添加域名_CNAME接入_接入WAF_Web 应用防火墙-阿里云

本文介绍了开通Web应用防火墙服务后，如何通过CNAME接入的方式为网站域名开启Web应用防火墙防护。

前提条件

已开通Web应用防火墙服务，且当前实例支持接入的域名数量（包括一级域名数量和总域名数量）未超过限制。

说明支持接入的域名数量由Web应用防火墙的实例规格和扩展域名包数量决定。更多信息，请参见扩展域名包。
接入中国内地的Web应用防火墙服务时，域名必须已完成中华人民共和国工业和信息化部ICP备案。更多信息，请参见阿里云备案服务。

背景信息

CNAME接入支持以下两种接入方式：

域名一键接入：Web应用防火墙自动读取当前阿里云账号关联的域名资产信息，您只需从域名一键接入页面选择需要接入的域名和网络协议类型，即可自动添加网站信息，包括网站域名、服务器地址、80和443标准协议端口，并自动修改域名的DNS解析。

说明自动修改域名DNS解析需要执行添加域名的云账号具有操作云解析DNS的权限，否则自动修改域名解析会失败。这种情况下，您可以在自动添加域名后手动修改域名DNS解析。
手动添加网站：手动添加要接入Web应用防火墙防护的网站信息，例如域名、网络协议、服务器地址、服务器端口等（引导Web应用防火墙转发正常Web请求到业务服务器），并手动修改域名的DNS解析，将网站的Web请求转发到Web应用防火墙进行安全清洗。

域名一键接入

只有当存在满足条件的域名时，域名一键接入页面才会在添加域名时出现，否则您只能手动添加网站。

支持域名一键接入的域名需要满足以下条件：

如果您已完成资产识别授权，则支持一键接入的域名和资产识别结果保持一致，即来自于用户授权下Web应用防火墙主动获取的您的云上全部网站域名。更多信息，请参见资产识别。
如果您未执行过资产识别授权，则支持一键接入的网站域名仅包含云解析DNS中配置生效的网站域名。

操作步骤

登录Web应用防火墙控制台。
在顶部菜单栏，选择Web应用防火墙实例的资源组和地域（中国内地、海外地区）。
在左侧导航栏，单击资产中心 > 网站接入。
在网站接入页面，单击添加域名。
在域名一键接入页面，从域名列表选择要添加的域名和协议类型，并单击立即自动添加网站。

说明只有当存在满足条件的域名时，域名一键接入页面才会出现。如果域名一键接入没有出现，建议您手动添加网站。更多信息，请参见添加域名配置向导。

如果域名使用HTTPS协议，则在选中https协议类型后，必须先完成证书验证才可以添加网站。

验证证书的操作步骤如下：
1. 选中某个域名和https协议类型后，单击域名HTTPS证书列的验证证书。
2. 在验证证书对话框，选择一种上传方式上传HTTPS证书。
  - 手动上传：手动输入证书名称、证书文件和私钥文件内容。
  - 选择已有证书：从证书列表选择要使用的证书。单击云盾-证书服务，可以跳转到SSL证书管理控制台管理证书。
  - 申请新证书：单击立即申请，跳转到SSL证书申请页面为域名快速申请证书。
    快速申请证书仅支持申请收费型DV证书。如果您需要申请其他类型的证书，请前往SSL证书购买页面进行操作。更多信息，请参见证书选型和购买。
3. 完成HTTPS证书上传后，单击确定。
  - 如果证书验证顺利通过，您可以单击立即自动添加网站。
  - 如果证书验证失败，请根据错误提示（例如证书与密钥不匹配）重新验证证书，直到验证通过。
Web应用防火墙将自动添加网站信息，包括网站域名、服务器地址、80和443标准协议端口，并自动修改域名的DNS解析。

说明如果您需要添加80和443以外的端口，建议您在自动添加域名后，手动编辑域名进行调整。更多信息，请参见相关操作。

可能出现的异常结果及后续操作：
- 域名添加成功，但需要手动接入DNS
  可能原因：执行添加域名的云账号不具有操作云解析DNS的权限、上传的HTTPS证书与网站域名不匹配。
  
