入门概述

腾讯云金融专区WAF分为两种类型，SaaS 型 WAF 和负载均衡型 WAF，两种类型 WAF 域名接入方式不同，请参考以下步骤，根据实际情况完成接入。

SaaS型WAF

SaaS 型 WAF 通过为防护域名分配 CNAME，修改网站的 DNS 解析记录，将网站收到的 Web 请求转发给 WAF ，从而对网站进行安全防护。配合安全组使用，可以避免攻击者绕过 WAF 直接攻击网站源站。为了实现上述功能，您需要完成以下步骤：

步骤1：域名添加

为了使 Web 应用防火墙识别出需要防护的域名，需要先在 Web 应用防火墙中添加域名。下面以防护 waf.qcloudwaf.com 为例，说明配置步骤。

1. 登录Web 应用防火墙，在左侧目录中，选择【Web 应用防火墙】>【防护设置】，进入域名配置页面。

2. 单击【添加域名】，进入基础设置页面。

   

• 域名配置

1. 在域名输入框中添加需要防护的域名 waf.qcloudwaf.com 。

2. 协议和端口可按实际情况选择。例如：勾选 HTTP，选择80端口；勾选 HTTPS，选择443端口。

3. HTTPS 回源方式可选：HTTP 或 HTTPS。

4. 证书来源可选：腾讯云金融专区托管证书，自有证书。

5. 在源站 IP 输入框内输入需要防护网站的真实 IP 源站地址，即源站的公网 IP 地址。

• 其他配置

1. 在 Web 应用防火墙前，是否接入了其他中间代理设备，若有，请选择【是】，若无，请选择【否】。

2. 单击【保存】，完成配置后，可在域名列表看到刚刚添加的域名。

3. 单击域名进入详情页，即可看到 Web 应用防火墙为站点分配的 CNAME。

Web 应用防火墙将会为每个添加到 Web 应用防火墙的域名(不区分一级域名和二级域名)分配一个唯一的 CNAME。

步骤2：本地测试

本地机器访问网站需要做 DNS 解析，在这之前会优先从本地 hosts 文件中获取目标域名对应的 IP 地址。所以可以用修改 hosts 文件的方式把本地的访问流量导向 Web 应用防火墙，从而测试经过 Web 应用防火墙访问 Web 站点的线路连通性，避免直接修改 DNS 解析记录，影响到公网用户对站点的访问。

1. 登录Web 应用防火墙控制台，在左侧导航栏中，选择【Web 应用防火墙】>【防护设置】，在域名列表中查看waf.qcloudwaf.com的 VIP 地址。

   

2. 修改 hosts 文件

• 在 Windows 下修改C:\Windows\System32\drivers\etc\hosts，增加条目。 格式：VIP 地址+接入Web应用防火墙的域名。

  

• 在 Linux 下 修改/etc/hosts，增加条目。

  格式：VIP 地址+接入Web应用防火墙的域名。

  

3. 访问测试

   (1) 在本地电脑上访问 Web 站点，若站点能够正常打开，说明网站管家访问 Web 源站的线路连通性正常。

   (2) 在浏览器中输入下面的网址并访问。

   http://waf.qcloudwaf.com/?test=alert(123)  

   ​ (3) 浏览器返回阻断页面，说明 Web 应用防火墙防护功能正常。

步骤3：修改 DNS 解析

当您想通过Web应用防火墙WAF防护公网用户访问网站的流量时，需要修改 DNS 的解析记录，相关DNS CNAME记录修改使用DNS标准修改流程即可。

步骤4：设置安全组

安全组是云平台提供的实例级别防火墙，可对任意云服务器进行入或出流量控制。在安全组中设置仅允许来自 Web 应用防火墙的流量访问网站，可避免攻击者绕过 Web 应用防火墙直接攻击网站源站。 下面以在安全组中放行 Web 应用防火墙的回源 IP 111.230.27.90 为例，说明配置过程。

1. 登录 云服务器控制台在左侧目录中，单击【安全组】。

2. 进入安全组页面，单击【新建】，根据要求填写信息，模板选择【自定义】，输入安全组的名称（例如 my-security-group），填写相关备注，填写完成后，单击【确定】。

   

3. 在安全组列表中，找到刚才新建的安全组，单击其 ID 进入详情页。

4. 在入站规则页面中，单击【添加规则】。

   

5. 在弹出框中填写相关信息，类型选择 “HTTP（80）” ，来源中填写需要放行的回源 IP，根据需求填写端口及策略，填写完毕后，单击【完成】。

   

6. 单击选项卡中的【关联实例】，在云服务器页面下，单击【新增关联】。

   

7. 在弹出框中选择需要绑定的云服务器，单击【确定】即可。

   

   或者您还可以进入 云服务器列表页，查看或修改某云服务器已绑定的安全组，在列表页选择需要调整安全组的云服务器 ID，在右侧操作栏，选择【更多】>【安全组】>【配置安全组】，选择安全组进行绑定。

   

负载均衡型WAF

负载均衡型 WAF 通过配置域名和腾讯云金融专区七层负载均衡（监听器）集群进行联动，对经过负载均衡的 HTTP 或 HTTPS 流量进行旁路威胁检测和清洗，实现业务转发和安全防护分离。为了实现联动防护，您需要完成以下步骤：

步骤1：确认负载均衡配置

负载均衡型WAF通过添加域名和负载均衡监听器进行绑定，实现对经过负载均衡监听器的 HTTP 或 HTTPS 流量进行检测和拦截。在接入负载均衡型 WAF 前，请确保网站业务已经在腾讯云金融专区上，并且使用了腾讯云金融专区负载均衡（原应用型负载均衡，网络类型为公网类型）。若您的网站业务不在腾讯云金融专区上，建议您使用 SaaS 型 WAF 接入防护。

为了使负载均衡型 WAF 能够识别出需要防护的域名，需要配置负载均衡并且在监听器配置相应域名，实现业务正常转发。详情请参见 配置 HTTP 监听器 和 配置 HTTPS 监听。

本文以防护wow.qcloudwaf.com为例，查看负载均衡监听器配置信息。

1. 登录云控制台，单击【云产品】>【云计算与网络】>【负载均衡】，进入负载均衡控制台。

2. 在“LB 实例列表”中，找到已创建的负载均衡实例，单击实例 ID，进入负载均衡详情页。

   

3. 在负载均衡详情页面，单击【监听器管理】，查看监听器域名配置信息。监听器的名称为 waftest，协议HTTP，端口80。

   

4. 创建转发规则，监听器转发规则监听的域名为wow.qcloudwaf.com，URL路径填“/”，选择是否进行监控检查，以及会话保持，点击【提交】，完成域名添加。此时域名防护状态为未启用。

   

   

步骤2：域名添加绑定负载均衡

操作步骤

1. 登录 Web 应用防火墙控制台，在左侧导航栏中，选择【Web 应用防火墙】>【防护设置】，进入防护设置页面。

2. 在防护设置页面，单击【负载均衡型】，进入负载均衡型防护设置页面，并在域名列表中，单击【添加域名】，进入域名添加页面。

   

3. 在添加域名页面，填写需要防护域名，填写完成后，单击【下一步】，进入选择监听器页面。

   

注意：

填写的域名需要和负载均衡监听器中添加的域名保持一致。

4. 在选择监听器页面，选择步骤1：确认负载均衡配置中确认配置的负载均衡和监听器，完成绑定。

   

5. 绑定完成后，在页面下方，单击【完成】即可返回域名列表。在域名列表可以查看到防护域名wow.qcloudwaf.com和负载均衡的负载均衡 ID、名称、VIP 和监听器信息等。

   

步骤3：验证测试

1. 确保本地电脑可以正常访问 Web 站点。

2. 在浏览器中输入网址http://wow.qcloudwaf.com/?test=alert(123) 并访问。

   注意：

   wow.qcloudwaf.com 为本案例中域名，此处需要将域名替换为实际添加的域名。

3. 登录 Web 应用防火墙控制台，在左侧导航栏中，选择【日志服务】>【攻击日志】，进入攻击日志查询页面，进行日志查询。

4. 选择添加防护的域名，单击【查询】。若看到攻击类型为 “XSS 攻击”，说明 WAF 配置已经生效。

   

   说明：

   如果域名未配置 DNS，可参见 SaaS 型 WAF 快速入门的步骤2：本地测试进行接入有效性验证。