防護原理

通過CNAME接入將網站域名添加到WAF后，網站所有的業務流量將被引流到WAF進行檢測。WAF過濾Web應用攻擊后，將正常的業務流量轉發回源站服務器，從而保障網站的業務安全和數據安全。此時，WAF作為一個反向代理集群，同時參與流量的檢測和轉發。

前提條件

• 已開通WAF 3.0服務。具體操作，請參見開通包年包月WAF 3.0、開通按量付費WAF 3.0。

• 如果您的網站部署在中國內地服務器上，您需要確保該網站的域名已完成ICP（Internet Content Provider）備案，且接入WAF防護期間備案信息是有效的。

  說明

  中國內地WAF實例會定期檢查所防護域名備案信息的有效性。如果域名備案信息已過期，WAF會按照相關法律法規要求，對域名執行未備案治理，治理方式包括但不限于停止轉發站點請求、清除備案失效的域名配置等。更多信息，請參見未備案不得提供非經營性互聯網信息服務。

  • 如果該網站部署在阿里云上，您需要在阿里云進行ICP備案。具體操作，請參見ICP備案流程。

    您可以在網站底部查看域名是否已完成ICP備案。下圖以阿里巴巴官網為例，展示網站添加ICP備案號后的效果。

  • 如果該網站沒有部署在阿里云上，您可以聯系阿里云或其他云廠商進行ICP備案。

操作步驟

1. 登錄Web應用防火墻3.0控制臺。在頂部菜單欄，選擇WAF實例的資源組和地域（中國內地、非中國內地）

2. 在左側導航欄，單擊接入管理

3. 在CNAME接入頁簽，單擊接入。

4. 在配置監聽向導頁，完成如下配置后，單擊下一步。

   配置項	配置說明
   域名	填寫要防護的域名，包括精確域名（例如www.aliyundoc.com）或通配符域名（例如*.aliyundoc.com）。僅支持填寫一個域名。 如果您是首次添加該域名，需要驗證是否擁有該域名的歸屬權。通過后，才能添加域名。具體操作，請參見驗證域名歸屬權。 說明 通配符域名能夠匹配所有同級別的子域名，不能匹配不同級別的子域名。例如，*.aliyundoc.com能夠匹配www.aliyundoc.com、example.aliyundoc.com等；*.aliyundoc.com不能匹配www.example.aliyundoc.com。 二級通配符域名能夠匹配對應的二級主域名，例如，*.aliyundoc.com能夠匹配aliyundoc.com。 三級通配符域名不能匹配對應的三級主域名，例如，*.example.aliyundoc.com不能匹配example.aliyundoc.com。 如果防護對象中同時存在精確域名和能夠匹配該精確域名的通配符域名，精確域名的防護規則優先生效。
   協議類型	選擇網站使用的協議類型并填寫對應端口。每輸入一個端口，按回車確認。 說明 填寫的端口必須在可選端口范圍內。您可以單擊查看端口范圍，查看WAF支持的HTTP和HTTPS端口。更多信息，請參見WAF支持的端口范圍。 選中HTTPS后，您還需要將網站域名關聯的SSL證書上傳到WAF，使WAF監聽和防護網站的HTTPS業務流量。 在HTTPS證書上傳方式區域，選擇證書上傳方式，并完成配置。 說明 WAF 共享虛擬主機定制版不支持 HTTPS。 手動上傳 選中手動上傳，并填寫證書名稱、證書文件（格式示例：-----BEGIN CERTIFICATE-----......-----END CERTIFICATE-----）、私鑰文件（格式示例：-----BEGIN RSA PRIVATE KEY-----......-----END RSA PRIVATE KEY-----）。 重要 如果證書是PEM、CER、CRT格式，您可以使用文本編輯器直接打開證書文件，并復制其中的文本內容；如果是其他格式（例如PFX、P7B等），您必須將證書文件轉換成PEM格式后，才可以使用文本編輯器獲取其中的文本內容。您可以登錄數字證書管理服務控制臺，使用證書格式轉換工具進行轉換。具體操作，請參見證書格式轉換。 如果域名關聯了多個SSL證書（例如存在證書鏈），您必須將證書文件中的文本內容拼接后，再上傳到WAF。 