同一个域名是否支持使用透明接入和CNAME接入两种模式?

不支持。

每个域名只能使用透明接入或CNAME接入两种方式之一。如果您已通过CNAME接入开启WAF防护的域名,需要切换为透明接入,您必须先删除该域名的CNAME接入配置,然后在透明接入模式下重新接入该域名。
说明 域名首次透明接入WAF时,可能会导致该域名指向的网站Web业务出现秒级闪断。

已透明接入的域名如果无需WAF转发流量和提供防护,该如何处理?

如果您确认该域名无需WAF继续提供防护,您可以在WAF控制台资产中心 > 网站接入页面的服务器列表中,定位该域名所在的源站IP,为对应端口关闭引流(具体操作,请参见修改端口引流状态)。操作完成后,该域名的访问流量将切回到域名所在的源站服务器,不再通过WAF转发。

透明接入后,源站可以获取客户端的真实IP吗?

可以。WAF会向域名所在的服务器直接提供真实的客户端IP,而不再将WAF的回源IP地址返回给源站服务器。

端口绑定的证书更新后,是否需要将证书重新上传到WAF透明接入模块中?

不同类型的源站实例所需操作不同,具体说明如下:
  • 源站实例为ALB类型七层SLB类型:不需要在WAF透明接入模块重新上传证书。您只需在负载均衡实例中更新证书,WAF透明接入模块会自动同步最新的证书。
  • 源站实例为四层SLB类型ECS类型:需要在WAF透明接入模块重新上传证书。

同一个域名如果配置到了多个SLB实例上,我需要如何完成透明接入?

这种情况下,您需要在对该域名进行透明接入配置时,同时添加这几个SLB实例的HTTP/HTTPS服务端口,实现WAF对这几个实例同时引流。

如果配置透明接入时,您仅添加了其中一个SLB实例的HTTP/HTTPS服务端口,WAF将仅转发来自该端口的访问流量并对其进行防护。来自其他SLB实例的流量将不会通过WAF转发和受到WAF的防护。

一个SLB实例配置了多个域名,如果我只对其中一个域名完成了透明接入,会有什么影响?

这种情况下,该SLB实例上其他域名也受到WAF默认防护策略(包括规则防护引擎、CC安全防护)的防护。WAF如果检测到这些域名有攻击流量,也会对攻击流量进行拦截。

说明 透明接入模式下,接入WAF防护的流量只与服务器(ECS、SLB、ALB实例)的引流端口配置有关。如果您的SLB实例上配置了多个域名,且这些域名都是通过同一个端口(假设为HTTPS 443端口)提供服务,则您为其中一个域名开启透明接入时,需要将SLB实例的443端口配置为引流端口,该操作会使443端口上所有流量(包含其他域名的流量)都接入到WAF进行防护。更多信息,请参见 添加域名

透明接入时为什么看不到我需要接入的七层SLB实例?

透明接入存在一定的限制条件。具体内容,请参见透明接入

使用透明接入模式将SLB接入到WAF时,如果您在 Web应用防火墙控制台 添加域名页面的 七层SLB类型列表中,无法看到您需要接入的SLB公网实例或者无法成功接入WAF,可能原因有以下几点:
原因 说明 解决方法
公网SLB实例所在的地域不在透明接入支持的范围内。 目前,仅支持位于华北2(北京)、华东1(杭州)、华东2(上海)、华南1(深圳)或西南1(成都)地域的公网SLB实例使用透明接入模式。 使用位于华北2(北京)、华东1(杭州)、华东2(上海)、华南1(深圳)或西南1(成都)地域的公网SLB实例接入WAF。
公网SLB实例绑定的公网IP是IPv6版本。 透明接入不支持IPv6版本的公网SLB实例。 使用IPv4版本的公网SLB实例接入WAF。
公网SLB实例中未配置监听协议。 未添加监听端口的SLB实例将无法使用透明接入。 在SLB实例控制台为SLB实例添加监听端口。
原有的公网SLB实例位于历史网络架构中的经典网络。 目前,仅支持已完成公网上移网络改造的SLB接入WAF。如果您的SLB满足其他条件但未出现透明接入列表中,可能是由于您当前的SLB未完成公网上移改造。 使用私网SLB+EIP的网络结构的SLB实例或新购公网SLB实例(新购买的公网SLB实例不存在历史网络架构中的问题)接入WAF。
透明接入时,需要配置的公网SLB实例(七层)端口使用的证书未上传到阿里云SSL证书控制台进行统一管理。 公网SLB实例(七层)接入WAF时,需要配置的端口如果为HTTPS协议,但是该端口使用的证书未上传到阿里云SSL证书服务中,会导致SLB无法将该证书自动同步到WAF中,您将无法完成网站接入。 将该公网SLB实例(七层)HTTPS端口使用的证书上传到SSL证书控制台
透明接入时,需要配置的公网SLB实例端口开启了双向认证。 如果当前HTTPS协议在公网SLB中采用了双向认证,则暂时不支持透明接入。 需要在SLB控制台取消双向认证选项后,重新在Web应用防火墙控制台执行透明接入。
需要执行透明接入的公网SLB是新购的SLB实例。 新购买的SLB实例存在有一定的数据延迟,您可能在透明接入页面暂时无法看到新购买的SLB实例。 完成SLB购买后,建议您等待1~3分钟,再刷新Web应用防火墙控制台后执行透明接入。
透明接入时,需要配置的公网SLB实例端口不在当前WAF版本支持的范围内。 WAF包年包月服务的高级版、企业版、旗舰版支持透明接入模式。如果需要配置的公网SLB实例端口不在当前WAF版本支持的范围内,您在Web应用防火墙控制台添加域名页面的七层SLB类型列表中,添加该端口时将无法保存,从而导致无法将该公网SLB实例成功接入WAF。 使用当前WAF版本支持的端口。
说明 透明接入模式下,不同版本支持接入的端口不同。旗舰版支持任意非标端口接入;关于其他版本支持的端口范围,可以在 七层SLB类型右上角单击 查看可选范围获取。

我使用的是私网SLB+EIP,是否支持透明接入?

支持。