使用 Web 应用防火墙（WAF）防护您的 Web 业务前，需要先将防护的网站接入到 Web 应用防火墙。未完成接入的网站将无法获得 WAF 防护。

本文档将指导您如何在 SaaS 型 WAF 中完成域名接入操作。

若接入的源站域名位于中国大陆地区，源站业务内容必须合法，并完成工信部备案。具体备案要求请参阅 。

1. 域名格式要求：支持接入标准域名（如 example.com、a.b.example.com）。单域名接入配置仅对该域名生效。

2. 泛域名格式要求：同一账号下支持精准域名（如 a.path.example.com）与泛域名（如 *.path.example.com）同时接入。系统优先匹配精准度更高的策略。不同账号间不得接入同一泛域名下的域名。

​HTTPS 协议​：输入端口后需配置关联证书、HTTPS 强制跳转及 HTTPS 回源方式。

普通证书配置：启用 HTTPS 协议时，需将网站域名关联的 SSL 证书配置至 WAF，以便监听和防护该域名的 HTTPS 业务流量。单击关联普通证书，可选择以下两种方式配置证书：

腾讯云托管证书：从已上传至 SSL 证书管理的证书中选择关联。推荐使用此方式，证书到期可自动续期。

上传自有普通证书：支持直接粘贴证书内容或上传证书文件。上传前需准备 PEM 编码格式的证书文件和私钥文件。

推荐使用腾讯云证书服务管理证书，便于统一管理和自动续期。

使用第三方签发的证书时，需自行关注证书到期时间并及时更新，避免因证书过期导致业务中断。

国密证书配置：若网站需支持国密 SM2 算法，需上传国密证书。国密证书与普通证书可同时生效。此功能仅企业版及以上版本支持。单击关联国密证书，可选择以下两种方式配置证书：

腾讯云托管国密证书：从已上传至 SSL 证书管理的国密证书中选择关联。推荐使用此方式，证书到期可自动续期。

上传自有国密证书：支持直接粘贴证书内容或上传证书文件。上传前需准备 PEM 编码格式的证书文件、私钥文件、加密证书文件和加密密钥。

HTTPS 强制跳转：如需开启 HTTPS 强制跳转，需同时勾选 HTTP 和 HTTPS 访问协议。

回源 SNI 开关：开启后，支持用户设置 host 的方式为保持源请求 host、修改为源站 host，以及自定义 host。

代理情况：根据实际业务情况选择是否使用高防、CDN、云加速等代理服务。

选择否：WAF 接收的请求直接来自客户端。WAF 将与客户端建立连接的 IP 地址作为客户端 IP。

选择是：WAF 接收的请求来自其他七层代理服务。为确保获取真实客户端 IP 以进行安全分析，需设置客户端 IP 判断方法：

读取请求 Header 字段 X-Forwarded-For (XFF) 中的第一个 IP 地址作为客户端 IP。

获取网络层的 remote_ip 作为客户端源 IP，防止 XFF 伪造。

建议在业务中使用自定义 Header 存放客户端 IP，并在 WAF 中配置对应 Header 字段。此方式可避免攻击者伪造 XFF 字段，绕过 WAF 防护规则，提升业务安全性。

自定义分流回源：支持将不同流量转发至不同源站地址。配置字段支持 HOST 或 URL 地址，匹配方式包括等于、不等于、属于、不属于四种逻辑关系，匹配内容支持用户自定义。回源策略支持配置轮询和 IP HASH 两种方式。

当前自定义分流回源策略处于灰度发布阶段。如需启用此功能，请 提交工单申请或联系专属客户经理咨询开通事宜。

IP：输入源站 IPv4 或 IPv6 地址，多个地址用回车分隔，最多支持输入 50 个。

负载均衡策略：支持轮询、IP Hash 与加权轮询策略。配置两个及以上源站 IP 地址时，支持选择加权轮询策略，默认采用轮询方式。

5. 完成基础参数配置后，可根据需求设置高级参数。高级设置提供两种模式：

常规业务场景配置：适用于常规 Web 业务或 API 服务的域名。

大模型业务场景配置：适用于有大模型 API / 生成式 AI 服务的域名。

开启 LLM WAF 增值能力后，支持配置 SSE 协议接入。普通模式下不支持 SSE 协议接入。

开启代理缓存​：启用后，WAF 可缓存部分从源站获取的内容，当用户请求相同内容时直接从缓存返回，降低源站压力。若业务依赖 SSE，建议关闭代理缓存以确保数据实时更新。

​回源连接方式​：默认使用长连接回源。请确认源站是否支持长连接；若不支持，即使设置为长连接，系统仍将使用短连接。

​写/读超时时长​：自定义 WAF 向源站发送请求数据和等待响应的超时时限，默认 300 秒，范围 1~600 秒。

​TLS 版本​：支持多种 TLS 版本选择。WAF 会默认拦截不在指定范围内的 TLS 协议版本和加密套件的访问流量。为确保业务正常运行，请谨慎选择。

​加密套件模板​：支持通用型模板、安全型模板及自定义模板。

​开启 HTTP2.0​：请确保源站支持并已开启 HTTP2.0，否则即使配置开启也将降级为 1.1。

​开启 WebSocket​：若网站使用 WebSocket，建议选择启用。

​开启 XFF 重置​：支持清空 X-Forwarded-For 字段值。请确认 WAF 前无七层代理服务后再启用。

​回源 HOST​：可选择保持源 HOST 或自定义回源 HOST。

​源站拨测服务​：用于探测域名在 WAF 上的服务 IP 和源站的可访问性，支持自动化运维告警和排障，建议启用。

Web 应用防火墙将为每个添加的域名（包括一级域名和二级域名）分配唯一的 CNAME。

当您添加完域名后，可执行如下步骤：