接口功能介绍 查询日志内容 接口约束 传参规范 URI POST /vfw/bb9fdb42056f11eda1610242ac110002/v2getrawlog 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 urlType 是 String 请求地址类型 CTAPI loggroup 是 String 日志组id logunit 是 String 日志单元id page 是 Integer 页数 size 是 Integer 每页数量 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 startTime 是 String 开始时间 endTime 是 String 结束时间 响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 状态码 message String 返回信息 成功 error String 错误码：CFW0000 :成功!;CFW0001:参数错误！;CFW0002：业务错误！ CFW0000 returnObj String 接口返回结果 GetRawLogView 表 GetRawLogView 参数 参数类型 说明 示例 下级对象 resultcode String 返回码 pages String 页数 total Long 总数 realtotal Long 真实数量 rawlogs Array of Objects 日志列表 rawLogView 表 rawLogView 参数 参数类型 说明 示例 下级对象 hostid String 主机名 time String 时间 ipproto Integer IP协议 1:v4; 2:v6 proto Integer 协议 1:icmp; 6:tcp; 17:udp sip String 源IP dip String 目的IP sport Integer 源端口 dport Integer 目的端口 dir Integer 方向 1:in2out; 2:out2in appid Integer 应用id action Integer 动作, 1:pass; 2:drop ruleid Long 规则id（入侵防御/访问控制/流量日志有） level String 事件等级, 1:Low; 2:Middle; 3:High （入侵防御/访问控制日志有） origin Integer 来源, 1:基础防御 2:虚拟补丁 3:访问控制 4:黑名单 5:白名单 （入侵防御/访问控制日志有） originbytes Long 正向字节数（流量日志有） originpackets Long 正向报文数（流量日志有） responsebytes Long 应答字节数（流量日志有） responsepackets Long 应答报文数（流量日志有） origintime String 发起时间（流量日志有） terminaltime String 终止时间（流量日志有） gwlbeid String gwlbe id（入侵防御日志有） className String 攻击类型（入侵防御日志有） virus String 病毒名称 (病毒日志有) md5 String md5值 (病毒日志有)

参数 参数类型 说明 示例 下级对象 statusCode String 状态码 message String 返回信息 成功 error String 错误码：CFW0000 :成功!;CFW0001:参数错误！;CFW0002：业务错误！ CFW0000 returnObj Object 接口返回结果 null

参数 参数类型 说明 示例 下级对象 statusCode String 状态码 message String 返回信息 成功 error String 错误码：CFW0000 :成功!;CFW0001:参数错误！;CFW0002：业务错误！ CFW0000 returnObj Object 接口返回结果 SyncVrfLogEntity

参数 参数类型 说明 示例 下级对象 subnetCheck String VPC子网配额检查 normal正常warn告警 error错误 routeQuotaCheck String 路由表配额配额检查 同上 routeRuleQuotaCheck String 默认路由表检查 同上 subnetRouteCheck String 子网路由表检查 同上 subnetCheckResult Array of Strings VPC子网配额检查详情 VPC下子网数已超过5个(请提工单提升子网配额，已提升请忽略) routeQuotaCheckResult Array of Strings 路由表配额配额检查详情 路由表超过100个(请提工单提升路由表配额，已提升请忽略) routeRuleQuotaCheckResult Array of Strings 默认路由表检查详情 默认路由表规则超过100条，请处理 subnetRouteCheckResult Array of Strings 子网路由表检查详情 xxx没有自定义路由表；xxx路由表规则大于100

接口功能介绍 降配配额最低值 接口约束 传参规范 URI GET /vfw/v2minquota 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 urlType 是 String 请求地址类型 CTAPI regionId 是 String 资源池id 100054c0416811e9a6690242ac110002 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 状态码 message String 返回信息 成功 error String 错误码：CFW0000 :成功!;CFW0001:参数错误！;CFW0002：业务错误！ CFW0000 returnObj Object 接口返回结果 MinQuotaVo 表 MinQuotaVo 参数 参数类型 说明 示例 下级对象 protectIpNum Integer 防护ip最小值 vpcQuota Integer vpc配额最小值 1 枚举参数 无 请求示例 请求url 无 请求头header { "regionid": "100054c0416811e9a6690242ac110002", "urlType": "CTAPI" } 请求体body {} 响应示例 { "statusCode": "800", "error": "CFW0000", "message": "成功!", "returnObj": [ "protectIpNum": 20, "vpcQuota": 3 } }

参数 是否必填 参数类型 说明 示例 下级对象 urlType 是 String 请求地址类型 CTAPI regionId 是 String 资源池id 100054c0416811e9a6690242ac110002

