Web应用防火墙（WAF）的 SAAS 服务版本为客户在非百度云场景业务、云下业务提供应用安全防护功能，能够有效防御SQL注入、XSS跨站脚本、后门上传、非授权访问等各种常见Web攻击。用户需要在WAF实例中添加回源信息、并且完成域名的 CNAME 解析，WAF才能为您的域名提供web防护。

前提条件

1.已创建SaaS WAF实例

2.已通过CNAME接入模式在WAF中手动添加要防护的网站信息。

3.拥有在域名的DNS服务商处修改域名解析设置的权限。

4.已在源站服务器上放行WAF回源IP段

注意： 如果您的源站服务器上使用了其他服务商的安全软件或应用了特定的访问控制策略，您需在源站设置放行WAF回源IP段，避免由WAF转发回源站服务器的正常流量被误判断为异常攻击而被拦截，影响源站服务器的Web业务被正常访问

5.已通过本地验证确保转发配置生效后，再配置DNS解析修改Cname记录。

注意 建议您在完成 SAAS WAF 的转发配置后，先在本地绑定HOST的方式验证转发设置已经配置成功，再切换 CNAME 解析修改域名DNS解析设置，防止因配置错误导致业务中断。

创建SAAS WAF实例

1. 登录百度智能云控制台。
2. 登录成功后，选择“产品服务>Web应用防火墙 WAF”，进入WAF的控制台。
3. 左侧菜单中，选择 接入管理-资源列表，点击“购买WAF资源”按钮，进入WAF实例资源购买页面。

4. SaaS WAF 实例套餐说明：

   参数	说明
   地域	SaaS WAF 目前支持全局，根据客户不同区域，到对应WAF节点
   支持根域名数	每个WAF实例保护一个主域名
   支持子域名数	不同的套餐默认包含不等数量的子域名进行保护；根据业务需要，您也可以额外购买更多子域名进行防护
   自定义规则数	不同的套餐默认包含一定数量的自定义规则；根据业务需要，您也可以额外购买更多自定义规则
   网页防篡改	支持对页面进行静态缓存的方式，对网页进行防篡改保护
   BOT防护	支持 BOT 识别管理功能
   业务计费	支持 QPS、流量、带宽的业务保底计费模式。超量弹性开关开启时，遇到超出保底的情况，会对超量部分收取费用。超量弹性开关关闭时，遇到超出保底的情况，会对业务进行流量压制。

5. 选择购买时长和WAF实例个数，点击『下一步』，确认购买信息并支付。
6. 支付完成后，成功创建WAF实例，返回资源列表页查看。

接入管理

在完成资源创建后，在WAF控制台左侧菜单栏【接入管理】找到对应实例，在操作区域找到『接入配置』按钮，点击进行接入配置。

主域名设置

填写要防护的主域名，包括精确域名（例如www.baiduyunwaf.com），每个WAF实例仅支持填写一个主域名。

如果您是首次添加该域名，需要验证是否拥有该域名的归属权。通过后，才能成功添加主域名。

WAF

注意：

修改主域名，可能对业务造成中断影响，如需修改，请将子域名配置清空后修改。

Web应用防火墙回源IP网段列表：

网站接入WAF后，由于访问来源IP变得更加集中，访问频率变得更高，服务器上的防火墙或安全软件很容易认为这些IP在发起攻击，从而将WAF回源IP段拉黑。如果WAF的回源IP段被拉黑，WAF的请求将无法得到源站的正常响应。因此，在网站接入WAF后，应确保源站服务器已将WAF的全部回源IP放行（即加入白名单），否则可能会出现网站无法打开或打开极其缓慢等情况。

出于安全性考虑，建议您设置源站服务器的访问控制策略，只允许WAF回源IP段的入方向流量，避免攻击者绕过WAF直接对源站服务器发起攻击。

子域名设置

完成主域名设置后，即可对其子域名进行设置。

1.域名信息：

子域名：支持大小写字母数字，以及-.* 格式

CNAME地址：在子域下方查看并复制域名对应的WAF CNAME地址后，前往DNS控制台进行解析配置，配置指导见本文档下方步骤。

通过CNAME接入将网站域名添加到WAF后，网站所有的业务流量将被引流到WAF进行检测。WAF过滤Web应用攻击后，将正常的业务流量转发回源站服务器，从而保障网站的业务安全和数据安全。此时，WAF作为一个反向代理集群，同时参与流量的检测和转发。

2.转发设置：

Http协议：

• 转发协议支持 HTTP 或 HTTPS，其中 HTTP 转发的前端端口固定为80，回源协议也需要为 HTTP。

Https协议：

• HTTPS 转发的前端端口固定为 443。回源协议可以为 HTTP 或 HTTPS。
• 支持 HTTPS 强制转化，即对浏览器发出的 HTTP 请求强制转换成 HTTPS 请求。
• 证书支持添加服务器证书、CA证书、国密(SM2)标准证书

