步骤 1:确认云函数配置
如果您的 Web 业务启用了腾讯云云函数(Serverless Cloud Function,SCF),您可以在云函数 WAF 实例中接入域名防护。请登录 Serverless 控制台,在左侧导航栏中,选择函数服务,确认是否使用云函数。
说明:
步骤 2:添加域名并绑定云函数
1. 登录 Web 应用防火墙控制台,在左侧导航栏顶部,将控制台切换至实例所在区域(中国大陆/非中国大陆)。
2. 在左侧导航栏中,选择接入管理 > 域名接入。
3. 在域名接入页面,单击添加域名,填写相关配置参数,单击确定即可。
字段说明
所属实例:选择云原生型和对应云原生型 WAF 实例名称。
域名:在域名输入框中添加需要防护的域名如
test.com。流量来源:选择云函数。
代理情况:根据实际业务情况选择是否使用高防、CDN、云加速等代理服务。
选择否:WAF 接收的请求直接来自客户端。WAF 将与客户端建立连接的 IP 地址作为客户端 IP。
选择是:WAF 接收的请求来自其他七层代理服务。为确保获取真实客户端 IP 以进行安全分析,需设置客户端 IP 判断方法:
读取请求 Header 字段 X-Forwarded-For (XFF) 中的第一个 IP 地址作为客户端 IP。
获取网络层的 remote_ip 作为客户端源 IP,防止 XFF 伪造。
获取指定 Header 字段的 IP 地址。
说明:
建议在业务中使用自定义 Header 存放客户端 IP,并在 WAF 中配置对应 Header 字段。此方式可降低攻击者通过伪造 XFF 字段绕过 WAF 防护规则的风险,提升业务安全性。
国内地域:根据实际需求选择。
防护对象组:选择已绑定的 web 规则模板对应的防护对象组,自动生效自定义 web 规则模板。
备注:输入域名的备注信息(选填),便于后续管理和识别域名用途。
标签:为接入域名配置资源标签,支持按标签键和标签值进行标记。配置标签后,可在域名列表中按标签搜索和筛选域名,也可用于分账和权限管理。
单击添加标签,新增一组标签键值对。
支持使用键值粘贴板批量粘贴已有标签键值对。
支持历史记录快速选用此前使用过的标签。
4. 单击确定后返回域名接入页面,可查看防护域名、网关实例 ID 和名称等信息。
步骤 3:验证测试
在浏览器中输入网址
http://test.com/?test=alert(123) (模拟 Web 攻击的请求)并访问,浏览器返回阻断页面,说明 Web 应用防火墙防护功能正常。注意:
test.com为本案例中示例域名,此处需要将域名替换为实际添加的域名。