如果您的 Web 业务启用了腾讯云应用负载均衡(Cloud Load Balancer,简称 CLB),您可以在云原生型 WAF 实例中接入精准域名防护,以及开启对象默认策略防护。本文档将指导您如何在 Web 应用防火墙控制台中,添加精准域名防护并绑定负载均衡。
操作步骤
1. 登录 Web 应用防火墙控制台,在左侧导航栏中,选择接入管理 > 域名接入。
2. 在域名接入页面,单击添加域名,选中云原生型 WAF 实例,配置相关参数,单击确定即可。
字段说明
所属实例:选择云原生型和对应云原生型 WAF 实例名称。
域名:在域名输入框中添加需要防护的域名如
clb.technicalsupport.cn。流量来源:选择 CLB。
代理情况:根据实际业务情况选择是否使用高防、CDN、云加速等代理服务。
选择否:WAF 接收的请求直接来自客户端。WAF 将与客户端建立连接的 IP 地址作为客户端 IP。
选择是:WAF 接收的请求来自其他七层代理服务。为确保获取真实客户端 IP 以进行安全分析,需设置客户端 IP 判断方法:
读取请求 Header 字段 X-Forwarded-For (XFF) 中的第一个 IP 地址作为客户端 IP。
获取网络层的 remote_ip 作为客户端源 IP,防止 XFF 伪造。
获取指定 Header 字段的 IP 地址。
说明:
建议在业务中使用自定义 Header 存放客户端 IP,并在 WAF 中配置对应 Header 字段。此方式可降低攻击者通过伪造 XFF 字段绕过 WAF 防护规则的风险,提升业务安全性。
国内地域:根据实际需求选择。
防护对象组:选择已绑定的 web 规则模板对应的防护对象组,自动生效自定义 web 规则模板。
选择域名对应的负载均衡监听器:根据实际需求选择和配置接入域名的监听器信息。
说明:
1. WAF 支持公网和内网的应用云原生型实例流量接入防护,可通过网络类型字段进行查看和筛选。
2. 仅企业版以及以上版本支持内网应用负载均衡实例流量接入防护,企业版以下版本升级至企业版后可支持。
3. 支持为空监听器(无绑定后端服务的监听器) 的域名进行接入,用来覆盖 CLB 实例监听器的默认域名和 CLB 实例的对象接入带来的 Web 流量(如自定义域名 api.example.com 或直接通过 CLB 的 VIP 访问)防护。
备注:输入域名的备注信息(选填),便于后续管理和识别域名用途。
标签:为接入域名配置资源标签,支持按标签键和标签值进行标记。配置标签后,可在域名列表中按标签搜索和筛选域名,也可用于分账和权限管理。
单击添加标签,新增一组标签键值对。
支持使用键值粘贴板批量粘贴已有标签键值对。
支持历史记录快速选用此前使用过的标签。
3. 单击确定,即可返回域名接入。在域名接入可以查看到防护域名
clb.technicalsupport.cn 和负载均衡实例的 ID、名称、防护模式和回源地址信息等。