本文介紹如何將網域名稱接入新版邊緣WAF防護全流程,便於您快速使用新版WAF功能。
開通邊緣WAF
如果未開通邊緣WAF功能,請登入全站加速控制台,在左側導覽列選擇,根據頁面提示單擊立即開通。
(可選)步驟一:配置預設防護策略
邊緣WAF內建了Web基礎預設防護策略,協助Web業務防禦SQL注入、XSS跨站、代碼執行、WebShell上傳、命令注入等常見的Web應用攻擊。如果系統內建的Web基礎預設防護策略無法滿足您的需求(例如,您需要為不同防護對象應用不同的防護模式),您可以自主配置預設防護策略。具體操作,請參考預設防護策略。
步驟二:接入防護網域名稱
登入DCDN控制台。
在左側導覽列,單擊。
在防護網域名稱頁面,單擊防護網域名稱接入。
在添加防護網域名稱對話方塊,選擇需要防護的網域名稱並配置擷取用戶端IP的方式。
參數
說明
添加網域名稱
選擇需要防護的網域名稱。
說明一次最多可添加50個網域名稱。
擷取用戶端IP
支援用戶端建聯IP和自訂Header兩種方式。
擷取用戶端IP預設選擇用戶端建聯IP。但如果您在接入WAF前使用了DDoS、ER等前置的網關產品,WAF收到的請求IP就變成了DDoS、ER伺服器的IP,因此需您根據需求將IP來源修改為XFF等其他Header,避免WAF誤攔截DDoS、ER的請求。
指定Header欄位
當擷取用戶端IP選擇自訂Header時有效。
自訂Header樣本:
text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apgn,*/*;q=0.8說明多個Header以逗號分隔,最多支援輸入5個。
說明WAF防護策略將在請求到達DCDN邊緣節點後立即執行,即WAF防護的執行優先順序高於任何其它配置(例如緩衝、鑒權等)。
單擊確定。
防護網域名稱接入後,會自動設定預設防護策略。
說明若(可選)步驟一:配置預設防護策略中未配置其它預設策略,則網域名稱接入後僅會配置由系統提供的Web基礎防護預設策略,並通過請求處理數計費。
(可選)步驟三:新增或修改防護規則
如果您需要修改防護規則的狀態、規則動作(例如,從攔截改為觀察)等,可以在防護策略總覽地區,編輯防護策略。具體操作,請參考配置邊緣WAF防護策略。
