阿里云DNS解析状态异常说明

作者阿里云代理 文章分类 分类:新闻快递 阅读次数 已被围观 1353

Web应用防火墙配置完成后,您可以登录云盾Web应用防火墙控制台,在管理 > 网站配置页面查看域名的接入状态,即DNS解析状态。

正常接入的结果如下图:

如果DNS解析状态提示异常,则WAF可能没有正确接入。如果您确认已将域名解析到WAF的CNAME地址,并且业务访问也都正常,可以忽略此处的提示。

DNS解析状态判断条件

WAF根据以下条件判断域名的DNS解析状态:

说明

满足其中一个条件就判断为接入正常,会提示已接入WAF防护。

•条件1:接入的域名是通过CNAME解析过来的。

•条件2:接入的域名有一定的流量。在五秒内至少有多于10个请求才判断为有一定流量。如果每分钟只有两、三个请求,则流量太低,判断为无流量。历史流量可在攻击防护报表下的CC攻击报表中查看。

推荐您使用CNAME而不是A记录的方式接入WAF,因为前者可以在机房故障等极端情况下切换到其他的节点或机房,实现灾备,使用A记录接入时则无法实现灾备。正常情况下,WAF也支持使用A记录接入。

常见DNS解析异常状态

•当您使用精确域名(不包含“*”的域名,如example.abc.com)接入WAF时,如果既没有CNAME接入,又没有流量,则会显示以下异常状态:

•当您使用泛域名(如*.abc.com)接入WAF时,除了正常的解析状态,只会出现以下一种异常状态:

•WAF前部署了CDN等代理

假如接入架构为CDN>WAF,则域名解析在CDN上,这时不会检测到WAF有CNAME接入。通常CDN回源WAF的流量会很低,可能会由于流量太小而引起接入状态异常。所以,如果确认配置没有问题,接入状态显示异常并不一定代表WAF没有正确接入。

关于CDN结合Web应用防火墙的配置,请参考 Web应用防火墙(中间,实现应用层防护)> 源站。">CDN结和WAF。

如何手动测试WAF在正常防护网站

访问WAF防护的网址(如www.abc.com),网页可以正常打开。

在网址的URL后面加/?alert(xss)(如www.abc.com/?alert(xss)),继续访问。这是一个Web攻击的测试请求,如果弹出WAF阻拦该请求的405页面,则说明WAF防护在正常工作。

本公司销售:阿里云、腾讯云、百度云、天翼云、金山大米云、金山企业云盘!可签订合同,开具发票。

我有话说: