可以参照以下架构为源站同时部署WAF和DDoS高防：DDoS高防IP（入口层，实现DDoS防护）> Web应用防火墙（中间层，实现应用层防护）> 源站。

操作步骤

在Web应用防火墙中添加网站配置。具体操作请参考网站配置。服务器地址：勾选IP并填写ECS公网IP、SLB公网IP，或云外机房服务器的IP。WAF前是否有七层代理（高防/CDN等）：勾选是。在高防IP中添加网站配置。操作步骤如下：防护网站：填写被防护网站的域名。协议类型：勾选源站支持的协议类型。源站IP/域名：勾选源站域名并填写Web应用防火墙生成的CNAME地址。说明 关于如何查看WAF生成的CNAME地址，请参考WAF接入指南。在接入 > 网站页面，单击添加域名。在填写域名信息任务中， 完成以下配置：

单击下一步。完成任务选择实例与线路。变更域名的DNS解析。登录域名的DNS系统，添加一条CNAME记录，将网站域名的解析地址指向DDoS高防生成的CNAME地址。

网站接入高防CNAME的步骤购买高防IP。登录云盾DDoS防护管理控制台，添加域名，配置转发规则。

至域名服务商处修改DNS解析配置，将域名解析至高防的CNAME记录。

等待DNS生效（大约在几分钟内），网站即完成了通过CNAME接入DDoS高防。测试网站访问是否正常。DDoS高防CNAME解析的时候对于运营商线路如何解析？一般针对电信线路会解析到电信高防，联通线路解析到联通高防，其他运营商（如教育网、移动、铁通、长城宽带等）解析到BGP高防。已配置分链路解析，使用CNAME接入后如何配置？一般情况下您只需要一条默认线路的CNAME解析即可替换之前的分链路解析，智能解析的过程由阿里云自动完成。DDoS高防提供的CNAME地址已经具备分链路解析的能力，我们会检测该CNAME记录对应的域名在电信、联通、BGP的配置是否存在，如果存在就会在这三条线路中自动进行分链路解析。

文章转载自:http://yun.jinre.com/newsinfo/771752.html