云上自定义网关接入

最近更新时间:2026-07-03 11:16:02

我的收藏
如果您的业务在腾讯云上部署了自建应用网关(如 Nginx、Kong、APISIX 等)且有 Web 防护需求,您可以在 Web 应用防火墙控制台中接入云上自定义网关,通过终端节点实现自建网关与 WAF 集群的网络连通,对经过自建网关的流量进行安全防护。本文档将指导您如何配置云上自定义网关接入,包括添加域名、创建终端节点、完成流量牵引等操作步骤。

步骤 1:配置 WAF

1. 登录 Web 应用防火墙控制台,在左侧导航栏顶部,将控制台切换至实例所在区域(中国大陆/非中国大陆)。
2. 在左侧导航栏中,选择接入管理 > 域名接入
3. 在域名接入页面,单击添加域名
4. 在添加域名窗口中,填写相关配置参数。
字段说明
所属实例:选择云原生型和对应云原生型 WAF 实例名称。
域名:在域名输入框中添加需要防护的域名如test.com
流量来源:选择云上自定义网关。
代理情况:根据实际业务情况选择是否使用高防、CDN、云加速等代理服务。
选择:WAF 接收的请求直接来自客户端。WAF 将与客户端建立连接的 IP 地址作为客户端 IP。
选择:WAF 接收的请求来自其他七层代理服务。为确保获取真实客户端 IP 以进行安全分析,需设置客户端 IP 判断方法:
读取请求 Header 字段 X-Forwarded-For (XFF) 中的第一个 IP 地址作为客户端 IP。
获取网络层的 remote_ip 作为客户端源 IP,防止 XFF 伪造。
获取指定 Header 字段的 IP 地址。
说明:
建议在业务中使用自定义 Header 存放客户端 IP,并在 WAF 中配置对应 Header 字段。此方式可降低攻击者通过伪造 XFF 字段绕过 WAF 防护规则的风险,提升业务安全性。
国内地域:根据实际需求选择。
防护对象组:选择已绑定的 web 规则模板对应的防护对象组,自动生效自定义 web 规则模板。
备注:输入域名的备注信息(选填),便于后续管理和识别域名用途。
标签:为接入域名配置资源标签,支持按标签键和标签值进行标记。配置标签后,可在域名列表中按标签搜索和筛选域名,也可用于分账和权限管理。
单击添加标签,新增一组标签键值对。
支持使用键值粘贴板批量粘贴已有标签键值对。
支持历史记录快速选用此前使用过的标签。
5. 在添加域名窗口中部后续事项区域,查看服务信息,这些信息用于 步骤 2:创建终端节点


步骤 2:创建终端节点

1. 前往 私有网络控制台,在左侧导航栏中,选择私有连接 > 终端节点
2. 在终端节点页面左上角地域下拉框,选择 步骤 1:配置 WAF 中选择的地域。
3. 单击新建,使用步骤 1 中获取的服务信息创建终端节点。具体操作请详见 创建终端节点
4. 创建完成后,返回 WAF 控制台添加域名窗口,单击确定保存域名配置。
5. 返回域名接入页面,可查看防护域名、网关实例 ID 和名称等信息。

步骤 3:验证测试

在浏览器中输入网址 http://test.com/?test=alert(123) (模拟 Web 攻击的请求)并访问,浏览器返回阻断页面,说明 Web 应用防火墙防护功能正常。
注意:
test.com为本案例中示例域名,此处需要将域名替换为实际添加的域名。