使用Web应用防火墙之前,您必须将要防护的网站接入Web应用防火墙。网站接入默认使用DNS配置模式,您需要在Web应用防火墙添加域名,设置网站流量的转发信息,并修改域名的DNS解析设置,将网站流量解析到Web应用防火墙进行防护。

网站接入

开通Web应用防火墙服务后,您可以使用以下两种方式将网站接入Web应用防火墙进行防护:
  • DNS配置模式(默认)

    通过修改域名的DNS解析设置,将网站流量解析到Web应用防火墙,Web应用防火墙将处理后的请求转发回源站服务器。该方式需要您在Web应用防火墙控制台添加域名并修改域名的DNS解析设置,支持域名一键接入(即自动操作)和手动添加网站两种方式。

    相关文档:
    • 添加域名:介绍了域名一键接入和手动添加网站的相关操作。
    • 资产识别:支持自动识别您云平台上的网络资产,同时提供一键接入防护的功能。
    • 回源IP段:在源站安全软件中设置放行Web应用防火墙的回源IP网段,避免源站误拦截Web应用防火墙的回源流量。
    • 本地验证:添加域名后,在本地电脑上搭建简易的模拟环境,验证网站流量转发设置已经生效,避免转发设置未生效时修改域名的DNS解析设置,导致业务访问异常。
    • 修改域名DNS:手动修改域名的DNS解析设置,将网站流量解析到Web应用防火墙进行防护。
  • 透明代理模式
    注意 只有当源站服务器部署在华北2(北京)地域的阿里云ECS实例且具有公网IP时支持使用。目前仅对旧版防护引擎开放。

    无需修改域名的DNS解析设置,支持直接牵引源站ECS公网IP 80端口接收到的HTTP协议的流量到Web应用防火墙,经Web应用防火墙处理后再将正常的访问流量转发回源站服务器。该方式需要您授权Web应用防火墙读取ECS实例信息。配置过程中只需要在Web应用防火墙控制台输入域名和选择对应的服务器IP。

    相关文档:

    使用透明代理模式接入WAF

接入设置

在Web应用防火墙添加域名或编辑域名时,您可以根据网站特性设置以下相关功能:
  • 上传HTTPS证书:如果网站使用HTTPS协议,您必须在Web应用防火墙上传正确、有效的HTTPS证书,保证正常处理HTTPS协议流量。
  • 开启HTTPS高级设置:如果网站使用HTTPS协议,您可以为其开启HTTPS强制跳转、HTTP回源功能。
  • 自定义服务器端口:如果源站服务器使用HTTP 80端口、HTTPS 443端口以外的端口,您可以在Web应用防火墙支持的端口范围中自定义服务器端口。
  • 设置流量标记:设置一个请求头字段,标记所有经过Web应用防火墙转发回源站的流量,便于进行统计分析。
  • 设置负载均衡算法:网站有多个源站服务器时,设置Web应用防火墙回源流量在多源站间进行负载均衡的算法。
  • 同时部署WAF和DDoS高防:网站需要同时防御Web应用攻击和DDoS攻击时,您可以在源站前依次部署DDoS高防和Web应用防火墙。
  • 同时部署WAF和CDN:网站需要防御Web应用攻击,同时部署CDN加速时,您可以在源站前依次部署CDN和Web应用防火墙。

最佳实践

  • 设置源站保护:源站服务器部署在ECS时,通过设置ECS或SLB的安全组策略,只放行Web应用防火墙的入方向请求,避免攻击者绕过Web应用防火墙直接对源站服务器发起攻击。
  • 获取客户端真实IP:接入Web应用防火墙后,源站收到的所有请求都经过Web应用防火墙代理,您必须通过X-Forwarded-For获取访问请求的真实来源IP。