Web 应用防火墙：通过CNAME方式接入域名

防护原理

通过CNAME接入将网站域名添加到WAF后，网站所有的业务流量将被引流到WAF进行检测。WAF过滤Web应用攻击后，将正常的业务流量转发回源站服务器，从而保障网站的业务安全和数据安全。此时，WAF作为一个反向代理集群，同时参与流量的检测和转发。

前提条件

• 已开通WAF 3.0服务。具体操作，请参见开通包年包月WAF 3.0、开通按量付费WAF 3.0。

• 如果您的网站部署在中国内地服务器上，您需要确保该网站的域名已完成ICP（Internet Content Provider）备案，且接入WAF防护期间备案信息是有效的。

  说明

  中国内地WAF实例会定期检查所防护域名备案信息的有效性。如果域名备案信息已过期，WAF会按照相关法律法规要求，对域名执行未备案治理，治理方式包括但不限于停止转发站点请求、清除备案失效的域名配置等。

  • 如果该网站部署在阿里云上，您需要在阿里云进行ICP备案。具体操作，请参见ICP备案场景。

  • 如果该网站没有部署在阿里云上，您可以联系阿里云或其他云厂商进行ICP备案。

操作步骤

1. 登录Web应用防火墙3.0控制台。在顶部菜单栏，选择WAF实例的资源组和地域（中国内地、非中国内地）。

2. 在左侧导航栏，单击接入管理。

3. 在CNAME接入页签，单击接入。

4. 在配置监听向导页，完成如下配置后，单击下一步。

   配置项	配置说明
   域名	填写要防护的域名，包括精确域名（例如www.aliyundoc.com）或通配符域名（例如*.aliyundoc.com）。仅支持填写一个域名。 如果您是首次添加该域名，需要验证是否拥有该域名的归属权。通过后，才能添加域名。具体操作，请参见验证域名归属权。 说明 通配符域名能够匹配所有同级别的子域名，不能匹配不同级别的子域名。例如，*.aliyundoc.com能够匹配www.aliyundoc.com、example.aliyundoc.com等；*.aliyundoc.com不能匹配www.example.aliyundoc.com。 二级通配符域名能够匹配对应的二级主域名，例如，*.aliyundoc.com能够匹配aliyundoc.com。 三级通配符域名不能匹配对应的三级主域名，例如，*.example.aliyundoc.com不能匹配example.aliyundoc.com。 如果防护对象中同时存在精确域名和能够匹配该精确域名的通配符域名，精确域名的防护规则优先生效。
   协议类型	选择网站使用的协议类型并填写对应端口。每输入一个端口，按回车确认。 说明 填写的端口必须在可选端口范围内。您可以单击查看端口范围，查看WAF支持的HTTP和HTTPS端口。更多信息，请参见WAF支持的端口范围。 选中HTTPS后，您还需要将网站域名关联的SSL证书上传到WAF，使WAF监听和防护网站的HTTPS业务流量。 在HTTPS证书上传方式区域，选择证书上传方式，并完成配置。 说明 WAF 共享虚拟主机定制版不支持 HTTPS。 手动上传 选中手动上传，并填写证书名称、证书文件（格式示例：-----BEGIN CERTIFICATE-----......-----END CERTIFICATE-----）、私钥文件（格式示例：-----BEGIN RSA PRIVATE KEY-----......-----END RSA PRIVATE KEY-----）。 重要 如果证书是PEM、CER、CRT格式，您可以使用文本编辑器直接打开证书文件，并复制其中的文本内容；如果是其他格式（例如PFX、P7B等），您必须将证书文件转换成PEM格式后，才可以使用文本编辑器获取其中的文本内容。您可以登录数字证书管理服务控制台，使用证书格式转换工具进行转换。具体操作，请参见证书格式转换。 如果域名关联了多个SSL证书（例如存在证书链），您必须将证书文件中的文本内容拼接后，再上传到WAF。 选择已有证书 如果您的证书为如下两种情况，您可以选中选择已有证书，从证书下拉列表中选择要上传到WAF的证书。 证书已通过阿里云数字证书管理服务（原 SSL 证书）签发。 证书为第三方证书，且已上传到数字证书管理服务。 重要 选择上传到数字证书管理服务的第三方证书时，WAF控制台提示证书链完整性校验失败，使用该证书可能会影响您的业务访问，可能是选择的证书存在问题。您可以单击云盾-证书服务，在数字证书管理服务控制台重新上传新的证书。具体操作，请参见上传和共享SSL证书。 申请新证书 选中申请新证书，单击立即申请，在数字证书管理服务为域名快速申请一张SSL证书。 说明 快速申请证书仅支持申请付费GeoTrust DV（Domain Validation）单域名证书。如果您需要申请其他类型的证书，请通过数字证书管理服务购买。更多信息，请参见购买SSL证书。 按照数字证书管理服务控制台提示为域名配置证书后，证书将自动上传到WAF。 选中HTTPS并配置证书后，您也可以根据业务需要，进行如下操作： 如果您的网站支持HTTP 2.0协议，您可以选中HTTP2，开启HTTP 2.0业务防护。 说明 HTTP 2.0协议的端口与HTTPS协议端口一致。 高级配置 开启HTTPS的强制跳转（默认不开启） 如果您希望将客户端的HTTP请求强制转换为HTTPS请求（默认跳转到443端口），以提高安全性，可开启该功能。