添加域名_CNAME接入_接入WAF_Web 应用防火墙-阿里云

背景信息

CNAME接入支持以下两种接入方式：

域名一键接入：Web应用防火墙自动读取当前阿里云账号关联的域名资产信息，您只需从域名一键接入页面选择需要接入的域名和网络协议类型，即可自动添加网站信息，包括网站域名、服务器地址、80和443标准协议端口，并自动修改域名的DNS解析。

说明自动修改域名DNS解析需要执行添加域名的云账号具有操作云解析DNS的权限，否则自动修改域名解析会失败。这种情况下，您可以在自动添加域名后手动修改域名DNS解析。
手动添加域名：如果要添加的域名不支持域名一键接入，您可以手动添加要防护的网站信息，例如域名、网络协议、服务器地址、服务器端口等（引导Web应用防火墙转发正常Web请求到业务服务器），并手动修改域名的DNS解析，将网站的Web请求转发到Web应用防火墙进行安全清洗。

域名一键接入

只有当存在满足条件的域名时，域名一键接入页面才会在添加域名时出现，否则您只能手动添加网站。

支持域名一键接入的域名需要满足以下条件：

如果您已完成资产识别授权，则支持一键接入的域名和资产识别结果保持一致，即来自于用户授权下Web应用防火墙主动获取的您的云上全部网站域名。更多信息，请参见资产识别。
如果您未执行过资产识别授权，则支持一键接入的网站域名仅包含云解析DNS中配置生效的网站域名。

操作步骤

登录Web应用防火墙控制台。
在顶部菜单栏，选择Web应用防火墙实例的资源组和地域（中国内地、海外地区）。
在左侧导航栏，单击资产中心 > 网站接入。
在网站接入页面，单击添加域名。
在域名一键接入页面，从域名列表选择要添加的域名和协议类型，并单击立即自动添加网站。

说明只有当存在满足条件的域名时，域名一键接入页面才会出现。如果域名一键接入没有出现，建议您手动添加网站。更多信息，请参见添加域名配置向导。

如果域名使用HTTPS协议，则在选中https协议类型后，必须先完成证书验证才可以添加网站。

验证证书的操作步骤如下：
1. 选中某个域名和https协议类型后，单击域名HTTPS证书列的验证证书。
2. 在验证证书对话框，选择一种上传方式上传HTTPS证书。
  具体操作请参见上传HTTPS证书。
3. 完成HTTPS证书上传后，单击确定。
  - 如果证书验证顺利通过，您可以单击立即自动添加网站。
  - 如果证书验证失败，请根据错误提示（例如证书与密钥不匹配）重新验证证书，直到验证通过。
Web应用防火墙将自动添加网站信息，包括网站域名、服务器地址、80和443标准协议端口，并自动修改域名的DNS解析。

说明如果您需要添加80和443以外的端口，建议您在自动添加域名后，手动编辑域名进行调整。更多信息，请参见相关操作。

可能出现的异常结果及后续操作：
- 域名添加成功，但需要手动接入DNS
  可能原因：执行添加域名的云账号不具有操作云解析DNS的权限、上传的HTTPS证书与网站域名不匹配。
  
  说明网站支持https协议且证书验证通过的情况下，如果上传的证书与网站不匹配，则证书检测失败，不会自动修改DNS解析。这种情况下，您必须重新上传合法、正确的证书再手动修改DNS。更多信息，请参见上传HTTPS证书。
  
  单击手动接入DNS，根据手动修改对话框的操作引导，完成DNS修改。更多信息，请参见修改域名DNS。
- 当前已达到主域名个数限制
  单击扩展域名包，查看购买扩展域名包的操作引导。根据需要购买扩展域名包后，再尝试添加域名。
- 该域名未检测到ICP备案信息
  接入中国内地的Web应用防火墙服务时，如果当前域名未通过ICP备案，则域名一键接入会提示失败。建议您先完成ICP备案再尝试添加域名。更多信息，请参见ICP备案流程概述。

手动添加域名

登录Web应用防火墙控制台。
在顶部菜单栏，选择Web应用防火墙实例的资源组和地域（中国内地、海外地区）。
在左侧导航栏，单击资产中心 > 网站接入。
在网站接入页面，单击添加域名。
可选：在域名一键接入页面，单击手动添加其他网站。

