在Web Application Firewall(Web Application Firewall,簡稱WAF)添加網站網域名稱後,您必須使用WAF的CNAME地址修改網域名稱的DNS解析設定,將網站的Web請求解析到WAF進行安全防護。本文介紹了修改網域名稱DNS的相關內容。
背景資訊
WAF僅支援使用CNAME記錄,將被防護網域名稱的Web請求解析到WAF。
在某些極端情況下(例如節點故障、機房故障等),CNAME記錄可以實現自動切換節點IP,甚至直接將解析切回來源站點,從而最大程度保證業務的穩定運行,提供高可用性和災備能力。
WAF不支援使用A記錄。
為提升系統穩定性與安全性,WAF預設為接入WAF的網域名稱開啟VIP隔離功能,將您的網域名稱與分配的VIP強綁定。如果您使用A記錄並將請求解析到VIP,在該網域名稱的VIP發生改變時,例如開啟或關閉獨享IP或者智能負載平衡,將可能導致業務中斷。
如果您已使用A記錄接入,該網域名稱的DNS狀態會顯示異常。您需要刪除A記錄,重新添加CNAME記錄,並將網域名稱的DNS解析指向WAF提供的CNAME地址。
本文內容適用於為網站單獨開啟WAF防護,即網站不接入CDN、DDoS高防等其他代理型服務。如果您需要同時部署WAF和其他代理型服務,請參見以下文檔:
前提條件
已通過CNAME接入模式在WAF中手動添加要防護的網站資訊。具體操作,請參見添加網域名稱。
擁有在網域名稱的DNS服務位址修改網域名稱解析設定的許可權。
已在來源站點伺服器上允許存取WAF回源IP段。
如果您的來源站點伺服器上使用了其他服務商的安全軟體或應用了特定的存取控制策略,您必須在來源站點設定允許存取WAF回源IP段,避免由WAF轉寄回來源站點伺服器的正常流量被誤判斷為異常攻擊而被攔截,影響來源站點伺服器的Web業務被正常訪問。具體操作,請參見允許存取WAF回源IP段。
已通過本地驗證保證式轉送配置生效。
建議您在修改網域名稱DNS解析設定前,通過本地驗證確保WAF的網站轉寄配置正常,防止因配置錯誤導致業務中斷。具體操作,請參見本地驗證。
警告如果在WAF的網站轉寄配置未生效時修改網域名稱DNS解析設定,可能導致業務中斷。
擷取WAF CNAME地址
修改網域名稱DNS前,您必須先擷取網域名稱對應的WAF CNAME地址。如果您在添加網域名稱時已經獲得相關地址,請忽略以下步驟。
在左側導覽列,選擇 。
在網域名稱列表中定位到已添加的網域名稱,將游標懸置在網域名稱上,查看並複製網域名稱對應的WAF CNAME地址。
使用Alibaba Cloud DNS修改網域名稱解析
如果您的網域名稱解析託管在阿里雲Alibaba Cloud DNS,您可以直接參照以下步驟進行操作。如果您使用其他服務商的DNS服務,請參照以下步驟在網域名稱DNS服務商的系統上進行類似配置。
在網域名稱解析頁面,定位到要設定的網域名稱,單擊其操作列下的解析設定。
在解析設定頁面,定位到要設定的主機記錄,單擊其操作列下的修改。
關於主機記錄的選擇,以
aliyun.com
網域名稱為例:www: 用於精確匹配www開頭的網域名稱,例如
www.aliyun.com
。@: 用於匹配根網域名稱,例如
aliyun.com
。*: 用於匹配泛網域名稱,包括所有子網域名稱,例如
blog.aliyun.com
、www.aliyun.com
等。
在修改記錄面板,選擇記錄類型為CNAME,修改記錄值為WAF CNAME地址,其餘設定保持不變。
修改DNS解析記錄時,需要注意以下情況:
TTL值一般建議設定為10分鐘。TTL值越大,DNS記錄的同步和更新越慢。
修改網域名稱解析時,可能由於記錄類型不同而產生衝突。
對於同一個主機記錄,CNAME解析記錄值只能填寫一個,您需要將其修改為WAF CNAME地址。
不同DNS解析記錄類型間存在衝突。例如,對於同一個主機記錄,CNAME記錄與A記錄、MX記錄、TXT記錄等其他記錄互相衝突。在無法直接修改記錄類型的情況下,您可以先刪除存在衝突的其他記錄,再添加一條新的CNAME記錄。
警告刪除其他解析記錄並新增CNAME解析記錄的過程應儘可能在短時間內完成。如果刪除A記錄後長時間沒有添加CNAME解析記錄,可能導致網域名稱無法正常解析。
單擊確認,完成解析設定修改,等待修改後的DNS解析記錄生效。
驗證DNS解析設定。您可以ping網站網域名稱或使用DNS偵查工具驗證DNS解析是否生效。
說明由於DNS解析記錄生效需要一定時間,如果驗證失敗,您可以等待10分鐘後重新驗證。