使用獨享型接入方式接入WAF前，需要先添加防護對象。

前提條件

已購買WAF獨享型實例，且當前實例支持接入的防護對象數量未超過限制。

操作步驟

1. 登錄天翼云控制中心。

2. 單擊頁面頂部的區域選擇框，選擇區域。

3. 在產品服務列表頁，選擇“安全 > Web應用防火墻（原生版）”。

4. 進入到云WAF控制臺，在左側導航欄選擇“接入管理”，選擇“獨享型接入”頁簽。

   

5. 點擊“添加防護對象”進入信息配置頁，依次配置“防護對象”、“服務器配置”、“代理情況”、“負載均衡策略”等信息。

   配置項說明如下：

   配置項	說明
   選擇實例	單擊“選擇實例”，在彈出的選擇實例對話框中，找到目標實例，單擊操作列的“選擇”。
   防護對象	填寫防護網站的域名或IP。 域名：支持添加精確域名和泛域名。 精確域名：支持多級別精確域名，例如主域名daliqc.cn、子域名www.daliqc.cn等。 泛域名：支持使用泛域名格式，例如*.daliqc.cn可以匹配www.daliqc.cn、test.daliqc.cn。   說明 使用泛域名后，WAF將自動匹配該泛域名對應的所有子域名，例如，*.daliqc.cn能夠匹配www.daliqc.cn、test.daliqc.cn等。 泛域名不支持匹配對應的主域名，例如*.daliqc.cn不能匹配daliqc.cn。 如果同時存在精確域名和泛域名，則精確域名的轉發規則和防護策略優先生效。 IP：支持防護公網IP、私網IP。 當填寫公網IP時，指客戶端訪問業務系統直接指向的彈性IP（該彈性IP可能綁定在防火墻或WAF上）。 當填寫私網IP時（用于內網訪問防護場景），填寫內網客戶端訪問的內網IP（因內網訪問情況下，WAF代理業務系統，此處需填寫WAF代理業務系統的IP而非業務系統本身的IP，即WAF業務網卡的VIP，業務系統內網IP填寫在回源IP處）。 說明 采用內部IP代理場景下，因直接通過IP訪問，WAF監聽對象為WAF本身的IP，為了區分不同的業務，后端多業務不能采用相同端口，例如后端兩個不同的業務不能同時采用80端口，否則WAF無法判斷業務需要回源到哪個端口，會導致防護無法生效；若內部WAF采用域名進行區分則可配置相同端口。
   防護對象名稱	自定義防護網站的顯示名稱。
   服務器配置	單擊“添加一個服務器端口組”，彈出新增服務器端口組窗口。 選擇網站使用的協議類型以及對應的轉發服務端口： 協議類型：HTTP/HTTPS。 端口：選中協議后，系統會對應設置默認端口，HTTP協議默認為80端口，HTTPS協議默認為443端口。 用戶也可自定義選擇其他端口，可選類型： 標準端口：80、8080；443、8443。 非標端口：除以上標準端口以外的端口。 說明 如果防護域名使用非標準端口，請查看WAF支持的端口。 WAF通過此處添加的端口為網站提供流量的接入與轉發服務，網站域名的業務流量只通過已添加的服務端口進行轉發。對于未添加的端口，WAF不會轉發任何該端口的訪問請求流量到源站服務器，因此這些端口的啟用不會對源站服務器造成任何安全威脅。 源站地址：設置網站的源站服務器地址，支持IP地址格式和域名格式。完成接入后，WAF將過濾后的訪問請求轉發到此處設置的服務器地址。設置說明如下： IP地址格式：填寫源站的私網IP地址。 最多支持添加40個源站IP或服務器域名。 支持同時配置IPv4和IPv6地址。 說明 如果此處配置私網IP，請確保WAF到源站的網絡路徑是可訪問的，以便于WAF能夠對流量進行監控。 域名格式：一般對應該域名在DNS服務商處配置的CNAME。使用域名格式時， WAF會將客戶端請求轉發到回源域名解析出來的IP地址。 權重：當負載均衡算法為“加權輪詢”時生效，所有請求將此處配置的權重輪流分配給源站服務器，權重越大，回源到該源站的幾率越高。 不輸入則視同為最低權重1。 當輸入值為0時，業務不會回源到該站點。 取值范圍：0~100的正整數。 說明 當健康檢查發現站點出現問題時，剩余站點將按照剩余配置權重進行動態比例變化后的結果進行回源轉發。
   證書配置	若選擇HTTPS協議，還需要上傳證書，且證書必須正確、有效，才能保證WAF正常防護網站的HTTPS協議訪問請求。 點擊“上傳證書”，進入服務器端證書配置頁面。 選擇證書類型，支持“通用證書”和“國密證書”。 配置證書。支持證書選擇、手動填寫、文件上傳方式： 證書選擇：如您使用了證書管理服務，可通過下拉框選擇已有證書。 手動填寫：填寫證書名稱，并將與域名關聯的證書文件和私鑰文件的文本內容的PEM編碼分別復制粘貼到證書文件和證書私鑰中。 文件上傳：填寫證書名稱，點擊“上傳”，將與域名關聯的證書文件和私鑰文件上傳至平臺中。 說明 手動填寫需要將證書和私鑰的PEM編碼內容填入。 上傳證書時，如果證書是.PEM/.CER/.CRT的后綴，可以直接上傳；私鑰文件若為.KEY/.PEM的后綴，請確保內容格式為PME編碼，即可上傳。
