SaaS型WAF如何接入腾讯云的web应用防火墙

步骤 1：域名添加

使用 Web 应用防火墙（WAF）防护您的 Web 业务前，需要先将防护的网站接入到 Web 应用防火墙。未完成接入前，您的 Web 应用防火墙防护将无法生效。本文档将指导您如何在 SaaS 型 WAF 中接入域名。

登录 Web 应用防火墙控制台，在左侧导航栏中，选择资产中心 > 域名列表，进入域名列表页面。
在域名列表页面，单击添加域名，进入添加域名页面。
在添加域名页面，配置相关基础参数。

字段说明
- 所属实例：选择 SaaS 型，在右侧选择所需实例。
- 域名：在域名输入框中添加需要防护的域名 saas.technicalsupport.cn。
- 服务器配置：协议和端口可按实际情况选择。更多端口添加请参见接入相关端口。
- 选择 HTTP 协议，输入端口。
- 选择 HTTPS 协议，输入端口后需要配置关联证书、HTTPS 强制跳转和 HTTPS 回源方式。
  - 关联证书：单击关联证书，根据需求选择腾讯云托管证书或自有证书。
  - HTTPS 强制跳转：如需开启 HTTPS 强跳，需同时勾选 HTTP 和 HTTPS 访问协议。
  - HTTPS 回源方式：HTTP 或 HTTPS。
    
    说明：
    
    选择 HTTP 时可以指定回源端口。选择 HTTPS 暂不支持指定回源端口，端口和对外开放端口一致。
- 代理情况：根据实际情况选择是否已使用了高防、CDN、云加速等代理。
  
  说明：
  
  选择“是” ，WAF 将通过 XFF 字段获取客户真实 IP 地址作为源地址，勾选可能存在源 IP 被伪造的风险。
- 源站地址：根据实际需求选择 IP 或域名。
  - IP:请输入源站IPv4或v6地址，用回车分隔多个IP，最多支持输入20个。
  - 域名：请输入源站域名，注意：源站域名不能和防护域名相同。
  - 加权回源：当源站地址设置多 IP 回源时。可以选择加权回源方式。
- 负载均衡策略： 默认为轮询方式，可根据实际需求选择轮询或 IP Hash。
配置完基础参数后，可根据需求配置高级参数，单击确定保存。

字段说明
- 回源连接方式：默认使用长连接回源，请确认源站是否支持长连接，若不支持，即使设置长连接，也会使用短连接。
- 开启 HTTP2.0：请确保您的源站支持并开启了 HTTP2.0，否则，即使配置开启2.0也将降级1.1。
- 开启 Websocket：如果您的网站使用了 Websocket，建议您选择是。
- 开启 AnyCastIP：当前账户下同一地域的所有实例使用同一个 AnyCastIP。
完成配置后，可在域名列表看到刚刚添加的域名。当前界面显示未配置 CNAME 记录，需要本地验证测试后，再修改 DNS 解析。

说明：

Web 应用防火墙将会为每个添加到 Web 应用防火墙的域名（不区分一级域名和二级域名）分配一个唯一的 CNAME。

步骤 2：本地测试

本地机器访问网站需要做 DNS 解析，在这之前会优先从本地 hosts 文件中获取目标域名对应的 IP 地址。所以可以用修改 hosts 文件的方式把本地的访问流量导向 Web 应用防火墙，从而测试经过 Web 应用防火墙访问 Web 站点的线路连通性，避免直接修改 DNS 解析记录，影响到公网用户对站点的访问。

登录 Web 应用防火墙控制台，在左侧导航栏中，选择资产中心 > 域名列表，在域名列表中查看 saas.technicalsupport.cn 的 CNAME 地址。

如需要获取对应域名的 VIP 地址，可通过 ping 该 CNAME 地址获取。
i. 在 Windows 操作系统中，打开 cmd 命令行工具。
ii. 执行以下命令：ping <已复制的 WAF CNAME 地址>。

iii. 在 ping 命令的返回结果中，记录域名对应的 WAF IP 地址，即为后续操作需要的 VIP 地址。
修改 hosts 文件。
- 在 Windows 下修改 C:\Windows\System32\drivers\etc\hosts，增加条目。
  格式：VIP 地址+接入 Web 应用防火墙的域名。
  
  说明：
  
  本文中的1.1.1.1为测试地址，实际使用中此处应为 VIP 地址。
在 Linux 下修改/etc/hosts，增加条目。
格式：VIP 地址+接入 Web 应用防火墙的域名。
访问测试
在本地电脑上访问 Web 站点，若站点能够正常打开，说明 Web 应用防火墙访问 Web 源站的线路连通性正常。
i. 在浏览器中输入下面的网址并访问。
```
http:// saas.technicalsupport.cn/?test=alert(123)  
```
ii. 浏览器返回阻断页面，说明 Web 应用防火墙防护功能正常。

说明：

该拦截页面，可以通过访问： Web应用防火墙(WAF)默认提示页面获取。

步骤 3：修改 DNS 解析

为了使公网用户访问网站的流量经过 Web 应用防火墙的防护，需要修改 DNS 的解析记录。下面以在腾讯云 DNS 解析 DNSPod 上修改测试站点 waf.qcloudwaf.com 的 DNS 解析为例，说明配置步骤。

登录 DNS 解析 DNSPod 控制台，在左侧导航栏中，单击我的域名，找到需要接入 Web 应用防火墙的域名.technicalsupport.cn，单击解析进入解析配置界面。
单击添加记录。
在当前配置页面中填写相应信息。
- 主机记录填写对应网站的主机记录，本例中需要防护的是saas.technicalsupport.cn，即填写 saas 。
- 记录类型选择 CNAME。
- 记录值填写 Web 应用防火墙分配的 CNAME 域名，分配的 CNAME 域名样式为：xxxx.qcloudcjgj.com。
- 填写完毕后，单击保存。
修改完成之后，待 DNS 记录生效，Web 应用防火墙即可对访问网站的流量进行防护了。同时，Web 应用防火墙检测到被防护域名解析正常之后，Web 应用防火墙控制台上将提示 “正常防护”。

说明：

DNS 记录生效需要10分钟左右时间。

步骤 4：设置安全组

安全组是腾讯云提供的实例级别防火墙，可对任意云服务器进行入或出流量控制。在安全组中设置仅允许来自 Web 应用防火墙的流量访问网站，可避免攻击者绕过 Web 应用防火墙直接攻击网站源站。
下面以在安全组中放行 Web 应用防火墙的回源 IP 111.230.27.90 为例，说明配置过程。

注意：

回源 IP 可在 Web 应用防火墙控制台的域名列表中查看。

登录云服务器控制台，在左侧目录中，单击安全组。
进入安全组页面，单击新建，根据要求填写信息，模板选择自定义，输入安全组的名称（例如 my-security-group），填写相关备注，填写完成后，单击确定。
在安全组列表中，找到刚才新建的安全组，单击其 ID 进入详情页。
在入站规则页面中，单击添加规则。
在弹出框中填写相关信息，类型选择 “HTTP（80）” ，来源中填写需要放行的回源 IP，根据需求填写端口及策略，填写完毕后，单击完成。
单击选项卡中的关联实例，在云服务器页面下，单击新增关联。
在弹出框中选择需要绑定的云服务器，单击确定即可。

或者您还可以进入云服务器列表页，查看或修改某云服务器已绑定的安全组，在列表页选择需要调整安全组的云服务器 ID，在右侧操作栏，选择更多 > 安全组 > 配置安全组，选择安全组进行绑定。