• 因为DDoS高防是四层Web代理的产品，为了保证WAF的安全策略能够针对真实源IP生效，请确保域名“是否已使用代理”已配置为“否”，如需修改请参见查看基本信息章节进行操作。

• 如果WAF前使用了高防、CDN（Content Delivery Network，内容分发网络）、云加速等代理，配置CC防护规则时，建议“限速模式”选择“用户限速”，并勾选“全局计数”。

相关配置说明如下：

• 云模式：先将域名解析到DDoS高防，再修改DDoS高防域名信息，将源站域名修改为WAF的“CNAME”。同时，为了防止其他用户提前将您的域名配置到WAF上，从而对您的域名防护造成干扰，建议您到DNS服务商处添加一条WAF的子域名和TXT记录。

• 独享模式：先将域名解析到DDoS高防，再修改DDoS高防域名信息，将源站IP修改为WAF独享引擎实例配置弹性负载均衡绑定的弹性公网IP。

以下操作以华为云DDoS高防为例介绍配置域名解析的方法。如果您使用的是华为云DDoS高防，您可以直接参照以下步骤进行操作；若您使用华为云以外的DDoS高防，请参考以下步骤在其他DDoS高防上进行类似配置。

1.获取Web应用防火墙的“CNAME”、“子域名”和“TXT记录”值。登录管理控制台

a.登录管理控制台。

b.单击管理控制台左上角的，选择区域或项目。

b.单击页面左上方的，选择“安全与合规 > Web应用防火墙 WAF”。

d.在目标域名所在行的“网站设置”列中，单击目标域名，进入域名基本信息页面。

e.在域名基本信息页面，单击CNAME所在行，复制“CNAME”。在“接入状态”所在行，单击“如何接入？”，在弹出的对话框中，复制“子域名”和“TXT记录”。

2.DDoS高防回源IP地址修改

a.单击页面上方的，选择“安全与合规 > DDoS防护”，在左侧导航树中，选择“DDoS高防 > 域名接入”，进入域名配置页面。

b.在使用的DDoS高防代理类服务的域名所在行的“操作”列，单击“编辑”，进入“域名业务配置编辑”页面，将“源站IP/域名”的内容修改为复制的WAF的CNAME值。

c.单击“确定”，DDoS高防回源地址修改完成。

3.（可选）在DNS服务商添加一条WAF的子域名和TXT记录

说明：为了防止其他用户提前将您的域名配置到Web应用防火墙上，从而对您的域名防护造成干扰，建议您完成此操作。

a.进入云解析页面的入口，如图3所示。

图3 云解析页面入口

b.在页面的右上角，单击“添加记录集”，进入“添加记录集”页面，配置模式如图4所示。

• “主机记录”：1.e中复制的TXT记录；

• “类型”：选择“TXT-设置文本记录”；

• “别名”：选择“否”；

• “线路类型”：全网默认；

• “TTL(秒)”：一般建议设置为5分钟，TTL值越大，则DNS记录的同步和更新越慢；

• “值”：将1.e中复制的TXT记录加上引号后粘贴在对应的文本框，例如，"TXT记录"；

• 其他的设置保持不变。

图4 添加记录集

c.单击“确定”，完成子域名配置。

4.（可选）验证DNS配置。您可以Ping网站域名验证DNS解析是否生效

说明：由于DNS解析记录生效需要一定时间，如果验证失败，您可以等待5分钟后重新检查。

请参考以下步骤在华为云DDoS高防上进行配置操作。

1.登录管理控制台。

2.单击管理控制台左上角的，选择区域或项目。

3.单击页面左上方的，选择“安全与合规 > DDoS防护”，进入DDoS防护页面。

4.在左侧导航树中，选择“DDoS高防 > 域名接入”，进入域名接入页面。

5.在目标域名所在行的“操作”列中，单击“编辑”。

6.在弹出“域名业务配置编辑”对话框中，修改源站IP。

须知：如果您的业务使用了WAF独享模式，“源站”文本框中请输入为弹性负载均衡绑定弹性公网IP。

7.单击“确定”，完成源站IP配置。

生效条件

当“接入状态”为“已接入”，表示域名/IP接入成功。

须知：

WAF每隔一小时就会自动检测防护网站的 “接入状态”，当WAF统计防护网站在5分钟内达到20次访问请求时，将认定该防护网站已成功接入WAF。

如果域名接入失败，即域名接入状态为“未接入”，请参考域名/IP接入状态显示“未接入”，如何处理？排查处理。