   高級設置 > HTTP強制跳轉	選擇HTTPS后，還支持啟用HTTP強制跳轉功能。 HTTPS強制跳轉表示將客戶端的HTTP請求強制轉換為HTTPS請求，默認跳轉到443端口。 如果您需要強制客戶端使用HTTPS請求訪問網站以提高安全性，則開啟該設置。 說明 只有在未選中HTTP協議時，支持開啟該設置。 請確保網站支持HTTPS業務再開啟該設置。開啟該設置后，部分瀏覽器將被強制設置為使用HTTPS請求訪問網站。
   高級設置 > TLS協議版本和加密套件	選擇證書后，需要配置TLS協議版本和加密套件。WAF默認配置的TLS協議版本為“TLS1.0及以上版本”，加密套件為“全部加密套件”。 TLS協議版本配置說明如下，為了確保網站安全，請根據業務實際需求進行配置： 支持TLS1.0及以上版本：所有的TLS協議都可以訪問網站，兼容性最高，適用于網站無安全性要求的場景。 支持TLS1.1及以上版本：WAF將自動攔截TLS1.0協議的訪問請求，適用于網站安全性能要求一般的場景。 支持TLS1.2及以上版本：WAF將自動攔截TLS1.0和TLS1.1協議的訪問請求，適用于網站安全性能要求很高的場景。 自定義加密協議：WAF只允許所選TLS協議訪問網站。 加密套件配置說明： 全部加密套件：兼容性較高，安全性較低。 協議版本的自定義加密套件：請謹慎選擇，避免影響業務。 WAF支持的加密套件及TLS協議版本詳細信息請參見WAF支持的加密套件。
   高級設置 > SSL解析方式	選擇HTTPS后，支持配置SSL解析方式。支持“單向認證”和“雙向認證”。 說明 國密證書暫不支持雙向認證。
   健康檢查	開啟健康檢查將自動移除對失效源站的轉發策略，當失效源站恢復健康后將重新加入轉發列表。 開啟后，還需配置健康檢查策略。
   代理情況	選擇網站業務在接入WAF前是否開啟了其他代理服務（例如DDoS高防、CDN等），按實際情況選擇： 否：表示WAF收到的業務請求來自發起請求的客戶端。WAF直接獲取與WAF建立連接的IP作為客戶端IP。 是：表示WAF收到的業務請求來自其他代理服務轉發，而非直接來自發起請求的客戶端。 為了保證WAF可以獲取真實的客戶端IP進行安全分析，需要進一步設置“源IP獲取方式”。 源IP獲取方式：系統默認設置為“從Socket連接中獲取”，您也可按實際情況，創建一個有序的判定列表，系統將從列表的第一項開始查找，若不存在或者是非法的IP格式，則嘗試下一條。 其中檢測末項固定為“從Socket連接中獲取”。獲取方式列表最多可添加5條規則，可選項如下： 從Socket連接中獲取 從X-Fowarded-For連接中獲取倒數第x層代理 從HTTP頭“X-Client-IP”中獲取
   負載均衡策略	當設置了多個源站服務器地址時，需設置多源站服務器間的負載均衡算法。可選項如下： 輪詢：將所有請求輪流分配給不同的源站服務器。 IP Hash：將來自同一個IP的請求定向分配給同一個源站服務器。 加權輪詢：根據同一組回源地址內配置的權重進行加權回源，權重越大，回源到該源站的幾率越高。 設置生效后，WAF將根據設置的負載均衡算法向多個源站地址分發回源請求，實現負載均衡。
   流量標記	開啟流量標記功能，WAF在轉發客戶端請求到源站服務器時，通過在回源請求頭部添加標記字段，標記該請求經過WAF轉發，可以幫助源站判斷請求來源。 如果請求中存在指定標記字段，則為WAF檢測后的正常請求，放行該請求；如果請求中不存在指定標記字段，則為攻擊者請求，攔截該請求。 單擊“添加一個標記”，添加流量標記。最多支持添加5個標記字段。 支持如下標記類型： 自定義請求Header，配置自定義Header名、Header值。 客戶端真實IP，配置客戶端真實IP所在的HTTP Header名。 客戶端真實源端口，配置客戶端真實源端口所在的HTTP Header名。 注意 請勿填寫標準的HTTP頭部字段，否則會導致標準頭部字段內容被自定義的字段值覆蓋。
   回源長連接	功能開啟后，支持回源長連接功能，最大支持1000個回源長連接。 開啟“回源長連接”后，還需配置“空閑連接超時時間”，默認值為10秒，最多支持60秒。 功能關閉后，將不支持WebSocket。
   超時配置	開啟超時配置，可以配置如下超時時間： 連接超時時間：WAF轉發客戶端請求時，與源站建立連接的超時時間。 讀連接超時時間：WAF等待源站響應的超時時間。 寫連接超時時間：WAF向源站發送請求的超時時間。 以上默認值均為60秒，最短支持10秒，最長支持1200秒。
   備注	防護對象的描述信息，可以自定義。