参数 参数类型 说明 示例 下级对象 ecName String 云间高速实例名称 ecId String 云间高速实例ID cgwId String 云网关ID cgwName String 云网关名称 vpcId String vpc id vpcName String vpc名称 vpcCidr String vpc的网段 regionName String 资源池名称 protectStatus Boolean 防护状态false;true

枚举参数 无 请求示例 请求url 无 请求头header { "regionid": "100054c0416811e9a6690242ac110002", "urlType": "CTAPI" } 请求体body {} 响应示例 { "statusCode": "800", "error": "CFW0000", "message": "成功!", "returnObj": { "vpcFlowMax": 31751795, "percentage": 1.16, "vpcFlowProcessingCapacity": 2600, "vpcPeerProtectCount": 2, "vpcPeerUnProtectCount": 0, "cdaProtectCount": 0, "cdaUnProtectCount": 0, "ecProtectCount": 1, "ecUnProtectCount": 2, "vpcUsedQuotaCount": 3, "vpcUnUsedQuotaCount": 7, "vpcQuotaCount": 10 } } 状态码 请参考 状态码 错误码 请参考 错误码

参数 参数类型 说明 示例 下级对象 statusCode String 状态码 message String 返回信息 成功 error String 错误码：CFW0000 :成功!;CFW0001:参数错误！;CFW0002：业务错误！ CFW0000 returnObj String 接口返回结果

参数 参数类型 说明 示例 下级对象 statusCode String 状态码 message String 返回信息 成功 error String 错误码：CFW0000 :成功!;CFW0001:参数错误！;CFW0002：业务错误！ CFW0000 returnObj Object 接口返回结果 null

参数 是否必填 参数类型 说明 示例 下级对象 urlType 是 String 请求地址类型 CTAPI regionId 是 String 资源池id 100054c0416811e9a6690242ac110002

状态码 请参考 状态码 错误码 请参考 错误码

参数 参数类型 说明 示例 下级对象 method String 获取method类别的规则 methodCn String 获取method类别的规则中文

本节介绍WAF对SQL注入、XSS等漏洞的检测原理。 WAF对SQL注入的检测原理？ SQL（Structured Query Language）注入攻击是一种常见的Web攻击方法，攻击者通过把SQL命令注入到数据库的查询字符串中，最终达到欺骗服务器执行恶意SQL命令的目的。例如，可以从数据库获取敏感信息，或者利用数据库的特性执行添加用户、导出文件等一系列恶意操作，甚至有可能获取数据库乃至系统用户最高权限。 WAF针对SQL注入攻击的检测原理是检测SQL关键字、特殊符号、运算符、操作符、注释符的相关组合特征，并进行匹配。 SQL关键字（如 union，Select，from，as，asc，desc，order by，sort，and ，or，load，delete，update，execute，count，top，between，declare，distinct，distinctrow，sleep，waitfor，delay，having，sysdate，when，dbauser，case，delay 等） 特殊符号（’”,; ()） 运算符（±/%） 操作符（，>, , 、’、”） 外部链接（href“http：//xxx/”，src"http：//xxx/attack.js"） 说明 如果业务需要上传富文本，可以用multipart方式上传，不用body方式上传，放在表单里，即使base64编码也会解码。分析业务场景，建议限制引号、尖括号输入。