1.证书扩展名一般为“.pem”，“.crt”或“.cer”，可在文本编辑器中打开证书文件。

2.证书 PEM 格式：以“-----BEGIN CERTIFICATE-----”作为开头， “-----END CERTIFICATE-----” 作为结尾。

3.如果证书文件包含多份证书，需要人为的将服务器证书与中间证书拼接在一起上传。规则：服务器证书+中间证书。

4. 私钥扩展名一般为“.pem”或“.key”，在文本编辑器中打开私钥文件。
5. 私钥 PEM 格式：以“-----BEGIN PRIVATE KEY-----”作为开头， “-----END PRIVATE KEY-----” 作为结尾。

TLS协议版本： 自定义HTTPS通信中允许使用的TLS协议版本。如果客户端使用不符合要求的协议版本，WAF会丢弃其请求流量。此处设置的协议版本越高，通信安全性越好，但兼容性会有所降低。

建议您根据网站本身的HTTPS配置，选择允许WAF监听的TLS协议版本。如果您不清楚网站的HTTPS配置，建议使用默认选项。 可选项：

• 支持TLS1.0及以上版本，兼容性最高，安全性较低（默认）
• 支持TLS1.1及以上版本，兼容性较好，安全性较好 使用该选项后，如果客户端使用TLS 1.0版本，将无法访问网站。
• 支持TLS1.2及以上版本，兼容性较好，安全性最高 使用该选项后，如果客户端使用TLS 1.0和1.1版本，将无法访问网站。

回源算法： 支持 轮询 和 IP HASH。

回源地址： IP 或 域名。

WAF前是否有七层代理（高防/CDN等）：

无其他代理服务，选择否（默认） 表示WAF收到的业务请求由客户端直接发起，而非通过其他代理服务转发。该场景下，WAF会直接获取与WAF建立连接的IP,作为客户端IP。

有其他代理服务，选择是 表示WAF收到的业务请求来自其他七层代理服务转发，而非客户端直接发起。为保证WAF可以获取真实的客户端IP进行安全分析，您需要进一步设置客户端IP判定方式。

（默认）取X-Forwarded-For中的第一个IP作为客户端源IP,WAF默认读取请求Header字段X-Forwarded-For（XFF）中的第一个IP地址作为客户端IP。

【推荐】取指定Header字段中的第一个IP作为客户端源IP，避免XFF伪造。如果您的网站业务已通过其他代理服务的设置，规定将客户端源IP放置在某个自定义的Header字段（例如，X-Client-IP、X-Real-IP），则您需要选择该选项，并在指定Header字段框中输入对应的Header字段。

回源能力配置

建连超时时间：WAF和后端服务器的建连超时时间，支持4-600秒，默认：4秒

写连接超时时间：WAF将请求传输到后端服务器的超时时间，支持30-3600秒，默认60秒

读连接超时时间：WAF从后端服务器读取响应的超时时间，支持30-3600秒，默认60秒

回源长连接：WAF回源长连接可服用次数，支持60-1000个，默认100个

回源重试：开启该功能后，如果回源失败，WAF会默认为每个源站尝试回源三次。关闭该功能后，如果回源失败，WAF将不再进行重试，默认3次

空闲长连接超时时间：空闲长连接超时时间，支持1-300秒，默认15秒

开启IPV4/IPV6：

IPv6防护为网站防御IPv6环境下发起的攻击，帮助源站实现IPv6协议请求的安全防护。 开启IPv6安全防护功能后，WAF的CNAME地址将实现双路解析。解析规则如下：

IPv4客户端发起的解析请求将解析到一个IPv4地址的防护集群。 IPv6客户端发起的解析请求将解析到一个IPv6地址的防护集群。 双路解析实现了对IPv4和IPv6流量的威胁检测与防御，并将安全的访问流量转发至源站服务器。

云解析DNS修改域名解析

如果您的域名解析托管在百度云解析DNS，您可以直接参照以下步骤进行操作。如果您使用其他服务商的DNS服务，请参照以下步骤在域名DNS服务商的系统上进行类似配置。

1.登录云解析DNS控制台

2.在域名解析页面，定位到要设置的域名，单击其操作列下的解析设置。

3.在修改记录对话框，选择记录类型为CNAME，修改记录值为WAF CNAME地址，其余设置保持不变。

4.验证DNS解析设置。您可以ping网站域名或使用DNS检测工具验证DNS解析是否生效。

说明：由于DNS解析记录生效需要一定时间，如果验证失败，您可以等待10分钟后重新验证。