1、使用幫助步驟一：控制臺配置1.添加防護(hù)域名登錄云防護(hù)控制臺，找到云盾 -Web應(yīng)用防火墻- 域名配置，輸入相關(guān)的域名及源站信息，并點(diǎn)擊“添加域名”按鈕:W3 tl應(yīng)用的火墻安全總竟安全報表未接入Web應(yīng)用防火墻r直接訪問源站瀏慌器E3陽占接入Web應(yīng)用防火培，坊問曜過防火墻過浦在閩查言虞客后.若需要防護(hù)生效、必須在愚的DNG器努商姓添加垓包對應(yīng)的Cmm8請卷照下列卡靈添詠哈-2.選擇接入方式點(diǎn)擊添加域名后，會彈出選擇解析方式的彈窗:添加域名請謝圣DNS解析曲:檢測到你當(dāng)前添加的域名DN淵析服務(wù)不在阿里云解析，無法用”一鍵解析、It要手動修改DNSE置.鍵解析萬網(wǎng)云解析域名專享.自動為您修改DN

2、S解析記錄您更要在您的DNS8艮務(wù)商處添加下方的Cname記錄，才能使Web應(yīng)用防火墻防護(hù)生效. Cname可在域名列表中查看。Cname: 操作示例圖: HYPERLINK , cname : 查看Cnam推人指南如果您當(dāng)前添加的域名解析也在云防護(hù)（萬網(wǎng)），并且也是用當(dāng)前登錄的賬號配置的，您可以選擇左邊的一鍵解析（符合條件的域名，一鍵解析選項不會置灰），系統(tǒng)會自動為您修改當(dāng)前添加域名的DNS解析并接入 WAF ,這個過程大概需要 10-15分鐘，配置完畢后界面會提示您已經(jīng)接入WAF防護(hù)。 如果不符合一鍵解析的條件，您可以選擇右邊的手動修改，我們稍后會介紹如何手動配置DNS。3,獲取 CNAM

3、E配置好域名后， WAF會自動分配給當(dāng)前域名一個 CNAME ,可點(diǎn)擊域名信息來查看:請輸入關(guān)錯字進(jìn)行域名模糊查詢搜索www( al 接入狀態(tài)業(yè)務(wù)狀態(tài)http: O正鶯https: 9正常證書更新日后險索：開后,-1域名信息Cname: ujxyXJdsygvhij;bs3geahwnhinvhed. alkl oudwafiConi站點(diǎn) IP: 46編,這個CNAME在稍后配置 DNS解析時會用到。如果您需要知道當(dāng)前WAF的IP地址，可以通過 ping 一下這個CNAME的方式，一般情況下這個 IP不會頻繁變動。4.上傳HTTPS證書和私鑰（僅針對 HTTPS站點(diǎn)）如果防護(hù)HTTPS站點(diǎn)，必

4、須上傳服務(wù)器的證書和私鑰到WAF ,否則訪問HTTPS站點(diǎn)會有問題。勾選 HTTPS后，會看到紅色的“異?！弊謽?，提示當(dāng)前證書有問題，點(diǎn) 擊“上傳證書”來上傳：http:一正常 |巾佃戶: HYPERLINK https; I。異常 | O已接入WAF防護(hù)最近兩天內(nèi)無攻擊 CC防護(hù)：正常|上傳證書|精準(zhǔn)訪問控制：開后WAF可以直接復(fù)制證書和私鑰文本內(nèi)容，一般如 pem、cer、crt等證書格式，可用文本編輯器直接打開，有些格式（如 PFX、P7B等）的證書需要先轉(zhuǎn)換成這些格式，轉(zhuǎn) 換方式可參考這里。如果有多個證書文件（如證書鏈），可拼接合并后一起上傳。WAF能識別的證書樣例格式如下:-BEGI

5、N CERTIFICATE-62EcYPWd2Oy1vs6MTXcJSfN9Z7rZ9fmxWr2BFN2XbahgnsSXM48ixZJ4krc+1M+j2kcubVpsE2cgHdj4v8H6jUz9Ji4mr7vMNS6dXv8PUkl/qoDeNGCNdyTS5NIL5ir+g92cL8IGOkjgvhlqt9vc65Cgb4mL+n5+DV9uOyTZTW/MojmlgfUekC2xiXa54nxJf17Y1TADGSbyJbsC0Q9nIrHsPl8YKkvRWvIAqYxXZ7wRwWWmv4TMxFhWRiNY7yZIo2ZUhl02SIDNggIEeg=END CERTIFI