  说明网站支持https协议且证书验证通过的情况下，如果上传的证书与网站不匹配，则证书检测失败，不会自动修改DNS解析。这种情况下，您必须重新上传合法、正确的证书再手动修改DNS。更多信息，请参见上传HTTPS证书。
  
  单击手动接入DNS，根据手动修改对话框的操作引导，完成DNS修改。更多信息，请参见修改域名DNS。
- 当前已达到主域名个数限制
  单击扩展域名包，查看购买扩展域名包的操作引导。根据需要购买扩展域名包后，再尝试添加域名。
- 该域名未检测到ICP备案信息
  接入中国内地的Web应用防火墙服务时，如果当前域名未通过ICP备案，则域名一键接入会提示失败。建议您先完成ICP备案再尝试添加域名。更多信息，请参见ICP备案流程概述。

手动添加网站

登录Web应用防火墙控制台。
在顶部菜单栏，选择Web应用防火墙实例的资源组和地域（中国内地、海外地区）。
在左侧导航栏，单击资产中心 > 网站接入。
在网站接入页面，单击添加域名。
可选：在域名一键接入页面，单击手动添加其他网站。

说明只有当存在满足条件的域名时，域名一键接入页面才会出现。如果域名一键接入没有出现，请忽略该步骤。

根据添加域名配置向导完成相关任务。

填写网站信息。


参数	说明
域名	输入要防护的域名。支持使用精确域名（例如`www.aliyun.com`）和泛域名（例如`*.aliyun.com`）格式。使用泛域名后，Web应用防火墙将自动匹配该泛域名对应的所有子域名。如果同时存在泛域名和精确域名配置，则精确域名的转发规则和防护策略优先生效。暂不支持添加`.edu`域名。如果您需要添加`.edu`域名，请提交工单联系售后技术支持。
防护资源	接入独享版Web应用防火墙服务时，选择要使用的防护资源类型。说明该配置仅对独享版Web应用防火墙实例开放。可选值：公共集群：默认选择。独享集群：独享集群支持定制化业务需求。更多信息，请参见设置独享集群。
协议类型	选择网站使用的网络协议类型。可选值： HTTP HTTPS：如果网站支持HTTPS加密认证，请选择HTTPS协议并在添加域名后上传域名的证书和私钥文件。更多信息，请参见上传HTTPS证书。选中HTTPS协议后，将显示高级设置折叠菜单。高级设置支持以下功能：开启HTTPS的强制跳转：开启后，网站的HTTP请求都强制转换为HTTPS，且默认跳转到443端口。开启HTTPS强制跳转前必须先取消HTTP协议。注意请确保网站支持HTTPS业务再开启该功能。开启该功能后，部分浏览器将被缓存设置为使用HTTPS请求访问网站。开启HTTP回源：开启后，Web应用防火墙使用HTTP协议发送回源请求，默认回源端口是80。如果您的网站不支持HTTPS回源，请务必开启该功能。更多信息，请参见开启HTTPS高级设置。 HTTP2.0：仅对企业版和旗舰版Web应用防火墙实例开放，且必须先选中HTTPS协议才支持使用。
服务器地址	设置网站的源站服务器地址，支持IP地址格式和其它地址格式。完成接入后，Web应用防火墙将过滤后的访问请求转发到此处设置的服务器地址。 IP地址格式：填写源站的公网IP地址。多个IP地址间使用英文逗号（,）分隔。最多支持添加20个源站IP。不支持换行。说明如果设置了多个IP地址，Web应用防火墙将在这些地址间自动进行健康检查和负载均衡。更多信息，请参见设置负载均衡算法。如果源站在阿里云，一般填写ECS的公网IP地址。当ECS前面有SLB时，则填写SLB的公网IP地址。当源站在阿里云外的IDC机房或者其他云服务商时，建议您PING域名查询域名的公网IP地址，再填写域名的公网IP地址。其它地址格式：填写服务器回源域名，例如对象存储OSS的CNAME等。服务器回源域名不应和要防护的网站域名相同。说明如果您的源站服务器地址为OSS域名，则完成网站接入后，您必须前往OSS控制台中为该OSS域名绑定自定义域名，具体操作请参见绑定自定义域名。