選擇已有證書 如果您的證書為如下兩種情況，您可以選中選擇已有證書，從證書下拉列表中選擇要上傳到WAF的證書。 證書已通過阿里云數字證書管理服務（原 SSL 證書）簽發。 證書為第三方證書，且已上傳到數字證書管理服務。 重要 選擇上傳到數字證書管理服務的第三方證書時，WAF控制臺提示證書鏈完整性校驗失敗，使用該證書可能會影響您的業務訪問，可能是選擇的證書存在問題。您可以單擊云盾-證書服務，在數字證書管理服務控制臺重新上傳新的證書。具體操作，請參見上傳和共享SSL證書。 申請新證書 選中申請新證書，單擊立即申請，在數字證書管理服務為域名快速申請一張SSL證書。 說明 快速申請證書僅支持申請付費GeoTrust DV（Domain Validation）單域名證書。如果您需要申請其他類型的證書，請通過數字證書管理服務購買。更多信息，請參見購買SSL證書。 按照數字證書管理服務控制臺提示為域名配置證書后，證書將自動上傳到WAF。 如果您的網站要同時支持國密SM2算法，您需要上傳國密證書。包年包月版和按量付費版均支持該功能。 說明 WAF當前僅支持與客戶端通過國密算法進行TLS握手，不支持和源站通過國密SM2算法進行TLS握手，即WAF到源站不支持國密HTTPS。 打開開啟國密HTTPS開關。 在國密HTTPS證書上傳方式區域，選擇證書上傳方式，并完成配置。 手動上傳 選中手動上傳，并填寫證書名稱、國密加密證書、國密加密私鑰、國密簽名證書和國密簽名私鑰。 重要 國密證書通常是PEM格式，一般包含四個文件： 國密加密證書（例如server_enc.pem）和國密加密私鑰（例如server_enc.key） 國密簽名證書（例如server_sign.pem）和國密簽名私鑰（例如server_sign.key） 您可以使用文本編輯工具打開文件，復制其中的內容并粘貼到文本框。 如果您的國密證書是其他格式（例如PFX、P7B等），您必須將證書文件轉換成PEM格式。具體操作，請參見證書格式轉換。 選擇已有證書 如果您的證書為如下兩種情況，您可以選中選擇已有證書，從證書下拉列表中選擇要上傳到WAF的證書。 證書已通過阿里云數字證書管理服務簽發。 證書為第三方證書，且已上傳到數字證書管理服務。 申請新證書 選中申請新證書，單擊立即申請，在數字證書管理服務為域名快速申請一張國密SSL證書。 說明 快速申請國密證書可申請付費CFCA或vTrus證書。 按照數字證書管理服務控制臺提示，為域名購買證書并完成證書簽發后，證書將自動上傳到WAF。 可選：如果您的網站只允許國密客戶端訪問，您可以打開僅支持國密客戶端訪問開關。 選中HTTPS并配置證書后，您也可以根據業務需要，進行如下操作： 如果您的網站支持HTTP 2.0協議，您可以選中HTTP2，開啟HTTP 2.0業務防護。 說明 HTTP 2.0協議的端口與HTTPS協議端口一致。 高級配置 開啟HTTPS的強制跳轉（默認不開啟） 如果您希望將客戶端的HTTP請求強制轉換為HTTPS請求（默認跳轉到443端口），以提高安全性，可開啟該功能。開啟該功能后會默認開啟HTTP嚴格傳輸安全（HTTP Strict Transport Security，HSTS），配置HSTS響應頭，確保始終使用HTTPS請求連接。 重要 只有在未選中HTTP協議時，支持開啟該功能。 TLS協議版本 自定義HTTPS通信中允許使用的TLS協議版本。如果客戶端使用不符合要求的協議版本，WAF會丟棄其請求流量。此處設置的協議版本越高，通信安全性越好，但兼容性會有所降低。 建議您根據網站本身的HTTPS配置，選擇允許WAF監聽的TLS協議版本。如果您不清楚網站的HTTPS配置，建議使用默認選項。 可選項： 支持TLS1.0及以上版本，兼容性最高，安全性較低（默認） 支持TLS1.1及以上版本，兼容性較好，安全性較好 使用該選項后，如果客戶端使用TLS 1.0版本，將無法訪問網站。 支持TLS1.2及以上版本，兼容性較好，安全性最高 使用該選項后，如果客戶端使用TLS 1.0和1.1版本，將無法訪問網站。 如果您的網站支持TLS 1.3協議，請選中開啟支持TLS1.3。WAF默認不監聽TLS 1.3協議的客戶端請求。 HTTPS加密套件 自定義HTTPS通信中允許使用的加密套件。如果客戶端使用不符合要求的加密套件，WAF會丟棄其請求流量。 默認已選擇WAF支持的全部加密套件。建議您只在網站只支持特定加密套件的前提下，再修改該配置。 可選項： 全部加密套件，兼容性較高，安全性較低（默認） 協議版本的自定義加密套件、請謹慎選擇，避免影響業務：如果您的網站本身只支持特定的加密套件，請選擇該選項，并從WAF支持的加密套件中選擇網站支持的加密套件。 如果客戶端使用其他加密套件，將無法訪問網站。
