网站接入_CNAME接入_接入WAF_Web 应用防火墙

背景信息

网站接入支持以下两种接入方式：

自动添加网站：WAF自动读取当前阿里云账号关联的网站资产信息，您只需从域名一键接入页面选择需要接入的网站域名和网络协议类型，即可自动添加网站信息，包括网站域名、服务器地址、80和443标准协议端口，并自动修改域名的DNS解析。

说明自动修改域名解析需要执行网站接入的云账号拥有操作云解析DNS的权限，否则自动修改域名解析会失败。这种情况下，您可以在自动添加网站后手动修改域名的DNS解析。
手动添加网站：如果您要接入的网站不支持自动添加，您可以手动添加网站信息，例如网站域名、网络协议、服务器地址、服务器端口等。
手动添加网站支持以下两种接入模式，您可以根据需要进行选择：
- CNAME接入：手动添加网站信息后，需要手动修改网站域名的DNS解析，将网站的Web请求转发到WAF进行安全防护。该方式支持云上、云下的公网服务器地址接入。下文将会具体介绍CNAME接入的操作步骤。
- 透明接入：手动添加网站信息后，无需修改网站域名的DNS解析及源站配置，即可将网站的Web请求转发到WAF进行安全防护。该方式是云上公网资产的最佳接入方式，有以下使用限制：
  - 仅支持接入七层SLB实例，协议为HTTP或HTTPS。
  - SLB实例地域必须是华东1（杭州）、华东2（上海）、华北2（北京）、华南1（深圳）、西南1（成都）。
  关于透明接入的具体操作步骤，请参见SLB透明接入。

自动添加网站

在添加网站时，如果您的阿里云账号下存在满足条件的网站域名，则会出现域名一键接入页面，您可以直接选择要添加的网站，完成自动添加。

支持自动添加的网站域名需要满足以下条件：

如果您已完成资产识别授权，则支持自动添加的域名和资产识别结果一致。更多信息，请参见资产识别。
如果您未执行过资产识别授权，则支持自动添加的网站域名仅包含云解析DNS中配置生效的网站域名。

操作步骤

登录Web应用防火墙控制台。
在顶部菜单栏，选择Web应用防火墙实例的资源组和地域（中国内地、海外地区）。
在左侧导航栏，单击资产中心 > 网站接入。
在域名列表页签下，单击网站接入。
在域名一键接入页面，从域名列表选择要添加的域名和协议类型，并单击立即自动添加网站。

说明只有当存在满足条件的域名时，域名一键接入页面才会出现。如果域名一键接入没有出现，建议您手动添加网站。更多信息，请参见添加域名配置向导。

如果域名使用HTTPS协议，则在选中https协议类型后，必须先完成证书验证才可以添加网站。

验证证书的操作步骤如下：
1. 选中某个域名和https协议类型后，单击域名HTTPS证书列的验证证书。
2. 在验证证书对话框，选择一种上传方式上传HTTPS证书。
  具体操作，请参见上传HTTPS证书。
3. 完成HTTPS证书上传后，单击确定。
  - 如果证书验证顺利通过，您可以单击立即自动添加网站。
  - 如果证书验证失败，请根据错误提示（例如证书与密钥不匹配）重新验证证书，直到验证通过。
WAF将自动添加网站信息，包括网站域名、服务器地址、80和443标准协议端口，并自动修改域名的DNS解析。

说明如果您需要添加80和443以外的端口，建议您在自动添加网站后，手动编辑域名进行调整。更多信息，请参见相关操作。

可能出现的异常结果及后续操作：
- 域名添加成功，但需要手动接入DNS
  可能原因：执行添加域名的云账号不具有操作云解析DNS的权限、上传的HTTPS证书与网站域名不匹配。
  
  说明网站支持https协议且证书验证通过的情况下，如果上传的证书与网站不匹配，则证书检测失败，不会自动修改DNS解析。这种情况下，您必须重新上传合法、正确的证书再手动修改DNS。更多信息，请参见上传HTTPS证书。
  
  单击手动接入DNS，根据手动修改对话框的操作引导，完成DNS修改。更多信息，请参见修改域名DNS。
- 当前已达到主域名个数限制
  单击扩展域名包，查看购买扩展域名包的操作引导。根据需要购买扩展域名包后，再尝试添加域名。
- 该域名未检测到ICP备案信息
  如果您购买的是中国内地的WAF实例，您必须先对域名完成ICP备案，否则您的网站将无法接入WAF防护。建议您先完成ICP备案再尝试添加域名。更多信息，请参见ICP备案流程概述。

手动添加网站

以下操作步骤介绍了使用CNAME接入模式手动添加网站的具体操作。如果您需要使用透明接入模式添加网站，请参见SLB透明接入。

登录Web应用防火墙控制台。
在顶部菜单栏，选择Web应用防火墙实例的资源组和地域（中国内地、海外地区）。
在左侧导航栏，单击资产中心 > 网站接入。
在域名列表页签下，单击网站接入。
可选：在域名一键接入页面，单击手动添加其他网站。

