添加网站

本文介绍了开通Web应用防火墙（简称WAF）服务后，如何添加网站，为网站开启Web防护。

登录Web应用防火墙控制台。在左侧导航栏，单击网站配置。在网站配置 页面上方，选择当前实例。选择实例后，点击添加网站。

• 进入添加网站页面，填写网站信息，配置参数说明如下：

填写域名

输入要防护的域名，支持精确域名与泛域名的方式：

• 支持使用精确域名，如www.example.com。

• 支持使用泛域名（仅限旗舰版），如*.example.com。

  • 如果您有域名：a.example.com，b.example.com和c.example.com，且各子域名对应的服务器IP地址相同，那么您可以直接添加泛域名*.example.com

  • 添加泛域名后，Web应用防火墙将自动匹配该泛域名对应的所有子域名。

  • 如果同时存在泛域名和精确域名配置，则精确域名的转发规则和防护策略优先生效。

协议类型

选择网站使用的网络协议类型，可选值HTTP、HTTPS。如果网站选择HTTPS协议后，将显示下图菜单。
如果网站支持HTTPS协议，请选择，并在添加网站后，在网站配置页面上传域名的证书和私钥文件。更多信息请参考上传HTTPS证书。

• 开启HTTPS的强制跳转
  客户端请求是否强制跳转成HTTPS且默认跳转到443端口。如果您需要强制客户端使用HTTPS请求访问网站提高安全性，可以开启该功能。开启HTTPS强制跳转开关前，请先取消网站支持HTTP协议。
  

• 开启HTTP回源
  如果您的网站不支持HTTPS回源，请务必开启该功能。
  开启后Web应用防火墙使用HTTP协议发送回源请求，默认回源端口是80。
  开启HTTP回源可以在无需改动源站服务器的前提下，通过Web应用防火墙实现HTTPS访问，帮助降低源站的负载损耗。
  

服务器地址

设置网站的源站服务器地址，支持IP地址格式和回源域名方式。完成接入后，WAF将过滤后的访问请求转发到此处设置的服务器地址。

• IP地址格式：填写源站服务器的公网IP地址，一般对应该域名在DNS服务商处配置的A记录。多个IP地址之间使用英文逗号(,)分隔。最多支持填写20个IP地址，不支持换行。支持以下两种IP格式：

  • IPv4：例如192.168.1.1 。

  • IPv6：例如2001:0db8:3c4d:0015:0000:0000:1a2f:1a2b。至少要填写一个IPv4地址。
    如果源站在京东云，一般填写ECS的公网IP地址。当源站在京东云外的IDC，建议您查询确认域名的公网IP再填写。

• 其他地址：填写服务器回源域名，域名应保证公网可解析，一般对应该域名在DNS服务商处配置的CNAME。

负载均衡算法与IP地址

设置了多个IP地址时，选择多源站IP间的负载均衡算法。支持如下算法：

• IP hash：将某个IP请求按照一定的计算方式转发到同一个源站服务器。

• 轮询（默认）：将所有请求轮流转发到源站服务器。

• 加权轮询：当服务器地址类型为IP并且套餐为旗舰版时，支持选择加权轮询。此时需要输入要保护的服务器公网IP和权重，例如1.1.1.1 4，公网IP和权重用空格隔开。

服务器端口

设置网站使用的转发端口，用于WAF转发客户端请求到服务器的端口。域名的业务流量只通过已设置的服务端口进行转发。未设置的端口，WAF不会转发任何该端口的访问请求流量到源站。

