Шаг 4: Изменить DNS-записи доменного имени

Эта статья полезна?

Язык статьи: Русский

Страница переведена автоматически и может содержать неточности. Рекомендуем сверяться с английской версией.

После того как доменное имя подключено к WAF, WAF функционирует как обратный прокси между клиентом и сервером. Реальный IP‑адрес сервера скрыт, и только IP‑адрес WAF виден веб‑посетителям. Вы должны направить DNS‑разрешение доменного имени на CNAME‑запись, предоставленную WAF. Таким образом запросы доступа могут быть разрешены к WAF.

Чтобы гарантировать правильную работу вашего экземпляра WAF, протестируйте его в соответствии с инструкциями в Шаг 3: Тестировать WAF перед маршрутизацией бизнес‑трафика к WAF.

Требования

Вы добавили доменное имя, которое хотите защитить, в облачный экземпляр WAF в режиме доступа CNAME. Подробности см. Шаг 1: Добавить доменное имя в WAF (облачный режим).
У вас есть разрешение изменять настройки разрешения доменного имени на DNS‑платформе, где размещено ваше доменное имя.
У вас есть IP‑адреса обратного источника WAF, включённые в белый список на ваших исходных серверах.
(Optional) У вас проверили подключение вашего веб‑сайта чтобы убедиться, что WAF может пересылать запросы.

Ограничения

Защита WAF вступает в силу только для реальных IP‑адресов клиентов, откуда исходят запросы. Чтобы обеспечить получение WAF реальных IP‑адресов клиентов, если ваш веб‑сайт имеет прокси уровня 7, такие как CDN и продукты облачного ускорения, размещённые перед WAF, Прокси уровня 7 должен быть выбран для Прокси настроен.

Ограничения спецификации

После подключения вашего веб‑сайта к WAF вы можете загружать файл размером не более 10 GB каждый раз.

Как работает WAF

Прокси не используются
DNS преобразует имя вашего домена в IP-адрес исходного сервера до подключения веб‑сайта к WAF. DNS преобразует имя вашего домена в CNAME WAF после подключения веб‑сайта к WAF. Затем WAF проверяет входящий трафик и фильтрует вредоносный трафик.
Прокси (например, сервис anti-DDoS) использован
Если на вашем веб‑сайте до подключения к WAF используется прокси, например сервис anti-DDoS, DNS преобразует имя домена сайта в IP‑адрес anti-DDoS. Трафик направляется к сервису anti-DDoS, который затем направляет его обратно к исходному серверу. После подключения вашего веб‑сайта к WAF измените обратный адрес прокси (например, сервиса anti-DDoS) на CNAME WAF. Таким образом, прокси пересылает трафик в WAF. WAF затем фильтрует нелегитимный трафик и направляет только легитимный трафик обратно к исходному серверу.
Note
Чтобы гарантировать правильную пересылку запросов WAF, протестируйте WAF, обратившись к Тестирование WAF перед изменением конфигурации DNS.
Чтобы предотвратить настройку вашего доменного имени другими пользователями в WAF до того, как вы добавите его в WAF (это может вызвать помехи в защите доменного имени), добавьте имя поддомена и запись TXT на вашей платформе управления DNS. WAF определит, какой пользователь владеет доменным именем, на основе имени поддомена и записи TXT.

Процедура

Войдите в консоль управления.
Щелкните в верхнем левом углу консоли управления и выберите регион или проект.
Щелкните в верхнем левом углу и выберите Безопасность > Web Application Firewall.
В навигационной панели слева выберите Настройки сайта.
В строке, содержащей нужное доменное имя, щелкните доменное имя, чтобы перейти к Основная информация страница.
В CNAME строка, щелкните для копирования записи CNAME.
Если сообщение "CNAME copied successfully" отображается в правом верхнем углу страницы, запись CNAME успешно скопирована.
Подключите доменное имя к WAF.
- Прокси не используется
  Настройте запись CNAME у вашего DNS‑провайдера. Для получения подробной информации обратитесь к вашему DNS‑провайдеру.
- Прокси используется
  Измените IP‑адрес обратного источника используемого прокси, например сервисов anti-DDoS и CDN, на скопированную запись CNAME.
  Note
  Для предотвращения конфигурации ваших доменных имен другими пользователями на WAF заранее (это вызовет помехи в защите вашего доменного имени), добавьте имя поддомена и запись TXT на вашей платформе управления DNS.
  
  Получить Имя поддомена и Запись TXT: В строке Статус доступа, нажмите Как получить доступ. В Руководство по доступу диалоговое окно, скопируйте Имя поддомена и TXT-запись.
  Добавить Имя поддомена у провайдера DNS и настройте TXT-запись для имени поддомена.
  
  WAF определяет какой пользователь владеет именем домена на основе настроенного Имя поддомена и TXT-запись.
Убедитесь, что CNAME доменного имени настроен.
1. В Windows выберите Запуск > Запустить. Затем введите cmd и нажмите Enter.
2. Запустить nslookup команду для запроса записи CNAME.
  Если настроенный CNAME возвращён, конфигурация выполнена успешно.
  
  Пример команды:
```
nslookup www.example.com
```

Follow-up Procedure

Если ваш сервер использует другие сетевые межсетевые экраны, отключите эти сетевые межсетевые экраны или добавьте диапазон IP‑адресов WAF в белый список IP‑адресов этих сетевых межсетевых экранов. В противном случае эти межсетевые экраны могут рассматривать IP‑адрес WAF как вредоносный IP‑адрес.
Если ваш веб‑сервер использует личное программное обеспечение безопасности, замените его на enterprise security software и внесите в белый список диапазоны IP address WAF.

Проверка

По умолчанию, WAF проверяет Access Progress каждого защищённого доменного имени на почасовой основе.
Как правило, если вы добавили домен в WAF и Access Progress для домена является Доступно, доменное имя подключено к WAF.

Родительская тема: Connecting Your Website to WAF (Cloud Mode - CNAME Access)

Поддержка Юридические документы