Web 应用防火墙防护配置列表显示如下,展示用户的防护配置清单列表,展示字段包括:防护域名、CNAME、源站 IP、源端口、协议类型、状态、防护带宽、操作。
- 防护域名:展示被防护的域名,例如;www.ctyun.com
- CNAME:展示防护域名 CNAME(CNAME 规则:源域名+.iname.damddos.com)
- 133 WAF 自服务控制台操作指南
- 源站 IP:用户配置的最终服务客户的主机 IP
- 源端口:源站 IP 的对外服务端口
- 状态:展示配置的防护状态,包括防护、未防护、启动防护中、防护配置失败
- 防护带宽:用户购买实例的业务带宽大小
操作
- 查看,查看防护配置详情,不能进行修改;
- 删除,点击删除,将当前的防护配置清除,需要确保防护域名指回源站;
- 关闭防护:将正在防护中的任务关闭,需要确保防护域名指回源站;
- 开启防护:开启已新增(或者关闭过)的防护配置,开启成功后,您可以联系域名服务商将 DNS 域名指向防护 Cname 地址,届时防护配置正式生效。
- 黑白名单,配置黑白名单,详见 黑白名单配置 。
- 修改,修改添加的防护配置(防护已经在关闭状态才可以修改)
新增
在 web 应用防火墙配置菜单下,点击新增,弹出 web 应用防火墙配置对话框。
新增防护配置详解:
1.选择实例 ID;实例即为默认开通资源,直接进行勾选即可
2.选择数据中心;目前默认数据中心为内蒙,上海,广州,其中主选一个,备选一个,建议用户选择靠近自身资源部署地区的节点。
3.输入防护域名;
- 输入格式示例:防护网站域名:如topyun.vip
防护网站域名:如 www.topyun.vip,
4.选择ip代理;
Ip代理分为nat44,nat66,nat64,Nat44:网站如仅支持ipv4访问则单选nat44,并且填写域名对应的公网v4地址至原站ip一栏。
Nat66:网站如同时支持ipv4以及ipv6访问则需要同时勾选。
Nat64:在网站不支持ipv6的场景下,waf可以协助网站支持ipv6访问,waf接收到ipv6请求后将流量转换成ipv4的形式发送给客户原站,需要同时勾选nat44与nat64,原站ip侧应填写ipv4地址。
5.选择对应的协议进行端口添加。
如网站涉及https端口需要进行证书上传,点击新增证书。
点击新增证书后弹出图上页面:
- 证书名称:证书名称可自定义添加
- 证书公钥:一般情况下https证书需要从网站本身服务器上进行导出或联系域名服务商获取,证书一般以pem或crt结尾用文件形式打开后全量粘贴到图上公钥内。
- 证书私钥:私钥一般以key结尾,同样需要用文本形式打开后粘贴到图上私钥内点击确认。
6.开启防护(默认勾选),如果未选中开启防护按钮,该配置不会生效,业务不会下发至 web 应用防火墙设备进行防护。
点击保存,确认后,正式下发防护配置。
添加完显示应为下图:
- 域名:域名为当前防护的域名
- Cname:cname地址为waf配置成功后生成的代理地址(需要用户侧联系域名服务商将域名原本指向的记录值修改为waf的地址)。
- 源ip:源ip及配置waf的目标地址,waf接收请求后会将请求转发至当前配置的地址
- 源端口:waf所配置的端口
- 状态:当配置处于防护中时为正常,配置状态为防护中时cname地址才可以被解析到
- 防护带宽:与当前资源相关,对应当前的资源规格
- Dns牵引检测:当用户将域名解析至waf后,此状态会在当天凌晨自动更新为已牵引
- https强制跳转:当域名同时开通80与443端口时勾选强制跳转会让所有访问80端口的流量自动跳转到443(暂时只支持80跳转443)。