本文介绍了开通了Web应用防火墙(WAF)后,如何将您要防护的网站域名接入WAF进行防护。
前提条件
背景信息
- 自动添加网站:WAF自动读取当前阿里云账号关联的网站资产信息,您只需从域名一键接入页面选择需要接入的网站域名和网络协议类型,即可自动添加网站信息,包括网站域名、服务器地址、80和443标准协议端口,并自动修改域名的DNS解析。
说明 自动修改域名解析需要执行网站接入的云账号拥有操作云解析DNS的权限,否则自动修改域名解析会失败。这种情况下,您可以在自动添加网站后手动修改域名的DNS解析。
- 手动添加网站:如果您要接入的网站不支持自动添加,您可以手动添加网站信息,例如网站域名、网络协议、服务器地址、服务器端口等。
手动添加网站支持以下两种接入模式,您可以根据需要进行选择:
- CNAME接入:手动添加网站信息后,需要手动修改网站域名的DNS解析,将网站的Web请求转发到WAF进行安全防护。该方式支持云上、云下的公网服务器地址接入。下文将会具体介绍CNAME接入的操作步骤。
推荐您观看以下操作演示视频。该视频以CNAME接入为例,介绍了手动接入网站业务到WAF进行防护的完整操作。
- 透明接入:手动添加网站信息后,无需修改网站域名的DNS解析及源站配置,即可将网站的Web请求转发到WAF进行安全防护。该方式是云上公网资产的最佳接入方式。具体操作,请参见透明接入。
- CNAME接入:手动添加网站信息后,需要手动修改网站域名的DNS解析,将网站的Web请求转发到WAF进行安全防护。该方式支持云上、云下的公网服务器地址接入。下文将会具体介绍CNAME接入的操作步骤。
自动添加网站
在添加网站时,如果您的阿里云账号下存在满足条件的网站域名,则会出现域名一键接入页面,您可以直接选择要添加的网站,完成自动添加。
- 如果您已完成资产识别授权,则支持自动添加的域名和资产识别结果一致。更多信息,请参见资产识别。
- 如果您未执行过资产识别授权,则支持自动添加的网站域名仅包含云解析DNS中配置生效的网站域名。
操作步骤
手动添加网站
以下操作步骤介绍了使用CNAME接入模式手动添加网站的具体操作。如果您需要使用透明接入模式添加网站,请参见透明接入。
后续步骤
完成域名接入流程后,网站访问流量将经过WAF保护,您还可以完善网站防护配置,更好地防护网站安全。
WAF包含多种防护检测模块,帮助网站应对不同类型的安全威胁,其中正则防护引擎和CC安全防护模块默认开启,分别用于防御常见的Web应用攻击(例如SQL注入、XSS跨站、webshell上传等)和CC攻击,其他防护模块需要您手动开启并配置具体防护规则。更多信息,请参见网站防护配置概述。
上传HTTPS证书
如果您添加的网站信息的协议类型中包含HTTPS,您必须在Web应用防火墙控制台上传与该网站域名关联的HTTPS证书,且证书必须正确、有效,才能保证WAF正常防护网站的HTTPS协议访问请求。
- 手动上传证书:您需要提前准备好网站的证书文件和私钥文件。
需要准备的证书相关内容如下:
- *.crt(公钥文件)或*.pem(证书文件)
- *.key(私钥文件)
- 选择已有证书:您可以直接从阿里云SSL证书服务已有证书中选择与域名关联的证书。
操作步骤
相关操作

- 上传HTTPS证书:如果网站支持HTTPS协议,请务必确保在WAF上传正确的证书和私钥,保证正常防护HTTPS业务流量。您可以在源站信息列下单击
上传域名的HTTPS证书和私钥。
更多信息,请参见上传HTTPS证书。
- 开启IPv6防护:如果网站有IPv6协议业务流量需要防护,您可以在快捷操作列下为域名开启IPV6开关。
更多信息,请参见开启IPv6防护。
- 开启日志服务:在快捷操作列下为域名开启日志服务后,WAF日志服务将采集网站的全量日志,支持用作查询分析、仪表盘展示、设置告警等功能。
更多信息,请参见开启日志采集。
说明 日志服务是WAF提供的增值服务,必须开通后才能使用。更多信息,请参见开启WAF日志服务。 - 设置防护资源:在快捷操作列下单击防护资源后的
,为域名设置防护资源。
支持的防护资源类型包括:- 共享集群共享IP说明 自动添加的网站默认使用共享集群共享IP防护资源。
- 共享集群独享IP:请参见域名独享资源包。
- 共享集群全局负载均衡防护:请参见智能负载均衡接入能力。
- 独享集群:请参见设置独享集群。
- 共享集群共享IP
- 查看攻击监控报表:单击攻击监控列下的查看报表,跳转到安全报表页面,查看域名的防护报表。更多信息,请参见WAF安全报表。
- 设置防护策略:单击操作列下的防护配置,跳转到网站防护页面,设置Web安全、Bot管理、访问控制/限流防护模块的防护策略。更多信息,请参见设置规则防护引擎。
- 编辑域名:单击操作列下的编辑,修改网站信息,例如,协议类型、服务器地址、服务器端口等。不支持修改域名。
- 删除域名:单击操作列下的删除,删除域名。
警告 在删除域名前,请将域名DNS解析回服务器源站IP。否则,在删除域名后,域名的流量将无法正常转发。
相关问题
请参见常见问题中的网站接入配置问题。
在文档使用中是否遇到以下问题
更多建议
匿名提交