   WAF前是否有七層代理（高防/CDN等）	網站在接入WAF前是否啟用了其他七層代理服務（例如DDoS高防、CDN等）。 無其他代理服務，選擇否（默認） 表示WAF收到的業務請求由客戶端直接發起，而非通過其他代理服務轉發。該場景下，WAF會直接獲取與WAF建立連接的IP（來自請求的REMOTE_ADDR字段）作為客戶端IP。 有其他代理服務，選擇是 表示WAF收到的業務請求來自其他七層代理服務轉發，而非客戶端直接發起。為保證WAF可以獲取真實的客戶端IP進行安全分析，您需要進一步設置客戶端IP判定方式。 可選項： （默認）取X-Forwarded-For中的第一個IP作為客戶端源IP WAF默認讀取請求Header字段X-Forwarded-For（XFF）中的第一個IP地址作為客戶端IP。 【推薦】取指定Header字段中的第一個IP作為客戶端源IP，避免XFF偽造 如果您的網站業務已通過其他代理服務的設置，規定將客戶端源IP放置在某個自定義的Header字段（例如，X-Client-IP、X-Real-IP），則您需要選擇該選項，并在指定Header字段框中輸入對應的Header字段。 說明 推薦您在業務中使用自定義Header存放客戶端IP，并在WAF中配置對應Header字段。該方式可以避免攻擊者偽造XFF字段，躲避WAF的檢測規則，提高業務的安全性。 支持輸入多個Header字段。每輸入完一個Header字段，按回車進行確認。如果設置了多個Header，WAF將按順序嘗試讀取客戶端IP。如果第一個Header不存在，則讀取第二個，以此類推。如果所有指定Header都不存在，則讀取XFF中第一個IP地址作為客戶端IP。
   更多配置	開啟IPv6 WAF默認只處理IPv4業務流量。如果您的網站支持IPv6協議，您可以開啟該功能，將IPv6業務流量接入WAF進行防護。WAF會為當前域名分配一個IPv6的WAF IP地址，用于處理IPv6客戶端的請求流量。 開啟獨享IP 接入WAF防護的所有域名默認由一個WAF IP來防護。開啟獨享IP后，WAF會額外分配一個專用的WAF IP（即獨享IP），來監聽該域名的業務請求。當其他域名遭受大流量DDoS攻擊時，啟用獨享IP的域名不會受到該影響。更多信息，請參見域名獨享IP。 如果您的域名需要使用獨享IP防護，可開啟該功能。 重要 針對包年包月實例，僅高級版、企業版、旗艦版付費支持獨享IP。 按量付費實例按實際開啟的獨享IP數結算費用。更多信息，請參見按量付費計費說明。 防護資源 選擇要使用的防護資源類型。 共享集群（默認） 共享集群智能負載均衡 開啟共享集群智能負載均衡后，WAF將為當前域名提供至少三個不同地域的防護節點，實現異地多節點自動容災，同時通過智能DNS解析能力和Least-time回源算法，保證業務流量從接入防護節點到轉發回源站服務器整個鏈路的時延最短。更多信息，請參見智能負載均衡。 重要 針對包年包月實例，僅高級版、企業版、旗艦版付費支持共享集群智能負載均衡。您可以在總覽頁面單擊立即升級，啟用智能負載均衡后，開啟共享集群智能負載均衡。更多信息，請參見升級與降配。 按量付費實例按是否啟用共享集群智能負載均衡結算費用。更多信息，請參見按量付費計費說明。 開啟共享集群智能負載均衡后，不支持開啟IPv6、獨享IP。
   資源組	從資源組下拉列表中選擇該域名所屬資源組。如果不選擇，則默認加入默認資源組。 說明 您可以使用資源管理服務創建資源組，根據業務部門、項目等維度對云資源進行分組管理。更多信息，請參見創建資源組。

