本文介绍如何将域名接入新版边缘WAF防护全流程,便于您快速使用新版WAF功能。
开通边缘WAF
如果未开通边缘WAF功能,请登录全站加速控制台,在左侧导航栏选择 ,根据页面提示单击立即开通。
(可选)步骤一:配置默认防护策略
边缘WAF内置了Web基础默认防护策略,帮助Web业务防御SQL注入、XSS跨站、代码执行、WebShell上传、命令注入等常见的Web应用攻击。如果系统内置的Web基础默认防护策略无法满足您的需求(例如,您需要为不同防护对象应用不同的防护模式),您可以自主配置默认防护策略。具体操作,请参考默认防护策略。
步骤二:接入防护域名
登录DCDN控制台。
在左侧导航栏,单击 。
在防护域名页面,单击防护域名接入。
在添加防护域名对话框,选择需要防护的域名并配置获取客户端IP的方式。
参数
说明
添加域名
选择需要防护的域名。
说明一次最多可添加50个域名。
获取客户端IP
支持客户端建联IP和自定义Header两种方式。
获取客户端IP默认选择客户端建联IP。但如果您在接入WAF前使用了DDoS、ER等前置的网关产品,WAF收到的请求IP就变成了DDoS、ER服务器的IP,因此需您根据需求将IP来源修改为XFF等其他Header,避免WAF误拦截DDoS、ER的请求。
指定Header字段
当获取客户端IP选择自定义Header时有效。
自定义Header示例:
text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apgn,*/*;q=0.8
说明多个Header以逗号分隔,最多支持输入5个。
说明WAF防护策略将在请求到达DCDN边缘节点后立即执行,即WAF防护的执行优先级高于任何其它配置(例如缓存、鉴权等)。
单击确定。
防护域名接入后,会自动配置默认防护策略。
说明若(可选)步骤一:配置默认防护策略中未配置其它默认策略,则域名接入后仅会配置由系统提供的Web基础防护默认策略,并通过请求处理数计费。
(可选)步骤三:新增或修改防护规则
如果您需要修改防护规则的状态、规则动作(例如,从拦截改为观察)等,可以在防护策略总览区域,编辑防护策略。具体操作,请参考配置边缘WAF防护策略。