• 默认端口 ：HTTP 80：选中HTTP协议后默认设置。 HTTPS 443：选中HTTPS协议后默认设置。

• 自定义端口：您可以单击自定义 ，分别设置HTTP和HTTPS协议的自定义端口。
  
  可选端口如提示所示，多个端口之前请以英文逗号（","）隔开。每个域名支持10个端口(包括HTTP端口和HTTPS端口)。

是否已使用代理

如果在WAF前需要配置其他七层代理进行业务转发，如IP高防、CDN、云加速等，请务必选择是 。如果在WAF前没有配置其他七层代理进行业务转发，请选择否。
您勾选是后，WAF将会对请求头的X-Forwarded-For字段进行解析获取客户端真实IP；否则用HTTP连接的对端IP作为客户端真实IP。

回源长连接

设置WAF与源站的请求会话是否开启长连接。开启回源长连接可以一定程度的减轻源站的通信资源消耗。

回源连接超时时长

可以设置WAF到源站的连接超时时长，支持填写3~75s。

请求头支持下划线

默认客户端发起请求不支持下划线，如需支持可以开启。

填写完上述网站信息，点击确定。成功添加网站后，您可以在网站配置的页面查看已经添加的网站，并根据需要执行以下操作：

• DNS解析状态 ：只有当域名DNS已解析到Web应用防火墙的CNAME地址且Web应用防火墙检测到域名的访问流量，DNS解析状态才显示正常。如果DNS解析状态 显示异常，您可以将鼠标放到异常 上，浮窗展示异常原因，修复异常后，单击刷新按钮重新检测。请注意，修改DNS解析距离生效会有一定延时，可以稍后再试。
  

• CNAME查看 ：鼠标放到CNAME 上，浮窗展示CNAME的值，您可以点击复制，用于本地验证环节。

• 模式：有云端和回源两种模式。

  • 云端模式是指客户端请求访问WAF，经过WAF的流量识别，将安全的流量返回源站服务器。

  • 回源模式是指客户端请求直接访问源站服务器。如果源站做了白名单只接受WAF出口IP的请求，则需要把该白名单下线后，再切回源模式，避免业务故障。

• 上传HTTPS证书 ：如果网站支持HTTPS协议，请务必确保在Web应用防火墙上传正确的证书和私钥，保证正常防护HTTPS业务流量。您可以单击未关联证书 ,上传域名的HTTPS证书和私钥。更多信息，请参见上传HTTPS证书。

• 防护设置：可以查看防护状态，如果开启防护，则展示防护次数。关闭防护，则展示关闭。

• 工作模式 ：添加的域名是否开启防护，如果关闭防护，则只转发请求，不对请求流量进行防护。

• 编辑 ：单击操作列下的编辑修改网站信息，如协议类型、服务器地址、服务器端口等信息。

• 删除 ：单击操作列下的删除删除域名。

• 防护配置 ：单击操作列下的防护配置 ，跳转到该域名的防护规则配置页面，设置Web防护、访问控制、CC防护、BOT管理、业务风控、流量管理和网站合规防护策略。

SSL协议类型(可选)

选择HTTPS协议后，可以选择支持的SSL和TSL协议类型。
SSL（Secure Socket Layer，安全套接字）协议是Web浏览器与服务器之间安全交换信息的协议，提供鉴别和保密的能力。
HTTPS协议是由SSL（TSL）+HTTP协议构建的可进行加密传输、身份认证的网络协议。

• WAF 默认开启SSLv2、SSLv3、TLS1.0、TLS1.1和TLS1.2版本，即只提供符合协议类型的客户端请求访问，低于TSL1.0的版本的请求，将无法正常访问网站。

• 协议安全性顺序如下：SSLv2 < SSLv3 (默认选择，可取消)< TSL1.0 （默认选择，可取消）< TSL1.1(默认选择，不可取消) < TSL1.2（默认选择，不可取消）

加密套件等级（可选）

加密套件默认选择中级 。适用于正常访问，兼容性较好，支持的客户端广泛，安全性适中。 如果您需要过等保测评，请选择高级 ，低版本浏览器可能无法访问。 如果您希望支持更多的客户端访问，请选择低级。

开启HTTP2.0（可选）

选中HTTPS协议后，可以支持开启选项。