说明只有当存在满足条件的域名时（具体请参见域名一键接入），域名一键接入页面才会出现。如果域名一键接入没有出现，请忽略该步骤。

根据添加域名配置向导完成相关任务。

填写网站信息。


参数	说明
域名	输入要防护的域名。支持使用精确域名（例如`www.aliyun.com`）和泛域名（例如`*.aliyun.com`）格式。使用泛域名后，Web应用防火墙将自动匹配该泛域名对应的所有子域名。如果同时存在泛域名和精确域名配置，则精确域名的转发规则和防护策略优先生效。暂不支持添加`.edu`域名。如果您需要添加`.edu`域名，请提交工单联系售后技术支持。
防护资源（仅适用于独享版）	接入独享版Web应用防火墙服务时，选择要使用的防护资源类型。说明仅当您的WAF实例为独享版时，该页面才会展示防护资源选项。可选值：公共集群：默认选择。独享集群：独享集群支持定制化业务需求。更多信息，请参见设置独享集群。
协议类型	选择网站使用的网络协议类型。可选值： HTTP HTTPS：如果网站支持HTTPS加密认证，请选择HTTPS协议并在添加域名后上传域名的证书和私钥文件。更多信息，请参见上传HTTPS证书。选中HTTPS协议后，将显示高级设置折叠菜单。高级设置支持以下功能：开启HTTPS的强制跳转：开启后，网站的HTTP请求都强制转换为HTTPS，且默认跳转到443端口。开启HTTPS强制跳转前必须先取消HTTP协议。如果您需要强制客户端使用HTTPS请求访问网站，提高安全性，则可以开启该功能。注意请确保网站支持HTTPS业务再开启该功能。开启该功能后，部分浏览器将被强制设置为使用HTTPS请求访问网站。开启HTTP回源：开启后，Web应用防火墙使用HTTP协议发送回源请求，默认回源端口是80。开启HTTP回源可以在无需改动源站服务器的前提下，通过Web应用防火墙实现HTTPS访问，帮助降低网站的负载损耗。如果您的网站不支持HTTPS回源，请务必开启该功能。 HTTP2.0：仅对企业版和旗舰版Web应用防火墙实例开放，且必须先选中HTTPS协议才支持使用。
服务器地址	设置网站的源站服务器地址，支持IP地址格式和其他格式。完成接入后，Web应用防火墙将过滤后的访问请求转发到此处设置的服务器地址。 IP地址格式：填写源站的公网IP地址。多个IP地址间使用英文逗号（,）分隔。最多支持添加20个源站IP。不支持换行。说明如果设置了多个IP地址，Web应用防火墙将在这些地址间自动进行健康检查和负载均衡。如果源站在阿里云，一般填写ECS的公网IP地址。当ECS前面有SLB时，则填写SLB的公网IP地址。当源站在阿里云外的IDC机房或者其他云服务商时，建议您PING域名查询域名的公网IP地址，再填写域名的公网IP地址。其他格式：填写服务器回源域名，例如对象存储OSS的CNAME等。服务器回源域名不应和要防护的网站域名相同。说明如果您的源站服务器地址为OSS域名，则完成网站接入后，您必须前往OSS控制台中为该OSS域名绑定自定义域名，具体操作请参见绑定自定义域名。
服务器端口	设置网站使用的转发服务端口。 Web应用防火墙通过此处设置的端口为网站提供流量的接入与转发服务，网站域名的业务流量只通过已设置的服务端口进行转发。对于未设置的端口，Web应用防火墙不会转发任何该端口的访问请求流量到源站服务器，因此这些端口的启用不会对源站服务器造成任何安全威胁。注意网站信息中设置的协议类型和服务器端口必须是源站服务器提供Web业务的协议和端口，不支持端口转换。例如，源站服务器提供Web服务的是80端口HTTP协议，域名配置也必须是一致的，设置其他端口则无法正常转发。默认端口： HTTP 80：选中HTTP协议后默认设置。 HTTPS 443：选中HTTPS协议后默认设置。说明 HTTP2.0协议的端口与HTTPS协议的端口保持一致。自定义端口：单击自定义，分别设置HTTP和HTTPS协议自定义端口。单击查看可选范围可以查询所有支持使用的端口。多个端口间使用英文逗号（,）分隔。说明 Web应用防火墙旗舰版和独享版实例最多支持接入50个不同的服务器端口（包含80、8080、443、8443端口在内）；企业版和高级版实例最多支持接入10个服务器端口（包含80、8080、443、8443端口在内）。关于公共集群支持的详细端口列表，请参见支持的自定义端口范围。如果您要接入Web应用防火墙独享集群，则自定义端口仅支持从独享集群设置页面中设置的服务器端口范围中选择。更多信息，请参见设置独享集群。
负载均衡算法	设置了多个源站IP地址时，选择多源站IP间的负载均衡算法。可选值： IP hash（默认）：将某个IP的请求定向到同一个源站服务器。说明使用IP hash时，如果源站服务器的IP地址不够分散，可能会出现负载不均的情况。轮询：将所有请求轮流分配给源站服务器。 Least time：通过智能DNS解析能力和升级后的Least-time回源算法，保证业务流量从接入防护节点到转发回源站服务器整个链路的时延最短。说明 Least time仅在开通智能负载均衡后支持使用。更多信息，请参见智能负载均衡接入能力。设置生效后，Web应用防火墙将根据设置的负载均衡算法向多个源站IP分发回源请求，实现负载均衡。
WAF前是否有七层代理（高防/CDN等）	如果在Web应用防火墙前需要配置其他七层代理服务进行业务转发，请务必选择是，否则Web应用防火墙将无法获取访问网站的客户端真实IP。更多信息，请参见以下文档：同时部署WAF和DDoS高防同时部署WAF和CDN 如果在Web应用防火墙前不需要配置其他七层代理服务进行业务转发，请选择否。
流量标记	填写一个空闲的Header字段名称和自定义Header字段值，用来标识经过Web应用防火墙转发到源站的Web请求。 Web请求经过Web应用防火墙后，Web应用防火墙在请求中添加此处指定的字段和字段值，标识经转发的流量，方便您的后端服务统计信息，实现精准的源站保护（访问控制）、防护效果分析等。注意如果Web请求中本身包含此处定义的头部字段，Web应用防火墙将用此处的设定值覆盖原Web请求中对应字段的内容。
资源组	从资源组列表中选择域名所属的资源组。说明您可以使用资源管理服务创建资源组，根据业务部门、项目等维度对云资源进行分组管理。更多信息，请参见创建资源组。

