同一个域名是否支持使用透明接入和CNAME接入两种模式?

不支持。

每个域名只能使用透明接入或CNAME接入两种方式之一。如果您已通过CNAME接入开启WAF防护的域名,需要切换为透明接入,您必须先删除该域名的CNAME接入配置,然后在透明接入模式下重新接入该域名。
说明 域名首次透明接入WAF时,可能会导致该域名指向的网站Web业务出现秒级闪断。

已透明接入的域名如果无需WAF转发流量和提供防护,该如何处理?

如果您确认该域名无需WAF继续提供防护,您可以在WAF控制台资产中心 > 网站接入页面的域名列表中,定位该域名所在的源站IP,删除该域名接入透明模式时绑定的所有端口、或者直接删除该域名即可。操作完成后,该域名的访问流量将切回到域名所在的源站服务器,不再通过WAF转发。

透明接入后,源站可以获取客户端的真实IP吗?

可以的。WAF会向域名所在的服务器直接提供真实的客户端IP,而不再将WAF的回源IP地址返回给源站服务器。

端口绑定的证书更新后,是否需要将证书重新上传到WAF透明接入模块中?

需要。

您可以参照以下步骤进行处理:
  1. 将该更新的证书重新上传到SSL证书控制台。相关内容,请参见上传证书
  2. 将该证书重新上传到负载均衡管理控制台证书管理页面。
  3. 在WAF控制台透明接入模块,单击七层SLB类型列表右上角刷新图标,同步SLB证书配置。

同一个域名如果配置到了多个SLB实例上,我需要如何完成透明接入?

这种情况下,您需要在对该域名进行透明接入配置时,同时添加这几个SLB实例的HTTP/HTTPS服务端口,实现WAF对这几个实例同时引流。

如果配置透明接入时,您仅添加了其中一个SLB实例的HTTP/HTTPS服务端口,WAF将仅转发来自该端口的访问流量并对其进行防护。来自其他SLB实例的流量将不会通过WAF转发和受到WAF的防护。

一个SLB实例配置了多个域名,如果我只对其中一个域名完成了透明接入,会有什么影响?

这种情况下,如果您只对其中一个域名进行透明接入,那么另外几个域名的访问流量会通过WAF转发,但不会受到WAF的防护。通过WAF转发的流量都会计入您消耗的业务带宽中。

透明接入时为什么看不到我需要接入的七层SLB实例?

透明接入存在一定的限制条件。具体内容,请参见透明接入

使用透明接入模式将SLB接入到WAF时,如果您在Web应用防火墙控制台添加域名页面的七层SLB类型列表中,无法看到您需要接入的SLB公网实例或者无法成功接入WAF,可能原因有以下几点:
原因 说明 解决方法
公网SLB实例所在的地域不在透明接入支持的范围内。 目前,仅支持位于华北2(北京)、华东1(杭州)、华东2(上海)、华南1(深圳)或西南1(成都)地域的公网SLB实例使用透明接入模式。 使用位于华北2(北京)、华东1(杭州)、华东2(上海)、华南1(深圳)或西南1(成都)地域的公网SLB实例接入WAF。
公网SLB实例绑定的公网IP是IPv6版本。 透明接入不支持IPv6版本的公网SLB实例。 使用IPv4版本的公网SLB实例接入WAF。
公网SLB实例中未配置监听协议。 未添加监听端口的SLB实例将无法使用透明接入。 在SLB实例控制台为SLB实例添加监听端口。
原有的公网SLB实例位于历史网络架构中的经典网络。 目前,仅支持已完成公网上移网络改造的SLB接入WAF。如果您的SLB满足其他条件但未出现透明接入列表中,可能是由于您当前的SLB未完成公网上移改造。 使用私网SLB+EIP的网络结构的SLB实例或新购公网SLB实例(新购买的公网SLB实例不存在历史网络架构中的问题)接入WAF。
透明接入时,需要配置的公网SLB实例(七层)端口使用的证书未上传到阿里云SSL证书控制台进行统一管理。 公网SLB实例(七层)接入WAF时,需要配置的端口如果为HTTPS协议,但是该端口使用的证书未上传到阿里云SSL证书服务中,会导致SLB无法将该证书自动同步到WAF中,您将无法完成网站接入。 将该公网SLB实例(七层)HTTPS端口使用的证书上传到SSL证书控制台
透明接入时,需要配置的公网SLB实例端口开启了双向认证。 如果当前HTTPS协议在公网SLB中采用了双向认证,则暂时不支持透明接入。 需要在SLB控制台取消双向认证选项后,重新在Web应用防火墙控制台执行透明接入。
需要执行透明接入的公网SLB是新购的SLB实例。 新购买的SLB实例存在有一定的数据延迟,您可能在透明接入页面暂时无法看到新购买的SLB实例。 完成SLB购买后,建议您等待1~3分钟,再刷新Web应用防火墙控制台后执行透明接入。
透明接入时,需要配置的公网SLB实例端口不在当前WAF版本支持的范围内。 WAF包年包月服务的高级版、企业版、旗舰版支持透明接入模式。如果需要配置的公网SLB实例端口不在当前WAF版本支持的范围内,您在Web应用防火墙控制台添加域名页面的七层SLB类型列表中,添加该端口时将无法保存,从而导致无法将该公网SLB实例成功接入WAF。 使用当前WAF版本支持的端口。
说明 透明接入模式下,不同版本支持接入的端口不同。旗舰版支持任意非标端口接入;关于其他版本支持的端口范围,可以在七层SLB类型右上角单击查看可选范围获取。

我使用的是私网SLB+EIP,是否支持透明接入?

支持。