阿里云-Web應(yīng)用防火墻接入指南-D

1、Web 應(yīng)用防火墻接入指南WebWeb/接入指南 PAGE 6 PAGE 6接入指南DNS接入WAF在WAF控制臺(tái)配置過域名后，必須將域名指向WAF，讓流量切至WAF，才能受到WAF防護(hù)1.系統(tǒng)檢測(cè)到未接入WAF時(shí)，會(huì)在控制臺(tái)顯示：未檢測(cè)到cname接入且無流量。判斷標(biāo)準(zhǔn)：域名未指向cname，且最近數(shù)分鐘該域名無流量經(jīng)過WAF時(shí)2. 已接入的會(huì)顯示：已接入WAF3.如果您是CDN/高防 - WAF 的架構(gòu)，請(qǐng)確定高防/CDN回源到了WAF的IP或者cname1小時(shí)后再次查看狀 態(tài)操作步驟獲取加速域名在Web應(yīng)用防火墻找到生成的CNAME變更DNS解析，接入Web應(yīng)用防火墻 （以萬網(wǎng)DNS為例

2、）登錄萬網(wǎng)會(huì)員中心點(diǎn)擊會(huì)員中心左側(cè)導(dǎo)航欄中的【產(chǎn)品管理】-我的云解析進(jìn)入萬網(wǎng)云解析列表頁。點(diǎn)擊要解析的域名，進(jìn)入解析記錄頁。進(jìn)入解析記錄頁后，點(diǎn)擊新增解析按鈕，開始設(shè)置解析記錄。 HYPERLINK / 記錄類型選擇為CNAME，主機(jī)記錄填寫對(duì)應(yīng)的子域名（如 的主機(jī)記錄為： www）。記錄值填寫Web應(yīng)用防火墻對(duì)應(yīng)域名的cnameTTL為域名緩存時(shí)間，您可以按照您的需求填寫，參考值為3600填寫完成后，點(diǎn)擊保存按鈕，完成解析設(shè)置注意事項(xiàng)同一個(gè)主機(jī)記錄，CNAME解析記錄值只能填寫一個(gè)，您可以修改為Web應(yīng)用防火墻的地址同一個(gè)主機(jī)記錄，A記錄和CNAME記錄是互斥的，您可以修改為CNAME類型，

3、并填入CNAME如果DNS服務(wù)商不允許直接從A記錄修改為CNAME記錄，需要您先刪除A記錄，增加CNAME記錄，注意刪除新增過程需要快，如果刪除后，長時(shí)間沒有添加CNAME值，可能導(dǎo)致域名解析不到結(jié)果MX記錄和CNAME記錄是互斥的，如果您必須保持MX記錄，可以將用A記錄方式指向WAF的IP，WAF的IP獲取可以采?。簆ing 一下 cname，得到的IP即為WAF IP。直接配置 A 記錄，記錄值寫此IPWeb應(yīng)用防火墻簡介Web應(yīng)用防火墻(Web Application Firewall, 簡稱 WAF)基于云安全大數(shù)據(jù)能力實(shí)現(xiàn)，通過防御SQL注入、XSS跨站腳本、常見Web服務(wù)器插件漏洞

4、、木馬上傳、非授權(quán)核心資源訪問等OWASP常見攻擊，過濾 海量惡意訪問，避免您的網(wǎng)站資產(chǎn)數(shù)據(jù)泄露，保障網(wǎng)站的安全與可用性。Web應(yīng)用防火墻是針對(duì)單個(gè)域名提供安全防護(hù)的產(chǎn)品，接入前后對(duì)比如下圖：接入準(zhǔn)備以和為例：接入域名源站ip業(yè)務(wù)類型業(yè)務(wù)端口源站安全限制檢查是否已經(jīng)備案1,2http,https80,443無安全防護(hù)設(shè)備已備案1,2http,htpps80,443無安全防護(hù)設(shè)備已備案- 檢查需要接入Web應(yīng)用防火墻的業(yè)務(wù)域名和服務(wù)器IP，同時(shí)確認(rèn)如下幾點(diǎn)：該域名僅提供80,443端口的業(yè)務(wù)。（如有其他端口如8081、8082，請(qǐng)?zhí)崆罢f明，我們會(huì)確 認(rèn)是否支持）該服務(wù)器IP未安裝相關(guān)安全防護(hù)軟件

5、，如果安裝需將Web應(yīng)用防火墻回源地址加入白名單中 防止被誤攔截。該域名是否已經(jīng)在阿里云完成備案，未備案的域名無法訪問會(huì)被阿里云備案系統(tǒng)攔截。接入Web應(yīng)用防火墻第1-4步不影響實(shí)際業(yè)務(wù)，可以提前完成配置，并且完成Web應(yīng)用防火墻的配置檢查。第5步可能會(huì)影響修改dns解析的鏈路訪問，如果有出現(xiàn)問題可以進(jìn)行操作回滾來恢復(fù)，影響范圍較小。經(jīng)過第4步確認(rèn)出現(xiàn)問題概率較低。第7步可能會(huì)影響全部鏈路訪問，如果出現(xiàn)問題可以進(jìn)行操作回滾來恢復(fù)，影響范圍大。經(jīng)過第6步確 認(rèn)出現(xiàn)問題概率低。詳細(xì)步驟登陸云盾控制臺(tái)-網(wǎng)絡(luò)安全-Web應(yīng)用防火墻 控制臺(tái)地址，如未開通請(qǐng)先開通該服務(wù)。添加防護(hù)業(yè)務(wù)域名：需要接入的域名（