修改DNS解析。
根据页面提示修改域名的DNS解析，将网站域名解析到Web应用防火墙进行安全清洗。更多信息，请参见修改域名DNS。
添加完成。
如果您的服务器正在使用除Web应用防火墙以外的防火墙服务，建议您将其关闭或将Web应用防火墙的IP地址加入其白名单，避免误拦截。更多信息，请参见放行WAF回源IP段。如果您的服务器未使用其他防火墙服务，则无需配置。
单击完成，返回网站列表，返回网站接入页面。

后续步骤

完成域名接入流程后，网站访问流量将经过Web应用防火墙保护，您还可以完善网站防护配置，更好地防护网站安全。

Web应用防火墙包含多种防护检测模块，帮助网站应对不同类型的安全威胁，其中正则防护引擎和CC安全防护模块默认开启，分别用于防御常见的Web应用攻击（例如SQL注入、XSS跨站、webshell上传等）和CC攻击，其他防护模块需要您手动开启并配置具体防护规则。更多信息，请参见网站防护配置概述。

上传HTTPS证书

如果您添加的网站信息的协议类型中包含HTTPS，您必须在Web应用防火墙控制台上传与该网站域名关联的HTTPS证书，且证书必须正确、有效，才能保证Web应用防火墙正常防护网站的HTTPS协议访问请求。

上传HTTPS证书支持以下方式：

手动上传证书：您需要提前准备好网站的证书文件和私钥文件。
需要准备的证书相关内容如下：
- *.crt（公钥文件）或*.pem（证书文件）
- *.key（私钥文件）
选择已有证书：您可以直接从阿里云SSL证书服务已有证书中选择与域名关联的证书。

操作步骤

登录Web应用防火墙控制台。
在顶部菜单栏，选择Web应用防火墙实例的资源组和地域（中国内地、海外地区）。
在左侧导航栏，单击资产中心 > 网站接入。
在网站接入页面，定位到要操作的域名，单击其协议状态列HTTPS后的图标。

说明只有在添加域名时选择了HTTPS协议类型，协议状态下才会出现HTTPS。

HTTPS协议状态异常表示添加域名后未上传证书或上传的证书无效，例如证书格式不正确、证书与当前域名不匹配等。只有在Web应用防火墙上传了合法、有效的证书后，HTTPS协议状态才会显示正常。
在上传证书（或更新证书）对话框，选择一种上传方式上传HTTPS证书。

说明如果您已经上传过证书，则显示更新证书对话框。更新证书对话框中的配置内容和上传证书对话框一致。
- 手动上传：填写证书名称，并将与域名关联的证书文件和私钥文件的文本内容分别复制粘贴到证书文件和私钥文件。
  关于证书文件的说明如下：
  - 如果证书是PEM、CER、CRT格式，您可以使用文本编辑器直接打开证书文件并复制其中的文本内容。
  - 如果证书是除PEM、CER、CRT外的其他格式，例如PFX、P7B等，您需要将证书文件转换成PEM格式后，才可以使用文本编辑器打开并复制其中的文本内容。关于证书格式的转换方法，请参见HTTPS证书转换成PEM格式。
  - 如果域名关联了多个证书文件，例如存在证书链，您需要将证书文件中的文本内容拼接合并后粘贴到证书文件。
- 选择已有证书：从证书列表选择要上传的证书。
  证书列表罗列了SSL证书服务中已签发的证书，您可以从列表中选择与当前域名关联的证书。单击云盾-证书服务，可以跳转到SSL证书管理控制台管理证书。
- 申请新证书：单击立即申请，跳转到SSL证书申请页面为域名快速申请证书。
  按照页面提示为域名配置证书后，已配置证书将默认上传到Web应用防火墙。
  
  说明快速申请证书仅支持申请收费型DV证书。如果您需要申请其他类型的证书，请前往SSL证书购买页面进行操作。更多信息，请参见证书选型和购买。
单击确定。
成功上传正确、有效的证书后，HTTPS协议状态将会显示正常。