6、CATE-私鑰樣例格式如下:-BEGIN RSA PRIVATE KEY-DADTPZoOHd9WtZ3UKHJTRgNQmioPQn2bqdKHop+B/dn/4VZL7Jt8zSDGM9sTMThLyvsmLQKBgQCr+ujntC1kN6pGBj2Fw2l/EA/W3rYEce2tyhjgmG7rZ+A/jVE9fld5sQra6ZdwBcQJaiygoIYoaMF2EjRwc0qwHaluq0C15f6ujSoHh2e+D5zdmkTg/3NKNjqNv6xA2gYpinVDzFdZ9Zujxvuh9o4Vqf0YF8bv5UK5G04RtKadOw=END RSA PRIVATE

7、KEY-上傳完畢后，HTTPS狀態(tài)應(yīng)該變?yōu)檎?http:正常https: 正常證書更新4.接入狀態(tài)異常排查剛添加完域名時，接入狀態(tài)可能會提示異常：O未檢測到end me?人且無http: 0 正常流星，CnameSAtaffi重新檢測這是正常的，待修改 DNS使用CNAME解析接入 WAF后，或者是有正常流量經(jīng)過WAF以后會變成正常的，具體判斷標(biāo)準(zhǔn)可參考 CNAME接入狀態(tài)說明。至此，控制臺配置完成。您可以繼續(xù)添加其他域名，或進(jìn)入到下一步。步驟二：放行回源IP段.何為回源IP段？在哪里?WAF控制臺提供了最新的回源 IP段列表:Web應(yīng)用防火墻I域名配置當(dāng)削版本：恒聲產(chǎn)2018-07-14升

8、繆收起產(chǎn)品介紹八WAF回原IP段Web應(yīng)用防火墻如何保#您的網(wǎng)站？業(yè)各分析未接入Wu啦用防火墻,直接訪t可源站域名配亙?yōu)g覽器接入Web應(yīng)用防火墻，記問經(jīng)過防火塔過濾在配重完域名后，者需要防妒生效、必須在您的DN5版第商處海加域名對應(yīng)的tname.才通過CNAM削址，Web應(yīng)用防火塔瀏覽器請按照下列步驟添加您的域名人fl填寫域名信息回源IP是WAF用來代理客戶端請求服務(wù)器時用的源IP,在服務(wù)器看來，接入WAF后所有源IP都會變成 WAF的回源IP,而真實的客戶端地址會被加在HTTP頭部的XFFWAF的全部回源IP放行（加入白名單），不然可能會出現(xiàn)網(wǎng)站字段中。 強(qiáng)烈建議接入 WAF后卸載掉服務(wù)器上

9、的其他安全軟件，如安全狗、云鎖等，至少確保源站已將 打不開或極其緩慢的情況。.為何要放行回源IP段?接入WAF后，WAF作為一個反向代理存在于客戶端和服務(wù)器之間，服務(wù)器的真實IP被隱藏起來，客戶端只能看到WAF ,而看不到源站。如下圖所示（origin為源站）WAF 的 IP 一/ 睢一/ WAF1回源IP （段）（Full NAT）源站對于客戶端小可見7?源站ip （ ECS/SLB/IDC 主機(jī)等）在源站（真實服務(wù)器）看來，所有的請求源IP都會變成 WAF的回源IP段。由于來源的IP變得更加“集中”為這些IP在發(fā)起攻擊，從而將其拉黑。一旦拉黑，WAF的請求將無法得到源站的正常響應(yīng)，故務(wù)必要

10、確保回源步驟三：本地驗證在把業(yè)務(wù)流量切到 WAF上之前，建議先通過本地驗證的方式確保一切配置正常,WAF轉(zhuǎn)發(fā)正常。,頻率會變得更快，服務(wù)器上的防火墻或安全軟件很容易認(rèn)IP在源站上沒有被攔截。首先需要修改本地 hosts文件（什么是hosts文件），使本地對于被防護(hù)站點(diǎn)的請求先經(jīng)過WAF。以Windows為例，hosts文件的位置一般位于a C:WindowsSystem32driversetchosts ”,用記事本或 notepad+ 等文本編輯器打開，在最后一行添加如下內(nèi)容：WAF的IP被防護(hù)域名localhost name resolution is handled within DNS

