域名防护配置添加
最近更新时间: 2022-07-14 07:48:26

防护配置管理为用户提供域名防护的配置操作功能:

Web 应用防火墙防护配置列表显示如下,展示用户的防护配置清单列表,展示字段包括:防护域名、CNAME、源站 IP、源端口、协议类型、状态、防护带宽、操作。

  • 防护域名:展示被防护的域名,例如;www.ctyun.com

  • CNAME:展示防护域名 CNAME(CNAME 规则:源域名+.iname.damddos.com) 

  • 133 WAF 自服务控制台操作指南

  • 源站 IP:用户配置的最终服务客户的主机 IP

  • 源端口:源站 IP 的对外服务端口

  • 状态:展示配置的防护状态,包括防护、未防护、启动防护中、防护配置失败

  • 防护带宽:用户购买实例的业务带宽大小

操作

  • 查看,查看防护配置详情,不能进行修改;

  • 删除,点击删除,将当前的防护配置清除,需要确保防护域名指回源站;

  • 关闭防护:将正在防护中的任务关闭,需要确保防护域名指回源站;

  • 开启防护:开启已新增(或者关闭过)的防护配置,开启成功后,您可以联系域名服务商将 DNS 域名指向防护 Cname 地址,届时防护配置正式生效。

  • 黑白名单,配置黑白名单,详见黑白名单配置

  • 修改,修改添加的防护配置(防护已经在关闭状态才可以修改)

新增

在 web 应用防火墙配置菜单下,点击新增,弹出 web 应用防火墙配置对话框。

新增防护配置详解:

1.选择实例 ID;实例即为默认开通资源,直接进行勾选即可

2.选择数据中心;目前默认数据中心为内蒙,上海,广州,其中主选一个,备选一个,建议用户选择靠近自身资源部署地区的节点。

3.输入防护域名;

  • 输入格式示例:防护网站域名:如ctyun.cn

       

防护网站域名:如 www.ctyun.cn,

      

4.选择ip代理;

Ip代理分为nat44,nat66,nat64,Nat44:网站如仅支持ipv4访问则单选nat44,并且填写域名对应的公网v4地址至原站ip一栏。

       

Nat66:网站如同时支持ipv4以及ipv6访问则需要同时勾选。

Nat64:在网站不支持ipv6的场景下,waf可以协助网站支持ipv6访问,waf接收到ipv6请求后将流量转换成ipv4的形式发送给客户原站,需要同时勾选nat44与nat64,原站ip侧应填写ipv4地址。       

       

5.选择对应的协议进行端口添加。

如网站涉及https端口需要进行证书上传,点击新增证书。

点击新增证书后弹出图上页面:

  • 证书名称:证书名称可自定义添加

  • 证书公钥:一般情况下https证书需要从网站本身服务器上进行导出或联系域名服务商获取,证书一般以pem或crt结尾用文件形式打开后全量粘贴到图上公钥内。

  • 证书私钥:私钥一般以key结尾,同样需要用文本形式打开后粘贴到图上私钥内点击确认。

6.开启防护(默认勾选),如果未选中开启防护按钮,该配置不会生效,业务不会下发至 web 应用防火墙设备进行防护。

点击保存,确认后,正式下发防护配置。       

添加完显示应为下

  • 域名:域名为当前防护的域名

  • Cname:cname地址为waf配置成功后生成的代理地址(需要用户侧联系域名服务商将域名原本指向的记录值修改为waf的地址)。

  • 源ip:源ip及配置waf的目标地址,waf接收请求后会将请求转发至当前配置的地址

  • 源端口:waf所配置的端口

  • 状态:当配置处于防护中时为正常,配置状态为防护中时cname地址才可以被解析到

  • 防护带宽:与当前资源相关,对应当前的资源规格

  • Dns牵引检测:当用户将域名解析至waf后,此状态会在当天凌晨自动更新为已牵引

  • https强制跳转:当域名同时开通80与443端口时勾选强制跳转会让所有访问80端口的流量自动跳转到443(暂时只支持80跳转443)。