步骤 1:域名添加
Download
聚焦模式
字号
使用 Web 应用防火墙(WAF)防护您的 Web 业务前,需要先将防护的网站接入到 Web 应用防火墙。未完成接入前,您的 Web 应用防火墙防护将无法生效。本文档将指导您如何在 SaaS 型 WAF 中接入域名。
前提条件
已购买 SaaS 类型 WAF 实例,详情请前往 Web 应用防火墙购买页。
若接入的源站域名位于中国大陆地区,源站业务内容必须合法,并完成工信部备案。具体备案要求请参阅 接入 WAF 的域名要求。
操作步骤
1. 登录 Web 应用防火墙控制台,在左侧导航栏顶部选择实例所在区域(中国大陆/非中国大陆)。
2. 在左侧导航栏中,选择接入管理 > 域名接入。
3. 在域名接入页面,单击添加域名,进入添加域名页面。
4. 在添加域名页面,配置相关基础参数。
字段说明
所属实例:选择 SaaS 型,并在右侧选择所需的具体实例。
域名:在域名输入框中添加需要防护的域名。
说明:
1. 域名格式要求:支持接入标准域名(如 example.com、a.b.example.com)。单域名接入配置仅对该域名生效。
2. 泛域名格式要求:同一账号下支持精准域名(如 a.path.example.com)与泛域名(如 *.path.example.com)同时接入。系统优先匹配精准度更高的策略。不同账号间不得接入同一泛域名下的域名。
服务器配置:协议和端口可按实际情况选择。更多端口添加请参见 接入相关端口。
HTTP 协议:输入相应端口。
HTTPS 协议:输入端口后需配置关联证书、HTTPS 强制跳转及 HTTPS 回源方式。
普通证书配置:启用 HTTPS 协议时,需将网站域名关联的 SSL 证书配置至 WAF,以便监听和防护该域名的 HTTPS 业务流量。单击关联普通证书,可选择以下两种方式配置证书:
腾讯云托管证书:从已上传至 SSL 证书管理的证书中选择关联。推荐使用此方式,证书到期可自动续期。
上传自有普通证书:支持直接粘贴证书内容或上传证书文件。上传前需准备 PEM 编码格式的证书文件和私钥文件。
说明:
推荐使用腾讯云证书服务管理证书,便于统一管理和自动续期。
使用第三方签发的证书时,需自行关注证书到期时间并及时更新,避免因证书过期导致业务中断。
国密证书配置:若网站需支持国密 SM2 算法,需上传国密证书。国密证书与普通证书可同时生效。此功能仅企业版及以上版本支持。单击关联国密证书,可选择以下两种方式配置证书:
腾讯云托管国密证书:从已上传至 SSL 证书管理的国密证书中选择关联。推荐使用此方式,证书到期可自动续期。
上传自有国密证书:支持直接粘贴证书内容或上传证书文件。上传前需准备 PEM 编码格式的证书文件、私钥文件、加密证书文件和加密密钥。
HTTPS 强制跳转:如需开启 HTTPS 强制跳转,需同时勾选 HTTP 和 HTTPS 访问协议。
HTTPS 回源方式:
HTTP 协议:可指定配置回源端口。
HTTPS 协议:可指定配置回源端口。
回源 SNI 开关:开启后,支持用户设置 host 的方式为保持源请求 host、修改为源站 host,以及自定义 host。
代理情况:根据实际业务情况选择是否使用高防、CDN、云加速等代理服务。
选择否:WAF 接收的请求直接来自客户端。WAF 将与客户端建立连接的 IP 地址作为客户端 IP。
选择是:WAF 接收的请求来自其他七层代理服务。为确保获取真实客户端 IP 以进行安全分析,需设置客户端 IP 判断方法:
读取请求 Header 字段 X-Forwarded-For (XFF) 中的第一个 IP 地址作为客户端 IP。
获取网络层的 remote_ip 作为客户端源 IP,防止 XFF 伪造。
获取指定 header 字段的 IP 地址。
说明:
建议在业务中使用自定义 Header 存放客户端 IP,并在 WAF 中配置对应 Header 字段。此方式可避免攻击者伪造 XFF 字段,绕过 WAF 防护规则,提升业务安全性。
源站地址:根据实际需求选择 IP 或域名:
IP:输入源站 IPv4 或 IPv6 地址,多个地址用回车分隔,最多支持输入 50 个。
域名:输入源站域名。
注意:
源站域名不能与防护域名相同。
负载均衡策略:支持轮询、IP Hash 与加权轮询策略。配置两个及以上源站 IP 地址时,支持选择加权轮询策略,默认采用轮询方式。
5. 单击确定保存。
说明:
Web 应用防火墙将会为每个添加到 Web 应用防火墙的域名(不区分一级域名和二级域名)分配一个唯一的 CNAME。
后续步骤
当您添加完域名后,可执行如下步骤:
文档反馈