11、 itself.Hlocalhost： ： 1LocaLhost58. 255 www. alivundemo. cn其中前面的IP地址為應(yīng)的 WAFIP地址，WAF的IP可以通過ping提供的CNAME來獲得，修改hosts文件后保存。然后本地 ping 一下被防護(hù)的域名，預(yù)期此時解析到的IP地址應(yīng)該是剛才綁定的 WAF IP地址。如果依然是源站地址，可嘗試刷新本地的DNS緩存（Windows 的 cmd 下可以使用 ipconfig/flushdns 命令）。確認(rèn)hosts綁定已經(jīng)生效（域名已經(jīng)本地解析為WAF的IP）后，打開瀏覽器，輸入該域名進(jìn)行訪問，如果 WAF的配置正確，網(wǎng)站預(yù)期能夠

12、正常打開。同時也可以嘗試一下手動模擬一些簡單的 web攻擊命令，如 在URL后面加一個/?alert（xss）,這是一個測試的 web攻擊請求，如 HYPERLINK /?alert%ef%bc%88xss%ef%bc%89 /?alert（xss） 預(yù)期 WAF能夠彈出阻攔頁面： www.(liyundenno.n/?alert(xss)存在攻擊行為應(yīng)用防火墻訪問者CNAME步驟四：修改DNS解析很抱歉，由于您訪問的URL有可能對網(wǎng)站造成安全威脅.您的訪問被阻斷通過彳改DNS解析到 WAF ,完成業(yè)務(wù)正式接入。本篇以萬網(wǎng)和花生殼為例,DNS配置的方式，其他的 DNS提供商可以類似配置。首先找

13、到在步驟一中記錄下的對OK后，接下來可以把業(yè)務(wù)流量切到WAF上來了.CNAME接入說明WAF支持CNAME解析接入，也可以 A記錄解析，但我們強(qiáng)烈推薦使用CNAME解析，因為在某些極端情況下（如節(jié)點(diǎn)故障、機(jī)房故障等），CNAME接入可以實現(xiàn)自動切換節(jié)點(diǎn)IP甚至將解析切回源站，從而最大程度保證業(yè)務(wù)穩(wěn)定，提供了高可用性和災(zāi)備能力。必須使用A記錄接入的情況（比如 記錄與MX記錄沖突等），可以 ping 一下CNAME得到WAF的IP地址（這個地址一般不會頻繁變化），采用A記錄解析接入。.主機(jī)記錄說明以域名為例：www :用以精確匹配 www 開頭的域名，如 HYPERLINK ,不能匹配 :可以匹配

14、直接訪問 的情況*：泛域名，可匹配任意域名，如 , HYPERLINK , .萬網(wǎng)配置示例登錄萬網(wǎng)控制臺，找到對應(yīng)域名的“域名解析”- “解析設(shè)置”，正常情況下會有已經(jīng)存在的一些解析，如下圖:解析設(shè)置云解析DNS熱銷版（網(wǎng)站抗攻擊十網(wǎng)站加速）限時18元/年,立即購買尸尸X對陣朽 北金三卜靖廠 才X.距建3H同步引魔毒投索 記錄類型人主機(jī)記錄上解析線路上記錄值MX優(yōu)先級- TTL 狀態(tài) 操作A默認(rèn)B.401121。分神- 幄改|暫停|刪除注Awww默認(rèn)-LU分鐘 - 修改|暫停|刪除 箱注暫停 啟用 劃涂1/1頁國親將記錄類型改成 CNAME，記錄值改成 WAF控制臺提供的CNAME ,如下圖:

15、解析設(shè)置添加解析批量導(dǎo)入解析導(dǎo)出解析記錄新手引導(dǎo)設(shè)置快速搜索解忙記H主機(jī)記錄入解析線皓人記錄值MX優(yōu)先級上 TTL狀態(tài)操作默認(rèn),40.11210分鐘修改暫停刪除備注暫停啟用I xxxxxxxx? w m qvixt8vedy10分鐘1/1頁取消當(dāng)然，對應(yīng)多個記錄類型，WAF會提供多個CNAME ,分別修改記錄就可以了。TTL值一般建議600秒，這個值越大，DNS記錄的同步和更新越慢。.花生殼配置示例A記錄刪除，再添加 CNAME記錄。請盡快完成此操作，否則刪有的域名提供商不像萬網(wǎng)可以支持直接修改已有域名的記錄類型和主機(jī)類型，如花生殼，需要先將原有的 除原有解析后會解析失敗。其他配置類似:wwwialiyundemoxn域名備注：請在此輸入此域名的