产品文档

Web 应用防火墙

CNAME接入指南

要通过Web应用防火墙(WAF)防护您的网站,您必须在Web应用防火墙控制台完成域名配置,并将域名解析指向WAF为域名分配的CNAME地址,让所有访问网站的流量都经过WAF的过滤。

接入WAF前后的的流量逻辑如下所示。

img

接入前准备

在将您的网站域名通过CNAME方式接入Web应用防火墙进行防护前,您需要完成以下准备工作:

  • 该网站域名必须可以通过公网访问。
  • 该网站域名必须已完成ICP备案。
  • 确认该网站域名是否已接入其它代理型系统。
  • 准备被防护域名的DNS管理员权限,用来修改DNS记录,以切换被防护网站的流量。
  • 如果该网站域名需要通过HTTPS协议访问,您还需要准备好相应的证书内容和私钥。

说明: 一般情况下,您所需准备的证书相关内容包括:

    • *.pem(证书文件)
    • *.key(私钥文件)

接入流程

img

步骤1:网站配置

登录京东云Web应用防火墙控制台,前往网站配置页面,单击添加网站,根据提示结合业务情况进行配置。

img

配置说明如下:

配置 描述
域名 填写要接入的网站域名。
协议类型 根据网站协议选择HTTP和/或HTTPS并根据实际情况,是否开启HTTPS的强制跳转,和是否开启HTTP回源。
服务器地址 - 选择IP,并填写源站公网IP。 说明: 服务器地址是您希望WAF把请求转发到的IP地址。 - 如果您希望WAF防护的目标使用域名接入,则需要选择其它地址,填写对应的源域名,注意不是接入WAF防护的网站域名(此处添加的回源域名应保证在公网可以解析,否则该域名配置将不会生效)。
服务器端口 填写服务器监听的端口。目前HTTP协议支持端口有:80, 8080;HTTPS协议支持端口有:443, 8443
是否使用代理 判断是否使用了代理。
负载均衡算法 选择IP hash或轮询算法。

启用HTTPS

如果该网站域名需要支持通过HTTPS协议访问,您还需要参考以下步骤在WAF控制台中为该网站域名上传相应的证书。

  1. 准备所需证书信息。 说明: 所下载的证书一般包括*.pem(证书文件)和*.key(私钥文件)两个文件。
  2. 登录京东云Web应用防火墙控制台,前往证书管理页面,分别上传证书文件证书私钥中的指定内容。

img

查看域名接入状态

配置网站后,您可以登录京东云Web应用防火墙控制台,在网站配置页面查看已添加的网站域名的DNS解析状态,确认其是否正确接入WAF。如果DNS解析状态为异常,且收到未检测到CNAME接入无流量的异常提示,则说明您所配置的网站域名未正确接入WAF。 https://cloudwaf-console.jdcloud.com img

  • DNS解析状态自动检测该网站域名的解析是否指向CNAME,并检测最近数分钟内该域名的访问流量是否经过Web应用防火墙。
  • DNS解析状态的CNAME接入检测会定时执行。如果您确认已将网站域名解析正确接入WAF的CNAME,可在一小时后再次查看DNS解析状态。

步骤2:本地测试

将业务流量正式切换到WAF前,建议您先通过本地验证的方式确保WAF转发规则配置正常后,再修改网站域名的DNS解析记录,防止因配置错误而导致您业务的中断。

关于本地测试的具体方法,请查看本地验证。

步骤3:切换DNS解析记录(正式接入Web应用防火墙防护)

修改您的网站域名的DNS解析,将该网站域名接入WAF进行防护。

将鼠标移至已添加的网站域名记录,获取WAF已为该域名所分配的CNAME地址。

说明: 单击复制按钮可将该CNAME地址复制到剪贴板。

img

以下操作步骤以京东云云解析DNS为例进行描述。如果网站使用的是其它域名提供商,参考以下操作步骤并结合实际域名管理控制台变更您的网站域名的DNS解析记录。

  1. 登录京东云解析DNS控制台,修改您的网站域名的解析记录。
配置 说明
主机记录 填写对应的子域名(例如,www.jdclouddemo.cn的主机记录为”www”,jdclouddemo.cn的主机记录为”@”)。
记录类型 修改为CNAME。
记录值 填写Web应用防火墙已分配的CNAME地址。
TTL 即域名缓存时间,可按照您的实际需求填写(一般建议设置为600秒)。

img

  1. 填写完成后,单击确定,完成解析记录的变更。

更具体的操作说明,请参考解析记录操作

注意事项

  • 同一个主机记录,CNAME解析记录值只能填写一个,您需要将其修改为WAF所分配的CNAME地址。
  • 同一个主机记录,A记录和CNAME记录是互斥的。您需要修改为CNAME类型,并填入WAF所分配的CNAME地址。
  • 如果DNS服务商不允许直接将A记录的解析记录修改为CNAME记录,您需要先删除该A记录后,再增加CNAME类型的解析记录。

说明: 整个删除、新增过程应尽可能在短时间内完成,确保网站访问不中断。如果删除A记录后长时间没有添加CNAME类型解析记录,可能导致域名解析失败。

  • **MX****记录和CNAME记录是互斥的。**如果您的网站域名必须保留MX记录,可以通过使用A记录指向WAF的IP来接入WAF防护。通过对WAF分配的CNAME地址使用Ping命令可以获取所分配的WAF IP,然后将A记录类型的解析记录中的记录值修改为该WAF IP。

说明: 如果您采用A记录方式将网站域名接入WAF防护,WAF将无法进行故障集群调度和故障bypass操作。

更新时间:2019-03-20 20:56:47