本章节主要介绍WAF权限及授权项。 如果您需要对您所拥有的WAF进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，IAM），如果登录账号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用WAF服务的其它功能。 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使用户组中的用户获得相应的权限，这一过程称为授权。授权后，用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度，分为角色和策略。角色以服务为粒度，是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略授权更加精细，可以精确到某个操作、资源和条件，能够满足企业对权限最小化的安全管控要求。 支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。 权限：允许或拒绝某项操作。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 权限 授权项 :: 查询防敏感信息泄漏规则 waf:antiLeakageRule:get 查询网页防篡改规则 waf:antiTamperRule:get 查询CC攻击防护规则 waf:ccRule:get 查询精准访问防护规则 waf:preciseProtectionRule:get 查询误报屏蔽规则 waf:falseAlarmMaskRule:get 查询隐私屏蔽规则 waf:privacyRule:get 查询黑白名单规则 waf:whiteBlackIpRule:get 查询地址位置访问控制规则 waf:geoIpRule:get 查询证书 waf:certificate:get 修改WAF证书 waf:certificate:put 查询防护事件 waf:event:get 查询防护域名 waf:instance:get 查询防护策略 waf:policy:get 查询用户套餐信息 waf:bundle:get 查询防护事件下载链接 waf:dumpEventLink:get 查询页面配置信息 waf:consoleConfig:get 查询回源IP段 waf:sourceIp:get 更新防敏感信息泄漏规则 waf:antiLeakageRule:put 更新网页防篡改规则 waf:antiTamperRule:put 更新CC攻击防护规则 waf:ccRuleRule:put 更新精准访问防护规则 waf:preciseProtectionRule:put 更新误报屏蔽规则 waf:falseAlarmMaskRule:put 更新隐私屏蔽规则 waf:privacyRule:put 更新黑白名单规则 waf:whiteBlackIpRule:put 更新地址位置访问控制规则 waf:geoIpRule:put 更新防护域名 waf:instance:put 更新防护策略 waf:policy:put 删除防敏感信息泄漏规则 waf:antiLeakageRule:delete 删除网页防篡改规则 waf:antiTamperRule:delete 删除CC攻击防护规则 waf:ccRule:delete 删除精准访问防护规则 waf:preciseProtectionRule:delete 删除误报屏蔽规则 waf:falseAlarmMaskRule:delete 删除隐私屏蔽规则 waf:privacyRule:delete 删除黑白名单规则 waf:whiteBlackIpRule:delete 删除地址位置访问控制规则 waf:geoIpRule:delete 删除防护域名 waf:instance:delete 删除防护策略 waf:policy:delete 创建防敏感信息泄漏规则 waf:antiLeakageRule:create 创建网页防篡改规则 waf:antiTamperRule:create 创建CC攻击防护规则 waf:ccRule:create 创建精准访问防护规则 waf:preciseProtectionRule:create 创建误报屏蔽规则 waf:falseAlarmMaskRule:create 创建隐私屏蔽规则 waf:privacyRule:create 创建黑白名单规则 waf:whiteBlackIpRule:create 创建地址位置访问控制规则 waf:geoIpRule:create 创建证书 waf:certificate:create 创建防护域名 waf:instance:create 创建防护策略 waf:policy:create 查询防敏感信息泄漏规则列表 waf:antiLeakageRule:list 查询网页防篡改规则列表 waf:antiTamperRule:list 查询CC攻击防护规则列表 waf:ccRuleRule:list 查询精准访问防护规则列表 waf:preciseProtectionRule:list 查询误报屏蔽规则列表 waf:falseAlarmMaskRule:list 查询隐私屏蔽规则列表 waf:privacyRule:list 查询黑白名单规则列表 waf:whiteBlackIpRule:list 查询地址位置访问控制规则列表 waf:geoIpRule:list 查询防护域名列表 waf:instance:list 查询防护策略列表 waf:policy:list 查询独享引擎实例列表 waf:premiumInstance:list 查询独享引擎 waf:premiumInstance:get 创建独享引擎实例 waf:premiumInstance:create 删除独享引擎实例 waf:premiumInstance:delete 更新独享引擎 waf:premiumInstance:put

本节介绍如何处理WAF误拦截了“非法请求”访问请求。 问题现象 防护网站接入WAF后，访问请求被WAF拦截，在“防护事件”页面查看防护日志，显示访问请求为“非法请求”且误报处理按钮置灰不能使用。 可能原因 当遇到以下情况时，WAF将判定该访问请求为非法请求并拦截该访问请求： POST/PUT使用“formdata”时，表单的参数个数多于8192个。 URI的参数个数多于2048个。 Header个数超过512个。 处理建议 当确认访问请求为正常请求时，请参见配置精准访问防护规则放行该访问请求。

本节介绍如何处理域名/IP接入状态显示“未接入”问题。 故障现象 添加防护域名或IP后，域名或IP接入WAF失败，即防护网站“域名接入进度”未显示“已接入”。 WAF每隔一小时就会自动检测防护网站的“接入状态”，当WAF统计防护网站在5分钟内达到20次访问请求时，将认定该防护网站已成功接入WAF。 排查思路和处理建议 防护网站的“部署模式”为“独享模式”时，请参考图进行排查处理。 独享模式接入WAF失败问题处理 可能原因 处理建议 原因一：域名 /IP “接入状态”未刷新 在防护网站“接入状态”栏，单击刷新按钮刷新状态。 原因二：访问流量未达到WAF统计要求 说明 防护网站接入WAF后，当WAF统计防护网站在5分钟内有20次请求时，将认定该防护网站已接入WAF。 1. 在1分钟内多次访问防护网站。 2. 在防护网站“接入状态”栏，单击刷新按钮刷新状态。 原因三：域名 /IP参数配置错误 检查域名/IP参数是否正确。 如果域名/IP配置错误，删除该域名/IP后重新添加防护网站。 原因四：没有为独享模式实例配置负载均衡，配置的负载均衡未绑定弹性公网IP 1. 为独享引擎实例配置负载均衡。 2. 为弹性负载均衡绑定弹性公网IP。 原因五：独享模式实例负载均衡配置错误或负载均衡绑定弹性公网IP错误 配置负载均衡后，当WAF独享引擎实例的“健康检查结果”为“正常”时，说明弹性负载均衡配置成功。 为弹性负载均衡绑定弹性公网IP后，可以查看绑定的弹性公网IP，说明绑定成功。