6. 配置完成后單擊“保存”，返回獨享型接入頁面。該網站的WAF防護開關默認開啟。

后續配置

添加防護對象后，網站訪問流量將經過WAF保護，您還需要完善以下防護配置，才能實現針對性的網站防護。

其他配置

證書上傳

可直接將證書文件、證書私鑰文件直接上傳至服務中，將證書內容填寫至系統，實現上傳。

配置項說明如下：

支持的證書加密套件請參見WAF支持的加密套件。

回源方式說明

根據您的業務場景，WAF提供靈活的回源方式，用戶可以選擇HTTP回源，也可選擇HTTPS回源，不同的回源方式設置如下。

• 方式一：使用HTTP進行回源
  客戶端訪問網站和WAF轉發客戶端請求到源站均使用HTTP協議進行傳輸。

  

• 方式二：使用HTTPS回源

  客戶端訪問網站和WAF轉發客戶端請求到源站均使用HTTPS協議進行傳輸。

  

• 方式三：同時使用HTTP和HTTPS回源

  客戶端訪問網站時，WAF隨機使用HTTP協議或HTTPS協議轉發客戶端請求到源站。

  

配置示例

• 示例一：同一域名有多個防護端口

  配置場景：需要防護的域名為www.daliqc.cn，需要防護的端口有80/443、8080/8443、5443。

  配置如下：需要添加3個服務器端口組。

  

• 示例二：客戶端請求轉發到不同的源站服務器
  配置場景：需要防護的域名為www.daliqc.cn，源站服務器有多個IP地址。
  配置如下：服務器端口組中，源站地址配置多個IP地址。

  

• 示例三：HTTP/HTTPS分別轉發

  • 客戶端訪問網站使用HTTP協議時，WAF也使用HTTP協議轉發客戶端請求到源站。

  • 客戶端訪問網站使用HTTPS協議時，WAF也使用HTTPS協議轉發客戶端請求到源站。

  

• 示例四：HTTP/HTTPS隨機轉發

  客戶端訪問網站時，WAF隨機使用HTTP協議或HTTPS協議轉發客戶端請求到源站。

  

支持協議

目前支持http、https、websocket，其他協議會導致接入不通。