使用CDN时，如何接入堡塔云WAF · 堡塔云WAF安装使用教程

[TOC] # :-: **网站使用CDN时，如何接入堡塔云WAF** > 本教程略过源网站的搭建，默认您的网站已经可以通过CDN正常访问后再接入云WAF。 > 本教程使用CDN的提供商为七牛云 ## **未接入堡塔云WAF前** > ### **未接入堡塔云WAF前的网站架构:** > 用户访问CDN，CDN转发访问给网站服务器 > 如图用户 --> CDN --> 网站服务器 ![](https://img.kancloud.cn/3a/bc/3abc5b2de8110064c102f1f6e43671c8_967x371.png) CDN配置与网站域名信息： ![](https://img.kancloud.cn/17/54/1754cfc0176a00fee08c3480cb38d591_1323x507.png) ![](https://img.kancloud.cn/d9/4b/d94bd894f8268924333a0447096483e5_1400x209.png) * CDN域名（加速域名）、网站服务器网站域名: [cdntest.kern123.tk](http://cdntest.kern123.tk) * CDN回源配置IP、网站服务器IP：121.40.167.103 ## **接入堡塔云WAF后** > ### **接入堡塔云WAF后的网站架构:** > 用户访问CDN，CDN将转发访问给堡塔云WAF过滤，再将转发访问给网站服务器 > 新增加一台服务器IP为：**101.37.172.100** > 如图用户 --> CDN --> 堡塔云WAF --> 网站服务器 ![](https://img.kancloud.cn/9f/3a/9f3afe9a51266f6b0531e018ae2b5fcf_1749x594.png) * WAF防护网站、CDN域名、网站服务器网站域名：[cdntest.kern123.tk](http://cdntest.kern123.tk) * 堡塔云WAF、CDN回源配置IP：**101.37.172.100** * 网站服务器IP（源站地址）：121.40.167.103 ## **安装堡塔云WAF** 安装堡塔云WAF请参考：[安装堡塔云WAF](https://www.kancloud.cn/kern123/cloudwaf/3198567 ) 在这里就略过安装了安装完成，登录堡塔云WAF后添加防护网站 ## **添加防护网站** ### **网站列表 --> 添加防护网站** * 防护域名：[cdntest.kern123.tk](http://cdntest.kern123.tk) * 源站地址：121.40.167.103 * 网站服务器的网站没有设置SSL证书，所以使用**http** * 如果设置了SSL证书可以使用**https** * 如果网站有使用**强制HTTPS**，请使用 **`https`** 并且部署SSL证书，否则将提示重定向过多 * **CDN：已使用** * 请选择已使用，否则可能会拦截CDN的访问IP，导致用户无法正常访问提示：根据您的实际来输入，**检查域名的不一定准确** ![](https://img.kancloud.cn/1b/ce/1bce0abb933b605233720d02d8da0a98_813x738.png) #### **添加防护网站完成** ![](https://img.kancloud.cn/01/69/0169a24a1f55bd42fc6efbf934760594_1818x260.png) ### **修改CDN的回源配置IP地址为堡塔云WAF服务器的IP，请到CDN提供商处修改回源配置** > 从网站服务器IP: 121.40.167.103 修改成 **堡塔云WAF的IP：101.37.172.100** **修改前：** 121.40.167.103 ![](https://img.kancloud.cn/ca/7e/ca7ed737b6e970d16b7b2966b1d830ac_673x442.png) **修改后为：101.37.172.100** ![](https://img.kancloud.cn/1d/3a/1d3a5d092c810ba0b3c1150b75963211_676x467.png) 源站测试通过后点击确认 **注意：** 请根据您的CDN回源配置修改，教程中使用的是IP地址。如果CDN回源配置是源站域名，请将源站域名的A记录解析为堡塔云WAF的IP，并且在堡塔云WAF中添加源站域名的防护网站 >[warning] 提示：修改回源配置需要等待10-20分钟(或更长时间)才会生效 ## **测试堡塔云WAF** > 在CDN提供商修改回源配置生效后 ### **测试是否成功接入到堡塔云WAF** * ### **浏览器直接访问网站的域名** 使用浏览器访问网站域名： ``` http://cdntest.kern123.tk ``` 成功访问到网站： ![](https://img.kancloud.cn/1e/a8/1ea8add9bd797d5ba961b7ccd02b4a3b_1033x411.png) ### **如果无法访问请检查防火墙与安全组是否开放端口，默认需要开放 `80` `443` 端口** * ### **测试防护是否生效** 使用浏览器访问恶意链接： ``` http://cdntest.kern123.tk/?id=/etc/passwd ``` 防护生效： ![](https://img.kancloud.cn/90/33/90331fc5e38f0d7238a7356f2774c5ce_1031x600.png) ### **从堡塔云WAF查看访问数据** 1. 首页概览 **今日请求数**、**恶意请求数** 会增加 1 2. 网站列表 --> [cdntest.kern123.tk](http://cdntest.kern123.tk) **今日访问/拦截** 会增加1 ![](https://img.kancloud.cn/73/36/7336df70ac73f31f2de665678c771509_908x258.png) ### **教程总结** * 增加： 1. 增加服务器安装堡塔云WAF 2. 在堡塔云WAF添加防护网站 * 修改： 1. 修改CDN的回源配置 * 不变： 1. 网站服务器配置不变 2. 用户访问的域名不变 ## **如果是使用 Cloudflare 如何接入？** 在Cloudflare管理网站中将网站域名DNS的A记录解析，修改成堡塔云WAF服务器的IP 等待生效即可。参考：从网站服务器IP: 121.40.167.103 修改成 **堡塔云WAF的IP：101.37.172.100** 如果遇到问题可以参考：[常见问题](https://www.kancloud.cn/kern123/cloudwaf/3198570) 如无法解决、使用中有问题，请联系我们： **加入微信讨论群** <img width="239" alt="image" src="https://bt-1251050919.cos.ap-guangzhou.myqcloud.com/btwafGroup.png">