全部产品
Search
文档中心

Web 应用防火墙:修改域名DNS解析设置

更新时间:Sep 14, 2023

Web应用防火墙(Web Application Firewall,简称WAF)添加网站域名后,您必须使用WAF的CNAME地址修改域名的DNS解析设置,将网站的Web请求解析到WAF进行安全防护。本文介绍了修改域名DNS的相关内容。

背景信息

WAF仅支持使用CNAME记录,将被防护域名的Web请求解析到WAF。

在某些极端情况下(例如节点故障、机房故障等),CNAME记录可以实现自动切换节点IP,甚至直接将解析切回源站,从而最大程度保证业务的稳定运行,提供高可用性和灾备能力。

警告
  • WAF不支持使用A记录。

    为提升系统稳定性与安全性,WAF默认为接入WAF的域名开启VIP隔离功能,将您的域名与分配的VIP强绑定。如果您使用A记录并将请求解析到VIP,在该域名的VIP发生改变时,例如开启或关闭独享IP或者智能负载均衡,将可能导致业务中断。

  • 如果您已使用A记录接入,该域名的DNS状态会显示异常。您需要删除A记录,重新添加CNAME记录,并将域名的DNS解析指向WAF提供的CNAME地址。

本文内容适用于为网站单独开启WAF防护,即网站不接入CDN、DDoS高防等其他代理型服务。如果您需要同时部署WAF和其他代理型服务,请参见以下文档:

前提条件

  • 已通过CNAME接入模式在WAF中手动添加要防护的网站信息。具体操作,请参见添加域名

  • 拥有在域名的DNS服务商处修改域名解析设置的权限。

  • 已在源站服务器上放行WAF回源IP段。

    如果您的源站服务器上使用了其他服务商的安全软件或应用了特定的访问控制策略,您必须在源站设置放行WAF回源IP段,避免由WAF转发回源站服务器的正常流量被误判断为异常攻击而被拦截,影响源站服务器的Web业务被正常访问。具体操作,请参见放行WAF回源IP段

  • 已通过本地验证确保转发配置生效。

    建议您在修改域名DNS解析设置前,通过本地验证确保WAF的网站转发配置正常,防止因配置错误导致业务中断。具体操作,请参见本地验证

    警告

    如果在WAF的网站转发配置未生效时修改域名DNS解析设置,可能导致业务中断。

获取WAF CNAME地址

修改域名DNS前,您必须先获取域名对应的WAF CNAME地址。如果您在添加域名时已经获得相关地址,请忽略以下步骤。

  1. 登录Web应用防火墙控制台

  2. 在左侧导航栏,选择资产中心 > 网站接入

  3. 域名列表中定位到已添加的域名,将光标悬置在域名上,查看并复制域名对应的WAF CNAME地址。CNAME地址

使用云解析DNS修改域名解析

如果您的域名解析托管在阿里云云解析DNS,您可以直接参照以下步骤进行操作。如果您使用其他服务商的DNS服务,请参照以下步骤在域名DNS服务商的系统上进行类似配置。

  1. 登录云解析DNS控制台

  2. 域名解析页面,定位到要设置的域名,单击其操作列下的解析设置

  3. 解析设置页面,定位到要设置的主机记录,单击其操作列下的修改

    关于主机记录的选择,以aliyun.com域名为例:

    • www: 用于精确匹配www开头的域名,例如www.aliyun.com

    • @: 用于匹配根域名,例如aliyun.com

    • *: 用于匹配泛域名,包括所有子域名,例如blog.aliyun.comwww.aliyun.com等。

  4. 修改记录对话框,选择记录类型CNAME,修改记录值为WAF CNAME地址,其余设置保持不变。

    修改cname记录

    修改DNS解析记录时,需要注意以下情况:

    • TTL值一般建议设置为10分钟。TTL值越大,DNS记录的同步和更新越慢。

    • 修改域名解析时,可能由于记录类型不同而产生冲突。

      • 对于同一个主机记录,CNAME解析记录值只能填写一个,您需要将其修改为WAF CNAME地址。

      • 不同DNS解析记录类型间存在冲突。例如,对于同一个主机记录,CNAME记录与A记录、MX记录、TXT记录等其他记录互相冲突。在无法直接修改记录类型的情况下,您可以先删除存在冲突的其他记录,再添加一条新的CNAME记录。

        警告

        删除其他解析记录并新增CNAME解析记录的过程应尽可能在短时间内完成。如果删除A记录后长时间没有添加CNAME解析记录,可能导致域名无法正常解析。

  5. 单击确定,完成解析设置修改,等待修改后的DNS解析记录生效。

  6. 验证DNS解析设置。您可以ping网站域名或使用DNS检测工具验证DNS解析是否生效。

    说明

    由于DNS解析记录生效需要一定时间,如果验证失败,您可以等待10分钟后重新验证。

相关操作

  • 开启源站保护

    开启源站保护可以防止攻击者在获取源站服务器的真实IP后,绕过WAF直接攻击您的源站。建议您通过配置源站ECS的安全组或源站SLB的白名单,防止恶意攻击者直接攻击您的源站。更多信息,请参见设置源站保护

  • 获取客户端真实IP

    网站接入WAF后,源站服务器收到的回源请求全部来自WAF,您可以通过X-Forwarded-For请求头字段获取访问者的真实IP。更多信息,请参见获取客户端真实IP