6、支持泛解析， HYPERLINK / 是2個(gè)不同的域名）協(xié)議類型：業(yè)務(wù)對(duì)外提供的協(xié)議類型（如果有https業(yè)務(wù)，需要在此處勾選https協(xié)議，證書 在配置完成后上傳）源站ip：業(yè)務(wù)對(duì)應(yīng)的真實(shí)服務(wù)器地址上傳https證書（如有）修改電腦的本地hosts文件，讓本地的訪問經(jīng)過Web應(yīng)用防火墻，在不變更業(yè)務(wù)的情況下，即可進(jìn)行 業(yè)務(wù)通過Web防火墻墻后的測(cè)試，hosts幫助文檔修改dns記錄，切換部分鏈路（移動(dòng)、海外線路或小流量運(yùn)營商）流量到Web應(yīng)用防火墻，并使用17測(cè)平臺(tái)測(cè)試對(duì)應(yīng)運(yùn)營商的業(yè)務(wù)聯(lián)通性和訪問速度情況。確認(rèn)切換的部分業(yè)務(wù)是否正常。修改dns記錄，切換全部鏈路流量到Web應(yīng)用防火墻，并使用

7、 17測(cè)平臺(tái)測(cè)試所有運(yùn)營商的業(yè)務(wù)聯(lián)通性和訪問速度情況。(DNS配置方式：/document_detail/35620.html)確認(rèn)全部業(yè)務(wù)是否正常。如果所有域名都已經(jīng)切至Web應(yīng)用防火墻。為了防止繞過Web應(yīng)用防火墻直接攻擊源站，請(qǐng)首先提 工單詢問Web應(yīng)用防火墻的回源IP段，拿到回源網(wǎng)段后，按照如下方式操作：常見問題解決故障切換Web應(yīng)用防火墻在企業(yè)版、旗艦版中(查看詳情)提供多機(jī)房冗災(zāi)備份的能力，能夠在Web應(yīng)用防火墻單機(jī)房故 障或者不可用的時(shí)候自動(dòng)切換到備份機(jī)房，無需您人工參與，切換生效時(shí)間在1-30分鐘（視各地DNS緩存為準(zhǔn)）其他版本或者極端情況所有Web應(yīng)用防火墻不可用的情況下，我

8、們會(huì)直接解析cname地址到您的真實(shí)服務(wù)器上 保證您業(yè)務(wù)的可用性。切換生效時(shí)間在1-30分鐘（視各地DNS緩存為準(zhǔn),如果您源站做了訪問限制如ecs安全組、防火墻訪問控制等，則需要收到我們短信通知后進(jìn)行限制解除來保證業(yè)務(wù)的可用。）504錯(cuò)誤504錯(cuò)誤說明該域名未在Web應(yīng)用防火墻進(jìn)行配置或者配置未生效，出現(xiàn)此錯(cuò)誤后請(qǐng)檢查是否遺漏了相關(guān)域名 的配置，如果確認(rèn)配置正常且出現(xiàn)504錯(cuò)誤，請(qǐng)先修改dns解析到源站ip恢復(fù)業(yè)務(wù)，再與我們聯(lián)系進(jìn)行問題排查。502錯(cuò)誤錯(cuò)誤說明Web應(yīng)用防火墻訪問您源站ip的時(shí)候出現(xiàn)了鏈接錯(cuò)誤（連接失敗、連接超時(shí)等），一般情況刷新 業(yè)務(wù)即可恢復(fù)。如果多次刷新仍然出現(xiàn)502錯(cuò)誤，

9、請(qǐng)先檢查是否源站的安全限制攔截了Web應(yīng)用防火墻的訪問ip，如果沒有請(qǐng)先修改dns解析到源站ip恢復(fù)業(yè)務(wù)，再與我們聯(lián)系進(jìn)行問題排查。客戶端訪問https業(yè)務(wù)失敗目前Web應(yīng)用防火墻使用SNI協(xié)議對(duì)https協(xié)議進(jìn)行支持，部分客戶端可能無法支持sni協(xié)議。詳細(xì)信息源站安全組和白名單配置指南為了更好的對(duì)網(wǎng)站進(jìn)行防護(hù)，防止黑客直接攻擊源站IP，建議配置ECS安全組或SLB白名單配置前，請(qǐng)確保該ECS或SLB實(shí)例上，所有域名都已經(jīng)切至WAF配置指南：首先在Web應(yīng)用防火墻（WAF）控制臺(tái)，拿到WAF所有回源IP段：配置只允許WAF回源IP進(jìn)行訪問：源站是ECS：配置安全組，公網(wǎng)入方向：80-443允許Web應(yīng)用防火墻回