购买内容安全检测服务时，如何确定网站检测配额？ WAF内容安全检测服务按新媒体账号或网站地址个数确定检测配额，1个新媒体账号或1个网站地址占1个检测配额。 基于网站内容来判定配置几个检测网站，同一个组织和同一类内容被认定成一个网站，具体可参见以下几个场景。 说明 WAF支持批量购买内容安全检测服务，可一次输入一个或多个检测对象（新媒体或网站）进行安全检测，最多支持一次输入100个检测对象。 “检测对象类型”为“网站”时，检测对象的每一行表示一个检测网址，多个网址以回车换行分割；同一行内的网址和备注之间以英文逗号分割，如无备注，可只输入网址，每行最多支持500个英文字符（1个中文字符等于2个英文字符）。 “检测对象类型”为“新媒体”时，检测对象的每一行表示一个新媒体账号，多个新媒体账号以回车换行分割；同一行内的新媒体账号和备注之间以英文逗号分割，每行最多支持500个英文字符（1个中文字符等于2个英文字符）。 场景一：同一官网域名对应的内容，占一个网站检测配额 举例：XX官网里有“产品中心”、“品牌活动”、“网络商城”等板块，但这些板块都同属于官网域名，算一个网站，占一个检测网站配额，即在购买内容安全检测服务时，“检测对象类型”选择“网站”，“检测对象”配置为XX官网的网址即可。 场景二：不同域名对应的网站，检测配额独立计算 举例 ：某官网（ 场景三：域名相同但网站名称不同，检测配额独立计算 举例 ：某省省法院官网（

本节介绍通过业务Cookie和HWWAFSESID联合配置限制恶意抢购、下载等的最佳实践。 业务场景 场景一： 限制同一个账号切换IP、终端的恶意请求（抢购、下载等）。 防护措施：使用业务 Cookie（或者用户id）基于路径配置CC限速。 场景二： 限制恶意人员在同一个PC多个账号不停切换的恶意请求（抢购、下载等）。 防护措施：使用HWWAFSESID基于路径配置CC限速。 使用业务Cookie（或者用户id）基于路径配置CC限速 步骤 1 登录管理控制台，将您的网站成功接入到WAF。独享模式添加域名的方法：网站接入WAF。 步骤 2 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。 步骤 3 在“CC攻击防护”配置框中，确认“CC攻击防护”的“状态”为“开启”，单击“自定义CC攻击防护规则”，进入CC防护规则配置页面。 步骤 4 在“CC攻击防护”规则配置页面左上角，单击“添加规则”。 步骤 5 根据业务情况，使用业务Cookie（或者用户id）基于路径配置CC限速。根据实际情况配置参数。 步骤 6 单击“确认”，完成配置。 使用HWWAFSESID基于路径配置CC限速 步骤 1 登录管理控制台，将您的网站成功接入到WAF。独享模式添加域名的方法：网站接入WAF。 步骤 2 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。 步骤 3 在“CC攻击防护”配置框中，确认“CC攻击防护”的“状态”为“开启”，单击“自定义CC攻击防护规则”，进入CC防护规则配置页面。 步骤 4 在“CC攻击防护”规则配置页面左上角，单击“添加规则”。 步骤 5 根据业务情况，使用HWWAFSESID基于路径配置CC限速。 “用户标识”：选择“Cookie”，配置为“HWWAFSESID”。 其他参数根据业务实际情况进行配置。 步骤 6 单击“确认”，完成配置。

开源组件Fastjson拒绝服务漏洞，攻击者可以利用该漏洞，构造恶意请求发给使用了Fastjson的服务器，使其内存和CPU耗尽，最终崩溃，造成用户业务瘫痪。本章节介绍开源组件Fastjson拒绝服务漏洞的最佳实践。 漏洞简介 攻击者可以利用该漏洞，构造恶意请求发给使用了Fastjson的服务器，使其内存和CPU耗尽，最终崩溃，造成用户业务瘫痪。 影响的版本范围 漏洞影响的产品版本包括：Fastjson 1.2.60以下版本，不包括Fastjson 1.2.60版本。 安全版本 Fastjson 1.2.60版本。 官方解决方案 建议用户将开源组件Fastjson升级到1.2.60版本。 防护建议 WAF支持对该漏洞的检测和防护，步骤如下： 步骤 1 申请WAF独享引擎。 步骤 2 将网站域名添加到WAF中并完成域名接入，详细操作请参见网站接入WAF。 步骤 3 将Web基础防护的状态设置为“拦截”模式，详细操作请参见配置Web基础防护规则。

