修改域名DNS解析設(shè)置
本文中含有需要您注意的重要提示信息,忽略該信息可能對(duì)您的業(yè)務(wù)造成影響,請(qǐng)務(wù)必仔細(xì)閱讀。
在Web應(yīng)用防火墻(Web Application Firewall,簡(jiǎn)稱WAF)添加網(wǎng)站域名后,您必須使用WAF的CNAME地址修改域名的DNS解析設(shè)置,將網(wǎng)站的Web請(qǐng)求解析到WAF進(jìn)行安全防護(hù)。本文介紹了修改域名DNS的相關(guān)內(nèi)容。
背景信息
WAF僅支持使用CNAME記錄,將被防護(hù)域名的Web請(qǐng)求解析到WAF。
在某些極端情況下(例如節(jié)點(diǎn)故障、機(jī)房故障等),CNAME記錄可以實(shí)現(xiàn)自動(dòng)切換節(jié)點(diǎn)IP,甚至直接將解析切回源站,從而最大程度保證業(yè)務(wù)的穩(wěn)定運(yùn)行,提供高可用性和災(zāi)備能力。
WAF不支持使用A記錄。
為提升系統(tǒng)穩(wěn)定性與安全性,WAF默認(rèn)為接入WAF的域名開啟VIP隔離功能,將您的域名與分配的VIP強(qiáng)綁定。如果您使用A記錄并將請(qǐng)求解析到VIP,在該域名的VIP發(fā)生改變時(shí),例如開啟或關(guān)閉獨(dú)享IP或者智能負(fù)載均衡,將可能導(dǎo)致業(yè)務(wù)中斷。
如果您已使用A記錄接入,該域名的DNS狀態(tài)會(huì)顯示異常。您需要?jiǎng)h除A記錄,重新添加CNAME記錄,并將域名的DNS解析指向WAF提供的CNAME地址。
本文內(nèi)容適用于為網(wǎng)站單獨(dú)開啟WAF防護(hù),即網(wǎng)站不接入CDN、DDoS高防等其他代理型服務(wù)。如果您需要同時(shí)部署WAF和其他代理型服務(wù),請(qǐng)參見以下文檔:
前提條件
已通過CNAME接入模式在WAF中手動(dòng)添加要防護(hù)的網(wǎng)站信息。具體操作,請(qǐng)參見添加域名。
擁有在域名的DNS服務(wù)商處修改域名解析設(shè)置的權(quán)限。
已在源站服務(wù)器上放行WAF回源IP段。
如果您的源站服務(wù)器上使用了其他服務(wù)商的安全軟件或應(yīng)用了特定的訪問控制策略,您必須在源站設(shè)置放行WAF回源IP段,避免由WAF轉(zhuǎn)發(fā)回源站服務(wù)器的正常流量被誤判斷為異常攻擊而被攔截,影響源站服務(wù)器的Web業(yè)務(wù)被正常訪問。具體操作,請(qǐng)參見放行WAF回源IP段。
已通過本地驗(yàn)證確保轉(zhuǎn)發(fā)配置生效。
建議您在修改域名DNS解析設(shè)置前,通過本地驗(yàn)證確保WAF的網(wǎng)站轉(zhuǎn)發(fā)配置正常,防止因配置錯(cuò)誤導(dǎo)致業(yè)務(wù)中斷。具體操作,請(qǐng)參見本地驗(yàn)證。
警告如果在WAF的網(wǎng)站轉(zhuǎn)發(fā)配置未生效時(shí)修改域名DNS解析設(shè)置,可能導(dǎo)致業(yè)務(wù)中斷。
獲取WAF CNAME地址
修改域名DNS前,您必須先獲取域名對(duì)應(yīng)的WAF CNAME地址。如果您在添加域名時(shí)已經(jīng)獲得相關(guān)地址,請(qǐng)忽略以下步驟。
在左側(cè)導(dǎo)航欄,選擇 。
在域名列表中定位到已添加的域名,將光標(biāo)懸置在域名上,查看并復(fù)制域名對(duì)應(yīng)的WAF CNAME地址。
使用云解析DNS修改域名解析
如果您的域名解析托管在阿里云云解析DNS,您可以直接參照以下步驟進(jìn)行操作。如果您使用其他服務(wù)商的DNS服務(wù),請(qǐng)參照以下步驟在域名DNS服務(wù)商的系統(tǒng)上進(jìn)行類似配置。
在域名解析頁面,定位到要設(shè)置的域名,單擊其操作列下的解析設(shè)置。
在解析設(shè)置頁面,定位到要設(shè)置的主機(jī)記錄,單擊其操作列下的修改。
關(guān)于主機(jī)記錄的選擇,以
aliyun.com
域名為例:www: 用于精確匹配www開頭的域名,例如
www.aliyun.com
。@: 用于匹配根域名,例如
aliyun.com
。*: 用于匹配泛域名,包括所有子域名,例如
blog.aliyun.com
、www.aliyun.com
等。
在修改記錄對(duì)話框,選擇記錄類型為CNAME,修改記錄值為WAF CNAME地址,其余設(shè)置保持不變。
修改DNS解析記錄時(shí),需要注意以下情況:
TTL值一般建議設(shè)置為10分鐘。TTL值越大,DNS記錄的同步和更新越慢。
修改域名解析時(shí),可能由于記錄類型不同而產(chǎn)生沖突。
對(duì)于同一個(gè)主機(jī)記錄,CNAME解析記錄值只能填寫一個(gè),您需要將其修改為WAF CNAME地址。
不同DNS解析記錄類型間存在沖突。例如,對(duì)于同一個(gè)主機(jī)記錄,CNAME記錄與A記錄、MX記錄、TXT記錄等其他記錄互相沖突。在無法直接修改記錄類型的情況下,您可以先刪除存在沖突的其他記錄,再添加一條新的CNAME記錄。
警告刪除其他解析記錄并新增CNAME解析記錄的過程應(yīng)盡可能在短時(shí)間內(nèi)完成。如果刪除A記錄后長(zhǎng)時(shí)間沒有添加CNAME解析記錄,可能導(dǎo)致域名無法正常解析。
單擊確定,完成解析設(shè)置修改,等待修改后的DNS解析記錄生效。
驗(yàn)證DNS解析設(shè)置。您可以ping網(wǎng)站域名或使用DNS檢測(cè)工具驗(yàn)證DNS解析是否生效。
說明由于DNS解析記錄生效需要一定時(shí)間,如果驗(yàn)證失敗,您可以等待10分鐘后重新驗(yàn)證。
相關(guān)操作
開啟源站保護(hù)
開啟源站保護(hù)可以防止攻擊者在獲取源站服務(wù)器的真實(shí)IP后,繞過WAF直接攻擊您的源站。建議您通過配置源站ECS的安全組或源站SLB的白名單,防止惡意攻擊者直接攻擊您的源站。更多信息,請(qǐng)參見設(shè)置源站保護(hù)。
獲取客戶端真實(shí)IP
網(wǎng)站接入WAF后,源站服務(wù)器收到的回源請(qǐng)求全部來自WAF,您可以通過
X-Forwarded-For
請(qǐng)求頭字段獲取訪問者的真實(shí)IP。更多信息,請(qǐng)參見獲取客戶端真實(shí)IP。