使用CNAME接入方式接入云WAF前，先要添加需要防護的域名。本文介紹如何將要防護的域名添加到云WAF。

前提條件

• 已購買WAF云SaaS型實例，且當前實例支持接入的域名數量未超過限制。

• 您必須先為域名完成ICP備案，才可以將網站接入WAF進行防護。如何備案請參見新增備案。

操作步驟

1. 登錄天翼云控制中心。

2. 單擊頁面頂部的區域選擇框，選擇區域。

3. 在產品服務列表頁，選擇“安全 > Web應用防火墻（原生版）”。

4. 進入到云WAF控制臺，在左側導航欄選擇“接入管理”，默認進入“域名接入”頁簽。

   

5. 點擊“添加防護對象”進入防護對象信息配置頁，依次配置“防護對象”、“服務器配置”、“代理情況”、“負載均衡策略”等信息。

   配置項說明如下：

   配置項	說明
   防護對象	填寫網站域名，可添加精確域名和泛域名： 精確域名：支持多級別精確域名，例如主域名daliqc.cn、子域名www.daliqc.cn等。 泛域名：支持使用泛域名格式，例如*.daliqc.cn可以匹配www.daliqc.cn、test.daliqc.cn。   說明 使用泛域名后，WAF將自動匹配該泛域名對應的所有子域名，例如，*.daliqc.cn能夠匹配www.daliqc.cn、test.daliqc.cn等。 泛域名不支持匹配對應的主域名，例如*.daliqc.cn不能匹配daliqc.cn。 如果同時存在精確域名和泛域名，則精確域名的轉發規則和防護策略優先生效。 添加的域名必須通過工信部ICP備案，若未備案則無法添加。
   防護對象名稱	自定義防護網站的顯示名稱。
   服務器配置	單擊“添加一個服務器端口組”，彈出新增服務器端口組窗口。 選擇網站使用的協議類型以及對應的轉發服務端口： 協議類型：HTTP/HTTPS。 端口：選中協議后，系統會對應設置默認端口，HTTP協議默認為80端口，HTTPS協議默認為443端口。 用戶也可自定義選擇其他端口，可選類型： 標準端口：80、8080；443、8443。 非標端口：除以上標準端口以外的端口。 說明 如果防護域名使用非標準端口，請查看WAF支持的端口。 WAF通過此處添加的端口為網站提供流量的接入與轉發服務，網站域名的業務流量只通過已添加的服務端口進行轉發。對于未添加的端口，WAF不會轉發任何該端口的訪問請求流量到源站服務器，因此這些端口的啟用不會對源站服務器造成任何安全威脅。 源站地址：設置網站的源站服務器地址，支持IP地址格式和域名（如CNAME）格式。完成接入后，WAF將過濾后的訪問請求轉發到此處設置的服務器地址。設置說明如下： IP地址格式：填寫源站的公網IP地址。需要為公網可達的IP地址。 最多支持添加40個源站IP或服務器域名。 支持同時配置IPv4和IPv6地址。 域名格式：一般對應該域名在DNS服務商處配置的CNAME。使用域名格式時， WAF會將客戶端請求轉發到回源域名解析出來的IP地址。 權重：當負載均衡算法為“加權輪詢”時生效，所有請求將此處配置的權重輪流分配給源站服務器，權重越大，回源到該源站的幾率越高。 不輸入則視同為最低權重1。 當輸入值為0時，業務不會回源到該站點。 取值范圍：0~100的正整數。 說明 當健康檢查發現站點出現問題時，剩余站點將按照剩余配置權重進行動態比例變化后的結果進行回源轉發。
   合規認證	選擇是否開啟PCI DSS和PCI 3DS合規認證。 PCI DSS合規認證說明如下：開啟PCI DSS合規認證后，您將不能修改 TLS 最低版本和加密套件，最低 TLS 版本將設置為“TLS v1.2及以上”，加密套件設置為指定范圍。如果您需要修改 TLS 最低版本和加密套件，請關閉該認證。 PCI 3DS合規認證說明如下：開啟 PCI 3DS 合規認證后，您將不能修改 TLS 最低版本，且最低 TLS 版本將設置為“TLS v1.2及以上”，并且您將不能關閉該認證，請根據業務實際需求進行操作。開啟該認證后，該域名將不支持添加 HTTP 協議的協議端口接入。 說明 當“服務器配置-協議端口”配置僅為“HTTPS”時，才支持配置 PCI DSS/3DS 合規。
   證書配置	若選擇HTTPS協議，還需要上傳證書，且證書必須正確、有效，才能保證WAF正常防護網站的HTTPS協議訪問請求。 點擊“上傳證書”，進入服務器端證書配置頁面。 選擇證書類型，支持“通用證書”和“國密證書”。 配置證書。支持證書選擇、手動填寫、文件上傳方式： 證書選擇：如您使用了證書管理服務，可通過下拉框選擇已有證書。 手動填寫：填寫證書名稱，并將與域名關聯的證書文件和私鑰文件的文本內容的PEM編碼分別復制粘貼到證書文件和證書私鑰中。 文件上傳：填寫證書名稱，點擊“上傳”，將與域名關聯的證書文件和私鑰文件上傳至平臺中。 說明 手動填寫需要將證書和私鑰的PEM編碼內容填入。 上傳證書時，如果證書是.PEM/.CER/.CRT的后綴，可以直接上傳；私鑰文件若為.KEY/.PEM的后綴，請確保內容格式為PME編碼，即可上傳。
   高級設置 > HTTP強制跳轉	選擇HTTPS后，還支持啟用HTTP強制跳轉功能。 HTTPS強制跳轉表示將客戶端的HTTP請求強制轉換為HTTPS請求，默認跳轉到443端口。 如果您需要強制客戶端使用HTTPS請求訪問網站以提高安全性，則開啟該設置。 說明 只有在未選中HTTP協議時，支持開啟該設置。 請確保網站支持HTTPS業務再開啟該設置。開啟該設置后，部分瀏覽器將被強制設置為使用HTTPS請求訪問網站。
   高級設置 > TLS協議版本和加密套件	選擇證書后，需要配置TLS協議版本和加密套件。WAF默認配置的TLS協議版本為“TLS1.0及以上版本”，加密套件為“全部加密套件”。 TLS協議版本配置說明如下，為了確保網站安全，請根據業務實際需求進行配置： 支持TLS1.0及以上版本：所有的TLS協議都可以訪問網站，兼容性最高，適用于網站無安全性要求的場景。 支持TLS1.1及以上版本：WAF將自動攔截TLS1.0協議的訪問請求，適用于網站安全性能要求一般的場景。 支持TLS1.2及以上版本：WAF將自動攔截TLS1.0和TLS1.1協議的訪問請求，適用于網站安全性能要求很高的場景。 自定義加密協議：WAF只允許所選TLS協議訪問網站。 加密套件配置說明： 全部加密套件：兼容性較高，安全性較低。 協議版本的自定義加密套件：請謹慎選擇，避免影響業務。 WAF支持的加密套件及TLS協議版本詳細信息請參見WAF支持的加密套件。
   高級設置 > SSL解析方式	選擇HTTPS后，支持配置SSL解析方式。支持“單向認證”和“雙向認證”。 說明 國密證書暫不支持雙向認證。
   健康檢查	開啟健康檢查將自動移除對失效源站的轉發策略，當失效源站恢復健康后將重新加入轉發列表。 開啟后，還需配置健康檢查策略。
   IPv6	WAF默認只處理IPv4請求流量。如果需要支持IPv6請求，請開啟該功能。 ：開啟IPv6功能，支持將IPv6請求流量接入WAF進行防護。 注意 功能開啟并完成域名接入后無法修改，如需關閉IPv6請求防護，需要重新接入域名。 ：不開啟IPv6功能，僅防護IPv4請求流量。
   代理情況	選擇網站業務在接入WAF前是否開啟了其他代理服務（例如DDoS高防、CDN等），按實際情況選擇： 否：表示WAF收到的業務請求來自發起請求的客戶端。WAF直接獲取與WAF建立連接的IP作為客戶端IP。 是：表示WAF收到的業務請求來自其他代理服務轉發，而非直接來自發起請求的客戶端。 為了保證WAF可以獲取真實的客戶端IP進行安全分析，需要進一步設置源IP獲取方式。 源IP獲取方式：系統默認設置為“從Socket連接中獲取”，您也可按實際情況，創建一個有序的判定列表，系統將從列表的第一項開始查找，若不存在或者是非法的IP格式，則嘗試下一條。 其中檢測末項固定為“從Socket連接中獲取”。獲取方式列表最多可添加5條規則，可選項如下： 從Socket連接中獲取 從X-Fowarded-For連接中獲取倒數第x層代理 從HTTP頭“X-Client-IP”中獲取
   負載均衡策略	當設置了多個源站服務器地址時，需設置多源站服務器間的負載均衡算法。可選項如下： 輪詢：將所有請求輪流分配給不同的源站服務器。 IP Hash：將來自同一個IP的請求定向分配給同一個源站服務器。 加權輪詢：根據同一組回源地址內配置的權重進行加權回源，權重越大，回源到該源站的幾率越高。 設置生效后，WAF將根據設置的負載均衡算法向多個源站地址分發回源請求，實現負載均衡。
   流量標記	開啟流量標記功能，WAF在轉發客戶端請求到源站服務器時，通過在回源請求頭部添加標記字段，標記該請求經過WAF轉發，可以幫助源站判斷請求來源。 如果請求中存在指定標記字段，則為WAF檢測后的正常請求，放行該請求；如果請求中不存在指定標記字段，則為攻擊者請求，攔截該請求。 單擊“添加一個標記”，添加流量標記。最多支持添加5個標記字段。 支持如下標記類型： 自定義請求Header，配置自定義Header名、Header值。 自定義響應Header，配置自定義Header名、Header值。 客戶端真實IP，配置客戶端真實IP所在的HTTP Header名。 客戶端真實源端口，配置客戶端真實源端口所在的HTTP Header名。 注意 請勿填寫標準的HTTP頭部字段，否則會導致標準頭部字段內容被自定義的字段值覆蓋。
   回源長連接	功能開啟后，支持回源長連接功能，最大支持1000個回源長連接。 開啟“回源長連接”后，還需配置“空閑連接超時時間”，默認值為10秒，最多支持60秒。 功能關閉后，將不支持WebSocket。
   超時配置	開啟超時配置，可以配置如下超時時間： 連接超時時間：WAF轉發客戶端請求時，與源站建立連接的超時時間。 讀連接超時時間：WAF等待源站響應的超時時間。 寫連接超時時間：WAF向源站發送請求的超時時間。 以上默認值均為60秒，最短支持10秒，最長支持1200秒。

6. 本地驗證。

   根據頁面提示，在本地電腦上搭建簡易的模擬環境，驗證網站流量轉發設置已經生效，避免轉發設置未生效時修改域名的DNS解析設置，導致業務訪問異常。更多信息，請參見本地驗證。

7. 修改DNS解析。
   根據頁面提示修改域名的DNS解析，將網站域名解析到WAF進行防護，完成后單擊“下一步”。更多信息，請參見修改域名DNS。

8. 添加完成。
   根據頁面提示設置放行WAF回源IP段，完成后單擊“完成，返回防護對象列表”，返回域名接入頁面。更多信息，請參見放行WAF回源IP段。

9. 域名添加完成后，該域名WAF防護開關默認開啟。

后續配置

添加防護對象后，網站訪問流量將經過WAF保護，您還需要完善以下防護配置，才能實現針對性的網站防護。

其他配置

證書上傳

可直接將證書文件、證書私鑰文件直接上傳至服務中，將證書內容填寫至系統，實現上傳。

配置項說明如下：

支持的證書加密套件請參見WAF支持的加密套件。

域名狀態

域名接入后會WAF會周期性檢測域名狀態，以便保證WAF能夠正常地對源站進行保護。

接入狀態如下圖：

域名接入狀態說明如下：

如果域名出現異常需要修改域名DNS，請參見修改域名DNS。

域名常見解析類型

回源方式說明

根據您的業務場景，WAF提供靈活的回源方式，用戶可以選擇HTTP回源，也可選擇HTTPS回源，不同的回源方式設置如下。

• 方式一：使用HTTP進行回源
  客戶端訪問網站和WAF轉發客戶端請求到源站均使用HTTP協議進行傳輸。

  

• 方式二：使用HTTPS回源

  客戶端訪問網站和WAF轉發客戶端請求到源站均使用HTTPS協議進行傳輸。

  

• 方式三：同時使用HTTP和HTTPS回源

  客戶端訪問網站時，WAF隨機使用HTTP協議或HTTPS協議轉發客戶端請求到源站。

  

配置示例

• 示例一：同一域名有多個防護端口

  配置場景：需要防護的域名為www.daliqc.cn，需要防護的端口有80/443、8080/8443、5443。

  配置如下：需要添加3個服務器端口組。

  

• 示例二：客戶端請求轉發到不同的源站服務器
  配置場景：需要防護的域名為www.daliqc.cn，源站服務器有多個IP地址。
  配置如下：服務器端口組中，源站地址配置多個IP地址。

  

• 示例三：HTTP/HTTPS分別轉發

  • 客戶端訪問網站使用HTTP協議時，WAF也使用HTTP協議轉發客戶端請求到源站。

  • 客戶端訪問網站使用HTTPS協議時，WAF也使用HTTPS協議轉發客戶端請求到源站。

  

• 示例四：HTTP/HTTPS隨機轉發

  客戶端訪問網站時，WAF隨機使用HTTP協議或HTTPS協議轉發客戶端請求到源站。

  

支持協議

目前支持http、https、websocket，其他協議會導致接入不通。