开启该功能后会默认开启HTTP严格传输安全（HTTP Strict Transport Security，HSTS），配置HSTS响应头，确保始终使用HTTPS请求连接。 重要 只有在未选中HTTP协议时，支持开启该功能。 TLS协议版本 自定义HTTPS通信中允许使用的TLS协议版本。如果客户端使用不符合要求的协议版本，WAF会丢弃其请求流量。此处设置的协议版本越高，通信安全性越好，但兼容性会有所降低。 建议您根据网站本身的HTTPS配置，选择允许WAF监听的TLS协议版本。如果您不清楚网站的HTTPS配置，建议使用默认选项。 可选项： 支持TLS1.0及以上版本，兼容性最高，安全性较低（默认） 支持TLS1.1及以上版本，兼容性较好，安全性较好 使用该选项后，如果客户端使用TLS 1.0版本，将无法访问网站。 支持TLS1.2及以上版本，兼容性较好，安全性最高 使用该选项后，如果客户端使用TLS 1.0和1.1版本，将无法访问网站。 如果您的网站支持TLS 1.3协议，请选中开启支持TLS1.3。WAF默认不监听TLS 1.3协议的客户端请求。 HTTPS加密套件 自定义HTTPS通信中允许使用的加密套件。如果客户端使用不符合要求的加密套件，WAF会丢弃其请求流量。 默认已选择WAF支持的全部加密套件。建议您只在网站只支持特定加密套件的前提下，再修改该配置。 可选项： 全部加密套件，兼容性较高，安全性较低（默认） 协议版本的自定义加密套件、请谨慎选择，避免影响业务：如果您的网站本身只支持特定的加密套件，请选择该选项，并从WAF支持的加密套件中选择网站支持的加密套件。 如果客户端使用其他加密套件，将无法访问网站。
   WAF前是否有七层代理（高防/CDN等）	网站在接入WAF前是否启用了其他七层代理服务（例如DDoS高防、CDN等）。 无其他代理服务，选择否（默认） 表示WAF收到的业务请求由客户端直接发起，而非通过其他代理服务转发。该场景下，WAF会直接获取与WAF建立连接的IP（来自请求的REMOTE_ADDR字段）作为客户端IP。 有其他代理服务，选择是 表示WAF收到的业务请求来自其他七层代理服务转发，而非客户端直接发起。为保证WAF可以获取真实的客户端IP进行安全分析，您需要进一步设置客户端IP判定方式。 可选项： （默认）取X-Forwarded-For中的第一个IP作为客户端源IP WAF默认读取请求Header字段X-Forwarded-For（XFF）中的第一个IP地址作为客户端IP。 【推荐】取指定Header字段中的第一个IP作为客户端源IP，避免XFF伪造 如果您的网站业务已通过其他代理服务的设置，规定将客户端源IP放置在某个自定义的Header字段（例如，X-Client-IP、X-Real-IP），则您需要选择该选项，并在指定Header字段框中输入对应的Header字段。 说明 推荐您在业务中使用自定义Header存放客户端IP，并在WAF中配置对应Header字段。该方式可以避免攻击者伪造XFF字段，躲避WAF的检测规则，提高业务的安全性。 支持输入多个Header字段。每输入完一个Header字段，按回车进行确认。如果设置了多个Header，WAF将按顺序尝试读取客户端IP。如果第一个Header不存在，则读取第二个，以此类推。如果所有指定Header都不存在，则读取XFF中第一个IP地址作为客户端IP。
   更多配置	开启IPv6 WAF默认只处理IPv4业务流量。如果您的网站支持IPv6协议，您可以开启该功能，将IPv6业务流量接入WAF进行防护。WAF会为当前域名分配一个IPv6的WAF IP地址，用于处理IPv6客户端的请求流量。仅中国内地按量付费版、包年包月企业版和旗舰版支持该功能。 开启独享IP 接入WAF防护的所有域名默认由一个WAF IP来防护。开启独享IP后，WAF会额外分配一个专用的WAF IP（即独享IP），来监听该域名的业务请求。当其他域名遭受大流量DDoS攻击时，启用独享IP的域名不会受到该影响。更多信息，请参见域名独享IP。 如果您的域名需要使用独享IP防护，可开启该功能。 重要 针对包年包月实例，仅高级版、企业版、旗舰版付费支持独享IP。 按量付费实例按实际开启的独享IP数结算费用。更多信息，请参见按量付费计费说明。 防护资源 选择要使用的防护资源类型。 共享集群（默认） 共享集群智能负载均衡 开启共享集群智能负载均衡后，WAF将为当前域名提供至少三个不同地域的防护节点，实现异地多节点自动容灾，同时通过智能DNS解析能力和Least-time回源算法，保证业务流量从接入防护节点到转发回源站服务器整个链路的时延最短。更多信息，请参见智能负载均衡。 重要 针对包年包月实例，仅高级版、企业版、旗舰版付费支持共享集群智能负载均衡。您可以在总览页面单击立即升级，启用智能负载均衡后，开启共享集群智能负载均衡。更多信息，请参见升级与降配。 按量付费实例按是否启用共享集群智能负载均衡结算费用。更多信息，请参见按量付费计费说明。 开启共享集群智能负载均衡后，不支持开启IPv6、独享IP。
   资源组	从资源组下拉列表中选择该域名所属资源组。如果不选择，则默认加入默认资源组。 说明 您可以使用资源管理服务创建资源组，根据业务部门、项目等维度对云资源进行分组管理。更多信息，请参见创建资源组。