说明只有当存在满足条件的域名时，域名一键接入页面才会出现。如果域名一键接入没有出现，请忽略该步骤。更多信息，请参见自动添加网站。

在添加域名页面，输入要添加防护的域名、选择接入模式为Cname接入，并根据配置向导完成相关任务。

域名需要满足以下要求：

支持使用精确域名（例如www.aliyun.com）和泛域名（例如*.aliyun.com）格式。
- 使用泛域名后，WAF将自动匹配该泛域名对应的所有子域名。
- 如果同时存在泛域名和精确域名配置，则精确域名的转发规则和防护策略优先生效。
暂不支持添加.edu域名。如果您需要添加.edu域名，请提交工单联系售后技术支持。

Cname接入配置向导：

填写网站信息。

填写下表描述的网站信息并单击下一步。填写网站信息


参数	说明
防护资源（仅适用于独享版）	接入独享版WAF实例时，选择要使用的防护资源类型。说明仅当您的WAF实例为独享版时，该页面才会展示防护资源选项。可选值：公共集群：默认选择。独享集群：独享集群支持定制化业务需求。更多信息，请参见设置独享集群。混合云静态回源
协议类型	选择网站使用的网络协议类型。可选值： HTTP HTTPS：如果网站支持HTTPS加密认证，请选择HTTPS协议并在添加域名后上传域名的证书和私钥文件。更多信息，请参见上传HTTPS证书。选中HTTPS协议后，将显示高级设置折叠菜单。高级设置支持以下功能：开启HTTPS的强制跳转：开启后，网站的HTTP请求都强制转换为HTTPS，且默认跳转到443端口。开启HTTPS强制跳转前必须先取消HTTP协议。如果您需要强制客户端使用HTTPS请求访问网站，提高安全性，则可以开启该功能。注意请确保网站支持HTTPS业务再开启该功能。开启该功能后，部分浏览器将被强制设置为使用HTTPS请求访问网站。开启HTTP回源：开启后，WAF使用HTTP协议发送回源请求，默认回源端口是80。开启HTTP回源可以在无需改动源站服务器的前提下，通过WAF实现HTTPS访问，帮助降低网站的负载损耗。如果您的网站不支持HTTPS回源，请务必开启该功能。 HTTP2.0：仅对企业版和旗舰版WAF实例开放，且必须先选中HTTPS协议才支持使用。
服务器地址	设置网站的源站服务器地址，支持IP地址格式和其他格式。完成接入后，WAF将过滤后的访问请求转发到此处设置的服务器地址。 IP地址格式：填写源站的公网IP地址。多个IP地址间使用英文逗号（,）分隔。最多支持添加20个源站IP。不支持换行。说明如果设置了多个IP地址，WAF将在这些地址间自动进行健康检查和负载均衡。如果源站在阿里云，一般填写ECS的公网IP地址。当ECS前面有SLB时，则填写SLB的公网IP地址。当源站在阿里云外的IDC机房或者其他云服务商时，建议您PING域名查询域名的公网IP地址，再填写域名的公网IP地址。其他格式：填写服务器回源域名，例如对象存储OSS的CNAME等。服务器回源域名不应和要防护的网站域名相同。说明如果您的源站服务器地址为OSS域名，则完成网站接入后，您必须前往OSS控制台中为该OSS域名绑定自定义域名，具体操作，请参见绑定自定义域名。
服务器端口	添加网站使用的转发服务端口。 WAF通过此处添加的端口为网站提供流量的接入与转发服务，网站域名的业务流量只通过已添加的服务端口进行转发。对于未添加的端口，WAF不会转发任何该端口的访问请求流量到源站服务器，因此这些端口的启用不会对源站服务器造成任何安全威胁。注意网站信息中设置的协议类型和服务器端口必须是源站服务器提供Web业务的协议和端口，不支持端口转换。例如，源站服务器提供Web服务的是80端口HTTP协议，域名配置也必须是一致的，设置其他端口则无法正常转发。默认端口： HTTP 80：选中HTTP协议后默认设置。 HTTPS 443：选中HTTPS协议后默认设置。说明 HTTP2.0协议的端口与HTTPS协议的端口保持一致。自定义端口：单击自定义，并根据协议类型（HTTP、HTTPS）自定义对应的端口。单击查看可选范围可以查询所有支持使用的端口。多个端口间使用英文逗号（,）分隔。说明 WAF旗舰版和独享版实例最多支持接入50个不同的服务器端口（包含80、8080、443、8443端口在内）；企业版和高级版实例最多支持接入10个服务器端口（包含80、8080、443、8443端口在内）。关于公共集群支持的详细端口列表，请参见支持的自定义端口范围。如果您要接入WAF独享集群，则自定义端口仅支持从独享集群设置页面中设置的服务器端口范围中选择。更多信息，请参见设置独享集群。
负载均衡算法	设置了多个源站IP地址时，选择多源站IP间的负载均衡算法。可选值： IP hash（默认）：将某个IP的请求定向到同一个源站服务器。说明使用IP hash时，如果源站服务器的IP地址不够分散，可能会出现负载不均的情况。轮询：将所有请求轮流分配给源站服务器。 Least time：通过智能DNS解析能力和升级后的Least-time回源算法，保证业务流量从接入防护节点到转发回源站服务器整个链路的时延最短。说明 Least time仅在开通智能负载均衡后支持使用。更多信息，请参见智能负载均衡接入能力。设置生效后，WAF将根据设置的负载均衡算法向多个源站IP分发回源请求，实现负载均衡。
WAF前是否有七层代理（高防/CDN等）	如果在WAF前需要配置其他七层代理服务进行业务转发，请务必选择是，否则WAF将无法获取访问网站的客户端真实IP。更多信息，请参见以下文档：同时部署WAF和DDoS高防同时部署WAF和CDN 如果在WAF前不需要配置其他七层代理服务进行业务转发，请选择否。
流量标记	填写一个空闲的Header字段名称和自定义Header字段值，用来标识经过WAF转发到源站的Web请求。 Web请求经过WAF后，WAF在请求中添加此处指定的字段和字段值，标识经转发的流量，方便您的后端服务统计信息，实现精准的源站保护（访问控制）、防护效果分析等。注意如果Web请求中本身包含此处定义的头部字段，WAF将用此处的设定值覆盖原Web请求中对应字段的内容。
资源组	从资源组列表中选择域名所属的资源组。说明您可以使用资源管理服务创建资源组，根据业务部门、项目等维度对云资源进行分组管理。更多信息，请参见创建资源组。