5. 在配置轉發向導頁，完成如下配置后，單擊提交。

   配置項	說明
   負載均衡算法	如果源站有多個服務器地址，您可以根據業務需要，選擇不同的負載均衡算法，使WAF將回源請求轉發到對應的服務器，實現負載均衡?？蛇x項： IP hash（默認） 將來自同一個客戶端IP的請求固定轉發到的一個源站服務器地址。 輪詢 將所有請求輪流分配給不同的源站服務器。 Least time 通過智能DNS解析能力和Least-time回源算法，保證業務流量從接入WAF到轉發回源站服務器整個鏈路的路徑及時延最短。 重要 如需使用Least time算法，必須確認配置監聽時，將防護資源設置為共享集群智能負載均衡。更多信息，請參見配置防護資源。
   服務器地址	填寫網站對應的源站服務器的公網IP地址或源站域名，用于接收WAF轉發回源的正常業務請求（回源請求）。可選項： IP 必須為公網可達的IP地址。 支持填寫多個IP地址。每填寫一個IP地址，按回車進行確認。最多支持添加20個源站IP。 說明 如果設置了多個源站IP地址，WAF會將回源請求轉發到不同的源站，實現負載均衡。 支持同時配置IPv4和IPv6地址，或者只配置IPv4地址，只配置IPv6地址。 同時配置IPv4和IPv6地址時，來自IPv4客戶端的請求將被轉發到IPv4源站，來自IPv6客戶端的請求將被轉發到IPv6源站。 重要 如需配置IPv6回源，必須確保在配置監聽時，開啟了IPv6防護。更多信息，請參見開啟IPv6。 重要 如網站對應的源站服務器的公網IP地址變更，需要手動 添加新的回源IP。 域名（如CNAME） 服務器地址為域名時，只支持IPv4地址，暫不支持IPv6地址，即WAF只會將客戶端請求轉發到源站域名解析出來的IPv4地址。
   HTTPS高級設置	開啟HTTP回源 HTTP回源表示WAF使用HTTP協議向源站轉發回源請求，默認回源端口是80。開啟該功能后，無論客戶端訪問WAF的端口是80或443，WAF轉發的請求都會通過80端口訪問源站。開啟HTTP回源可以在無需改動源站服務器的前提下，通過WAF實現HTTP訪問，幫助您降低網站的負載損耗。 重要 如果您的網站不支持HTTPS回源，請務必開啟該設置。 啟用回源SNI 回源SNI（Server Name Indicator extension）表示WAF轉發客戶端請求到源站服務器，在與源站進行TLS握手時，通過SNI擴展字段指定要訪問的主機，并與該主機建立HTTPS連接。如果您的源站服務器有多個虛擬主機（對應不同域名），則需要開啟該設置。 選中啟用回源SNI后，您可以進一步設置SNI擴展字段的值?？蛇x項： 與實際請求host保持一致（默認） 表示WAF回源請求中SNI擴展字段的值與請求頭中Host字段的值保持一致。 例如，您配置的網站域名為*.aliyundoc.com，客戶端實際請求了www.aliyundoc.com（即Host字段值），則WAF回源請求中SNI擴展字段的值為www.aliyundoc.com。 自定義 表示您自定義WAF回源請求中SNI擴展字段的值。 一般情況無需自定義SNI，除非您的業務有特殊配置要求，希望WAF在回源請求中使用與實際請求Host不一致的SNI（即此處設置的自定義SNI）。