5. 在配置转发向导页，完成如下配置后，单击提交。

   配置项	说明
   负载均衡算法	如果源站有多个服务器地址，您可以根据业务需要，选择不同的负载均衡算法，使WAF将回源请求转发到对应的服务器，实现负载均衡。可选项： IP hash（默认） 将来自同一个客户端IP的请求固定转发到的一个源站服务器地址。 轮询 将所有请求轮流分配给不同的源站服务器。 Least time 通过智能DNS解析能力和Least-time回源算法，保证业务流量从接入WAF到转发回源站服务器整个链路的路径及时延最短。 重要 如需使用Least time算法，必须确认配置监听时，将防护资源设置为共享集群智能负载均衡。更多信息，请参见配置防护资源。
   服务器地址	填写网站对应的源站服务器的公网IP地址或源站域名，用于接收WAF转发回源的正常业务请求（回源请求）。可选项： IP 必须为公网可达的IP地址。 支持填写多个IP地址。每填写一个IP地址，按回车进行确认。最多支持添加20个源站IP。 说明 如果设置了多个源站IP地址，WAF会将回源请求转发到不同的源站，实现负载均衡。 支持同时配置IPv4和IPv6地址，或者只配置IPv4地址，只配置IPv6地址。 同时配置IPv4和IPv6地址时，来自IPv4客户端的请求将被转发到IPv4源站，来自IPv6客户端的请求将被转发到IPv6源站。 重要 如需配置IPv6回源，必须确保在配置监听时，开启了IPv6防护。更多信息，请参见开启IPv6。 重要 如网站对应的源站服务器的公网IP地址变更，需要手动 添加新的回源IP。 域名（如CNAME） 服务器地址为域名时，只支持IPv4地址，暂不支持IPv6地址，即WAF只会将客户端请求转发到源站域名解析出来的IPv4地址。
   HTTPS高级设置	开启HTTP回源 HTTP回源表示WAF使用HTTP协议向源站转发回源请求，默认回源端口是80。开启该功能后，无论客户端访问WAF的端口是80或443，WAF转发的请求都会通过80端口访问源站。开启HTTP回源可以在无需改动源站服务器的前提下，通过WAF实现HTTP访问，帮助您降低网站的负载损耗。 重要 如果您的网站不支持HTTPS回源，请务必开启该设置。 启用回源SNI 回源SNI（Server Name Indicator extension）表示WAF转发客户端请求到源站服务器，在与源站进行TLS握手时，通过SNI扩展字段指定要访问的主机，并与该主机建立HTTPS连接。如果您的源站服务器有多个虚拟主机（对应不同域名），则需要开启该设置。 选中启用回源SNI后，您可以进一步设置SNI扩展字段的值。可选项： 与实际请求host保持一致（默认） 表示WAF回源请求中SNI扩展字段的值与请求头中Host字段的值保持一致。 例如，您配置的网站域名为*.aliyundoc.com，客户端实际请求了www.aliyundoc.com（即Host字段值），则WAF回源请求中SNI扩展字段的值为www.aliyundoc.com。 自定义 表示您自定义WAF回源请求中SNI扩展字段的值。 一般情况无需自定义SNI，除非您的业务有特殊配置要求，希望WAF在回源请求中使用与实际请求Host不一致的SNI（即此处设置的自定义SNI）。