修改DNS解析。
根据页面提示修改域名的DNS解析，将网站域名解析到WAF进行安全防护，完成后单击下一步。更多信息，请参见修改域名DNS。
添加完成。
根据页面提示设置放行WAF回源IP段，完成后单击完成，返回网站列表，返回网站接入页面。更多信息，请参见放行WAF回源IP段。

后续步骤

完成域名接入流程后，网站访问流量将经过WAF保护，您还可以完善网站防护配置，更好地防护网站安全。

WAF包含多种防护检测模块，帮助网站应对不同类型的安全威胁，其中正则防护引擎和CC安全防护模块默认开启，分别用于防御常见的Web应用攻击（例如SQL注入、XSS跨站、webshell上传等）和CC攻击，其他防护模块需要您手动开启并配置具体防护规则。更多信息，请参见网站防护配置概述。

上传HTTPS证书

如果您添加的网站信息的协议类型中包含HTTPS，您必须在Web应用防火墙控制台上传与该网站域名关联的HTTPS证书，且证书必须正确、有效，才能保证WAF正常防护网站的HTTPS协议访问请求。

上传HTTPS证书支持以下方式：

手动上传证书：您需要提前准备好网站的证书文件和私钥文件。
需要准备的证书相关内容如下：
- *.crt（公钥文件）或*.pem（证书文件）
- *.key（私钥文件）
选择已有证书：您可以直接从阿里云SSL证书服务已有证书中选择与域名关联的证书。

操作步骤

登录Web应用防火墙控制台。
在顶部菜单栏，选择Web应用防火墙实例的资源组和地域（中国内地、海外地区）。
在左侧导航栏，单击资产中心 > 网站接入。
在域名列表中定位到要操作的域名，单击源站信息列下的图标。

说明只有在添加域名时选择了HTTPS协议类型，源站信息列下才会出现图标。
在上传证书（或更新证书）对话框，选择一种上传方式上传HTTPS证书。

说明如果您已经上传过证书，则显示更新证书对话框。更新证书对话框中的配置内容和上传证书对话框一致。
- 手动上传：填写证书名称，并将与域名关联的证书文件和私钥文件的文本内容分别复制粘贴到证书文件和私钥文件。
  关于证书文件的说明如下：
  - 如果证书是PEM、CER、CRT格式，您可以使用文本编辑器直接打开证书文件并复制其中的文本内容。
  - 如果证书是除PEM、CER、CRT外的其他格式，例如PFX、P7B等，您需要将证书文件转换成PEM格式后，才可以使用文本编辑器打开并复制其中的文本内容。关于证书格式的转换方法，请参见HTTPS证书转换成PEM格式。
  - 如果域名关联了多个证书文件，例如存在证书链，您需要将证书文件中的文本内容拼接合并后粘贴到证书文件。
- 选择已有证书：从证书列表选择要上传的证书。
  证书列表罗列了SSL证书服务中已签发的证书，您可以从列表中选择与当前域名关联的证书。单击云盾-证书服务，可以跳转到SSL证书管理控制台管理证书。
- 申请新证书：单击立即申请，跳转到SSL证书申请页面为域名快速申请证书。
  按照页面提示为域名配置证书后，已配置证书将默认上传到Web应用防火墙。
  
  说明快速申请证书仅支持申请收费型DV证书。如果您需要申请其他类型的证书，请前往SSL证书购买页面进行操作。更多信息，请参见证书选型和购买。
单击确定。