   其它高級設置	通過X-Forwarded-Proto頭字段獲取WAF的監聽協議 WAF 3.0 會默認為經過的 HTTP 請求自動插入 X-Forwarded-Proto 頭部，用于標識與 WAF 之間的通信協議使用的是HTTP還是HTTPS協議訪問代理服務器。如果您的網站應用程序無法正確處理該頭部，可能會導致一些兼容性問題，影響業務正常運行。您可以選擇關閉 WAF 自動插入該頭部的功能，避免此類問題發生。 啟用流量標記 啟用流量標記可以幫助源站區分經過WAF的請求，獲取客戶真實源IP或源端口。 例如，如果攻擊者在域名接入WAF前，已獲取源站IP信息，并通過購買其他WAF實例，將請求回源到目標源站時，您可以在源站對啟用流量標記的字段進行校驗。如果請求中存在指定標記字段，則為WAF檢測后的正常請求，放行該請求；如果請求中不存在指定標記字段，則為攻擊者請求，攔截該請求。 您可以配置如下類型的標記字段： 自定義Header 通過配置Header名和Header值，使WAF在回源請求中添加該Header信息，標記經過WAF的請求（區分沒有經過WAF的請求，便于您的后端服務統計分析）。 例如，您可以使用ALIWAF-TAG: Yes標記經過WAF的請求，其中，ALIWAF-TAG為Header名，Yes為Header值。 客戶端真實源IP 通過配置真實客戶端源IP所在的頭部字段名，WAF可記錄該頭部字段并將該頭部字段傳遞回源站。關于WAF判定客戶端真實源IP的具體規則，請參見WAF前是否有七層代理（高防/CDN等）參數的描述。 客戶端真實源端口 通過配置真實客戶端源端口所在的頭部字段名，WAF可記錄該頭部字段并將該頭部字段傳遞回源站。 重要 請不要填寫標準的HTTP頭部字段（例如User-Agent等），否則會導致標準頭部字段內容被自定義的字段值覆蓋。 單擊新增標記，可以增加標記字段。最多支持設置5個標記字段。 設置WAF回源到源站的超時時間 設置新建連接超時時間：WAF與源站建立連接的超時時間，默認值為5s，可配置范圍為1s~3600s。 設置讀連接超時時間：等待源站響應的超時時間，默認值為120s，可配置范圍為1s~3600s。 設置寫連接超時時間：WAF向源站發送請求的超時時間，默認值為120s，可配置范圍為1s~3600s。 回源重試 開啟該功能后，如果回源失敗，WAF會默認為每個源站嘗試回源三次。關閉該功能后，如果回源失敗，WAF將不再進行重試。 回源長連接 開啟該功能后，您還需要進行如下設置： 復用長連接的請求個數：默認值為1,000個，可配置范圍為60個~1,000個。 空閑長連接超時時間：默認值為15s，可配置范圍為1s~60s。 說明 關閉該功能后，回源長連接將不支持WebSocket協議。