服务器端口	设置网站使用的转发服务端口。 Web应用防火墙通过此处设置的端口为网站提供流量的接入与转发服务，网站域名的业务流量只通过已设置的服务端口进行转发。对于未设置的端口，Web应用防火墙不会转发任何该端口的访问请求流量到源站服务器，因此这些端口的启用不会对源站服务器造成任何安全威胁。注意网站信息中设置的协议类型和服务器端口必须是源站服务器提供Web业务的协议和端口，不支持端口转换。例如，源站服务器提供Web服务的是80端口HTTP协议，域名配置也必须是一致的，设置其他端口则无法正常转发。默认端口： HTTP 80：选中HTTP协议后默认设置。 HTTPS 443：选中HTTPS协议后默认设置。说明 HTTP2.0协议的端口与HTTPS协议的端口保持一致。自定义端口：单击自定义，分别设置HTTP和HTTPS协议自定义端口。单击查看可选范围可以查询所有支持使用的端口。多个端口间使用英文逗号（,）分隔。说明 Web应用防火墙旗舰版和独享版实例最多支持接入50个不同的服务器端口（包含80、8080、443、8443端口在内）；企业版和高级版实例最多支持接入10个服务器端口（包含80、8080、443、8443端口在内）。关于公共集群支持的详细端口列表，请参见自定义服务器端口。如果您要接入Web应用防火墙独享集群，则自定义端口仅支持从独享集群设置页面中设置的服务器端口范围中选择。更多信息，请参见设置独享集群。
负载均衡算法	设置了多个源站IP地址时，选择多源站IP间的负载均衡算法。可选值： IP hash（默认）：将某个IP的请求定向到同一个源站服务器。说明使用IP hash时，如果源站服务器的IP地址不够分散，可能会出现负载不均的情况。轮询：将所有请求轮流分配给源站服务器。 Least time：通过智能DNS解析能力和升级后的Least-time回源算法，保证业务流量从接入防护节点到转发回源站服务器整个链路的时延最短。说明 Least time仅在开通智能负载均衡后支持使用。更多信息，请参见智能负载均衡接入能力。
WAF前是否有七层代理（高防/CDN等）	如果在Web应用防火墙前需要配置其他七层代理服务进行业务转发，请务必选择是，否则Web应用防火墙将无法获取访问网站的客户端真实IP。更多信息，请参见以下文档：同时部署WAF和DDoS高防同时部署WAF和CDN 如果在Web应用防火墙前不需要配置其他七层代理服务进行业务转发，请选择否。
流量标记	填写一个空闲的Header字段名称和自定义Header字段值，用来标识经过Web应用防火墙转发到源站的Web请求。 Web请求经过Web应用防火墙后，Web应用防火墙在请求中添加此处指定的字段，方便您的后端服务统计信息。注意如果Web请求中本身包含此处定义的头部字段，Web应用防火墙将用此处的设定值覆盖原Web请求中对应字段的内容。更多信息，请参见设置流量标记。
资源组	从资源组列表中选择域名所属的资源组。说明您可以使用资源管理服务创建资源组，根据业务部门、项目等维度对云资源进行分组管理。更多信息，请参见创建资源组。

修改DNS解析。
根据页面提示修改域名的DNS解析，将网站域名解析到Web应用防火墙进行安全清洗。更多信息，请参见修改域名DNS。
添加完成。
如果您的服务器正在使用除Web应用防火墙以外的防火墙服务，建议您将其关闭或将Web应用防火墙的IP地址加入其白名单，避免误拦截。更多信息，请参见放行WAF回源IP段。如果您的服务器未使用其他防火墙服务，则无需配置。
单击完成，返回网站列表，返回网站接入页面。