   其它高级设置	通过X-Forwarded-Proto头字段获取WAF的监听协议 WAF 3.0 会默认为经过的 HTTP 请求自动插入 X-Forwarded-Proto 头部，用于标识与 WAF 之间的通信协议使用的是HTTP还是HTTPS协议访问代理服务器。如果您的网站应用程序无法正确处理该头部，可能会导致一些兼容性问题，影响业务正常运行。您可以选择关闭 WAF 自动插入该头部的功能，避免此类问题发生。 启用流量标记 启用流量标记可以帮助源站区分经过WAF的请求，获取客户真实源IP或源端口。 例如，如果攻击者在域名接入WAF前，已获取源站IP信息，并通过购买其他WAF实例，将请求回源到目标源站时，您可以在源站对启用流量标记的字段进行校验。如果请求中存在指定标记字段，则为WAF检测后的正常请求，放行该请求；如果请求中不存在指定标记字段，则为攻击者请求，拦截该请求。 您可以配置如下类型的标记字段： 自定义Header 通过配置Header名和Header值，使WAF在回源请求中添加该Header信息，标记经过WAF的请求（区分没有经过WAF的请求，便于您的后端服务统计分析）。 例如，您可以使用ALIWAF-TAG: Yes标记经过WAF的请求，其中，ALIWAF-TAG为Header名，Yes为Header值。 客户端真实源IP 通过配置真实客户端源IP所在的头部字段名，WAF可记录该头部字段并将该头部字段传递回源站。关于WAF判定客户端真实源IP的具体规则，请参见WAF前是否有七层代理（高防/CDN等）参数的描述。 客户端真实源端口 通过配置真实客户端源端口所在的头部字段名，WAF可记录该头部字段并将该头部字段传递回源站。 重要 请不要填写标准的HTTP头部字段（例如User-Agent等），否则会导致标准头部字段内容被自定义的字段值覆盖。 单击新增标记，可以增加标记字段。最多支持设置5个标记字段。 设置WAF回源到源站的超时时间 设置新建连接超时时间：WAF与源站建立连接的超时时间，默认值为5s，可配置范围为1s~3600s。 设置读连接超时时间：等待源站响应的超时时间，默认值为120s，可配置范围为1s~3600s。 设置写连接超时时间：WAF向源站发送请求的超时时间，默认值为120s，可配置范围为1s~3600s。 回源重试 开启该功能后，如果回源失败，WAF会默认为每个源站尝试回源三次。关闭该功能后，如果回源失败，WAF将不再进行重试。 回源长连接 开启该功能后，您还需要进行如下设置： 复用长连接的请求个数：默认值为1,000个，可配置范围为60个~1,000个。 空闲长连接超时时间：默认值为15s，可配置范围为1s~60s。 说明 关闭该功能后，回源长连接将不支持WebSocket协议。

6. 在接入完成向导页，获取WAF提供的CNAME地址，并根据页面提示将域名的DNS解析地址设置为WAF提供的CNAME地址。具体操作，请参见修改域名DNS解析设置。

   重要

   在修改域名DNS解析设置前，请确认如下内容：

   • 已通过本地验证确保转发配置生效。如果在WAF的网站转发配置未生效时修改域名DNS，可能导致业务中断。更多信息，请参见本地验证。

   • 如果源站服务器安装了其他防火墙应用，您需要将WAF IP地址添加到应用的白名单，避免WAF转发回源站的正常业务请求被误拦截。您可以单击Web应用防火墙回源IP网段列表，查看并复制WAF回源IP地址段。更多信息，请参见放行WAF回源IP段。

   

   完成以上配置后，您可以执行如下操作，检测域名是否添加成功：

   • 在浏览器输入已添加的域名，如果网站能正常访问，表示域名添加成功。

   • 在浏览器输入已添加的域名和Web攻击代码（例如<被防护域名>/alert(xss)，alert(xss)为用作测试的跨站脚本攻击代码），如果返回405拦截提示页面，表示攻击被拦截，WAF防护成功。

   重要

   通过CNAME方式接入的域名会做ICP备案校验。WAF会定期检查已接入域名的备案情况，已接入的域名，也可能出现备案过期的情况，一旦检查到过期，会自动停止域名的转发，如下图所示。

   已接入域名备案过期后，您需要重新申请备案，备案成功后回到CNAME接入页面，点击再次接入防护按钮。

更多操作

查看域名DNS状态

为了能快速识别DNS解析异常的风险域名，WAF提供域名DNS状态检测功能。您可以在接入列表查看域名的DNS状态，并根据控制台提示的异常原因，修改DNS解析设置。

为域名绑定或解除标签

您可以为接入WAF的域名绑定标签，并通过已绑定标签快速查找指定资源。

• 单个绑定或解除标签

  1. 定位到目标域名，将鼠标悬停在标签列的图标上，如果该域名未新增标签，单击绑定，如果该域名已有标签，单击编辑。

  2. 在编辑标签对话框，选择或输入标签键，并填写标签值。

     说明

     • 一次最多绑定20个标签键，允许标签值为空。

     • 输入标签键和标签值时，最多支持128个字符，不支持以aliyun或acs:开头，且不能包含http://和https://。

     • 标签可以在接入时为域名绑定，也可以在配置防护策略时为域名对应的防护对象绑定，且同时生效。即为域名绑定标签后，对应的防护对象也会被绑定该标签。

     绑定标签后，您可以通过域名列表上方的标签筛选，查找已绑定标签的域名。

  3. 可选：如果您不再使用该标签，可在编辑标签对话框，单击目标标签的图标，删除该标签。

• 批量绑定或解除标签

  选中多个域名，单击列表下方的增加标签或删除标签。

修改或删除已接入的域名

定位到目标域名，单击操作列的编辑或删除。

设置默认SSL或TLS策略

所有域名接入同一个WAF实例后，会绑定同一个WAF VIP用于监听相关业务请求。

为满足不同场景下对HTTPS通信安全合规和兼容性的要求，WAF支持为IPv4版本的VIP自定义SSL证书或TLS策略。您可以在进行合规扫描检测前，为VIP上传符合合规要求的HTTPS证书，禁用、启用某些特定版本的TLS协议和加密套件。

1. 在接入列表上方，单击默认SSL/TLS设置。

2. 在默认SSL/TLS设置对话框，完成如下配置后，单击确定。

   配置项	说明
   HTTPS证书上传方式	上传SSL证书。具体操作与域名证书上传方式相同，请参见上传证书。
   TLS协议版本	选择要启用的TLS协议版本。可选项： 支持TLS 1.0及以上版本，兼容性最高，安全性较低（默认） 支持TLS 1.1及以上版本，兼容性较好，安全性较好 支持TLS 1.2及以上版本，兼容性较好，安全性最高 如果要启用TLS 1.3协议，选中开启支持TLS1.3。
   HTTPS加密套件	选择要启用的加密套件。可选项： 全部加密套件，兼容性较高，安全性较低（默认） 协议版本的自定义加密套件，请谨慎选择，避免影响业务 关于支持自定义的加密套件，请参见WAF支持的加密套件。

更新域名绑定的证书

如果证书即将到期或其他原因导致证书发生变更（例如证书被吊销）时，您需要更新域名绑定的证书。

具体操作如下所示：

1. 续费证书或将第三方证书上传到数字证书管理服务（原 SSL 证书）。具体操作，请参见SSL证书续费或上传和共享SSL证书。

2. 同步证书到WAF。

   • 在数字证书管理服务（原 SSL 证书）控制台部署证书到WAF。具体操作，请参见部署SSL证书到阿里云产品。

   • 在WAF控制台上传证书。

     1. 在CNAME接入列表，定位到目标域名，单击操作列的编辑。

     2. 在HTTPS证书上传方式区域，选中选择已有证书，并重新选择更换后的证书。

后续操作

相关文档

• 如果您想了解防护对象、防护策略和防护流程等信息，请参见防护配置概述。

• 如果您想使用API将域名接入WAF实例的配置信息，请参见API文档CreateDomain - 添加CNAME接入资源。

• 如果您想使用API查询CNAME接入详情的配置信息，请参见API文档DescribeDomainDetail - 查询CNAME接入详情。