 字段值,请确认 WAF 前无七层代理服务后开启。
回源 HOST:可选择保持源 HOST 及自定义回源 HOST。
源站拨测服务:拨测服务用于域名在 WAF 上服务 IP 和源站的可访问性探测,用于自动化运维告警和排障,建议开启。
说明:
Web 应用防火墙将会为每个添加到 Web 应用防火墙的域名(不区分一级域名和二级域名)分配一个唯一的 CNAME。
后续步骤
当您添加完域名后,可执行如下步骤:
