WEB应用防火墙 WAF-步骤三:修改域名DNS解析设置:工作原理
工作原理
- 未使用代理
当网站没有接入到WAF前,DNS直接解析到源站的IP,所以当网站接入WAF后,需要把DNS解析到WAF的CNAME,这样流量才会先经过WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。
- 使用了DDoS高防等代理
当网站没有接入到WAF前,DNS解析到高防等代理,流量先经过高防等代理,高防等代理再将流量直接转到源站。网站接入WAF后,需要将高防等代理回源地址修改为WAF的“CNAME”,这样流量才会被高防等代理转发到WAF,WAF再将流量转到源站,实现网站流量检测和攻击拦截。
- 为了确保WAF转发正常,在修改DNS解析配置前,建议您参照本地验证进行本地验证确保一切配置正常。
- 为了防止其他用户提前将您的 域名 配置到 Web应用防火墙 上,从而对您的域名防护造成干扰,建议您到DNS服务商处添加“子域名”,并为它配置“TXT记录”。WAF会据此判断域名的所有权真正属于哪个用户。具体的配置方法请参见未配置子域名和TXT记录的影响。