6. 在接入完成向導頁，獲取WAF提供的CNAME地址，并根據頁面提示將域名的DNS解析地址設置為WAF提供的CNAME地址。具體操作，請參見修改域名DNS解析設置。

   重要

   在修改域名DNS解析設置前，請確認如下內容：

   • 已通過本地驗證確保轉發配置生效。如果在WAF的網站轉發配置未生效時修改域名DNS，可能導致業務中斷。更多信息，請參見本地驗證。

   • 如果源站服務器安裝了其他防火墻應用，您需要將WAF IP地址添加到應用的白名單，避免WAF轉發回源站的正常業務請求被誤攔截。您可以單擊Web應用防火墻回源IP網段列表，查看并復制WAF回源IP地址段。更多信息，請參見放行WAF回源IP段。

   

   完成以上配置后，您可以執行如下操作，檢測域名是否添加成功：

   • 在瀏覽器輸入已添加的域名，如果網站能正常訪問，表示域名添加成功。

   • 在瀏覽器輸入已添加的域名和Web攻擊代碼（例如<被防護域名>/alert(xss)，alert(xss)為用作測試的跨站腳本攻擊代碼），如果返回405攔截提示頁面，表示攻擊被攔截，WAF防護成功。

更多操作

查看域名DNS狀態

為了能快速識別DNS解析異常的風險域名，WAF提供域名DNS狀態檢測功能。您可以在接入列表查看域名的DNS狀態，并根據控制臺提示的異常原因，修改DNS解析設置。

為域名綁定或解除標簽

您可以為接入WAF的域名綁定標簽，并通過已綁定標簽快速查找指定資源。

• 單個綁定或解除標簽

  1. 定位到目標域名，將鼠標懸停在標簽列的圖標上，如果該域名未新增標簽，單擊綁定，如果該域名已有標簽，單擊編輯。

  2. 在編輯標簽對話框，選擇或輸入標簽鍵，并填寫標簽值。

     說明

     • 一次最多綁定20個標簽鍵，允許標簽值為空。

     • 輸入標簽鍵和標簽值時，最多支持128個字符，不支持以aliyun或acs:開頭，且不能包含http://和https://。

     • 標簽可以在接入時為域名綁定，也可以在配置防護策略時為域名對應的防護對象綁定，且同時生效。即為域名綁定標簽后，對應的防護對象也會被綁定該標簽。

     綁定標簽后，您可以通過域名列表上方的標簽篩選，查找已綁定標簽的域名。

  3. 可選：如果您不再使用該標簽，可在編輯標簽對話框，單擊目標標簽的圖標，刪除該標簽。

• 批量綁定或解除標簽

  選中多個域名，單擊列表下方的增加標簽或刪除標簽。

修改或刪除已接入的域名

定位到目標域名，單擊操作列的編輯或刪除。

設置默認SSL或TLS策略

所有域名接入同一個WAF實例后，會綁定同一個WAF VIP用于監聽相關業務請求。

為滿足不同場景下對HTTPS通信安全合規和兼容性的要求，WAF支持為IPv4版本的VIP自定義SSL證書或TLS策略。您可以在進行合規掃描檢測前，為VIP上傳符合合規要求的HTTPS證書，禁用、啟用某些特定版本的TLS協議和加密套件。

1. 在接入列表上方，單擊默認SSL/TLS設置。

2. 在默認SSL/TLS設置對話框，完成如下配置后，單擊確定。

   配置項	說明
   HTTPS證書上傳方式	上傳SSL證書。具體操作與域名證書上傳方式相同，請參見上傳證書。
   TLS協議版本	選擇要啟用的TLS協議版本?？蛇x項： 支持TLS 1.0及以上版本，兼容性最高，安全性較低（默認） 支持TLS 1.1及以上版本，兼容性較好，安全性較好 支持TLS 1.2及以上版本，兼容性較好，安全性最高 如果要啟用TLS 1.3協議，選中開啟支持TLS1.3。
   HTTPS加密套件	選擇要啟用的加密套件。可選項： 全部加密套件，兼容性較高，安全性較低（默認） 協議版本的自定義加密套件，請謹慎選擇，避免影響業務 關于支持自定義的加密套件，請參見WAF支持的加密套件。

更新域名綁定的證書

如果證書即將到期或其他原因導致證書發生變更（例如證書被吊銷）時，您需要更新域名綁定的證書。

具體操作如下所示：

1. 續費證書或將第三方證書上傳到數字證書管理服務（原 SSL 證書）。具體操作，請參見SSL證書續費或上傳和共享SSL證書。

2. 同步證書到WAF。

   • 在數字證書管理服務（原 SSL 證書）控制臺部署證書到WAF。具體操作，請參見部署SSL證書到阿里云產品。

   • 在WAF控制臺上傳證書。

     1. 在CNAME接入列表，定位到目標域名，單擊操作列的編輯。

     2. 在HTTPS證書上傳方式區域，選中選擇已有證書，并重新選擇更換后的證書。

后續操作

相關文檔

• 如果您想了解防護對象、防護策略和防護流程等信息，請參見防護配置概述。

• 如果您想使用API將域名接入WAF實例的配置信息，請參見API文檔CreateDomain - 添加CNAME接入資源。

• 如果您想使用API查詢CNAME接入詳情的配置信息，請參見API文檔DescribeDomainDetail - 查詢CNAME接入詳情。