Oracle WebLogic wls9async反序列化远程命令执行漏洞（CNVDC201948814），Oracle WebLogic wls9async组件在反序列化处理输入信息时存在缺陷，攻击者可以发送精心构造的恶意HTTP请求获取目标服务器权限，在未授权的情况下远程执行命令，CNVD对该漏洞的综合评级为“高危”。本章节介绍该漏洞的最佳实践。 漏洞名称 Oracle WebLogic wls9async反序列化远程命令执行漏洞 漏洞编号 CNVDC201948814 漏洞描述 WebLogic wls9async组件存在缺陷，通过WebLogic Server构建的网站存在安全隐患。攻击者可以构造HTTP请求获取目标服务器的权限，在未授权的情况下远程执行命令。 影响范围 Oracle WebLogic Server 10.X Oracle WebLogic Server 12.1.3 官方解决方案 官方暂未发布针对此漏洞的修复补丁。 防护建议 通过WAF的精准访问防护功能，拦截利用该漏洞发起的远程命令执行攻击请求。精准访问防护规则的具体配置方法请参见配置精准访问防护规则。

本章节主要介绍WAF自定义策略。 如果系统预置的WAF权限，不满足您的授权要求，可以创建自定义策略。 目前云服务平台支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 WAF自定义策略样例 示例1：授权用户查询防护域名列表 "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "waf:instance:list" ] } ] 示例2：拒绝用户删除网页防篡改规则 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。 如果您给用户授予“WAF FullAccess”的系统策略，但不希望用户拥有“WAF FullAccess”中定义的删除网页防篡改规则的权限（waf:antiTamperRule:delete），您可以创建一条相同Action的自定义策略，并将自定义策略的Effect设置为“Deny”，然后同时将“WAF FullAccess”和拒绝策略授予用户，根据Deny优先原则用户可以对WAF执行除了删除网页防篡改规则的所有操作。以下策略样例表示：拒绝用户删除网页防篡改规则。 { { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "waf:instance:list" ] } ] } 多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "waf:antiTamperRule:delete" ] }, ] }

特性 说明 检测位置 检测Web网站和新媒体平台发布的内容。 检测范围 内容的合法合规性、准确性。 检测技术 机器检测：基于丰富的违规样例库进行机器初审核。 检测技术 人工审核：内容审核专家基于多年经验对机器检测结果进行再审核。 交付形式 Word形式的检测报告。 “检测类型”选择“内容安全单次检测（按需）”时，下单后的7个工作日内出报告。 “检测类型”选择“文本安全监测（按月/按年）”时，下单后的检测周期（1个月）后的7个工作日内出报告。 计费模式 包年/包月（预付费）和按需计费（后付费）两种计费方式。 文本安全监测（按年） 文本安全监测（按月） 内容安全单次检测（按需） 按“检测对象”的总个数进行收费。同一个对象再次进行扫描时，需要重新收费。例如：单次配置了10个检测对象（新媒体账号或网站网址），每个检测对象检测一次，则需要进行10次收费。

本文为您介绍CC攻击防护最佳实践。 当客户发现网站处理速度下降，网络带宽占用过高时，很有可能已经遭受CC攻击，此时可查看Web服务器的访问日志或网络连接数量，如果访问日志或网络连接数量显著增加，则可确定网站已遭受CC攻击，可以利用WAF阻断CC攻击，保障网站业务的正常运行。 CC攻击防护策略 在大规模CC攻击中，单台傀儡机发包的速率往往远超过正常用户的请求频率。针对这种场景，直接对请求源设置限速规则是最有效的办法。推荐您自定义CC防护策略，对具体的访问源配置限速策略，具体操作，请参见CC防护。 在实际场景中，您需要根据自身业务需求调整防护路径和触发防护的阈值，并选择合适的处置动作，以达到更有针对性、更精细化的防护效果。 例如：为了预防登录接口受到恶意高频撞库攻击的影响，您可以配置登录接口的地址（示例：使用path字段作为匹配条件，将匹配内容设置为/login.php），并设置30秒内超过10次请求则进行封禁。

本文介绍如何删除WAF接入的域名。 域名还未完全接入WAF 如果要删除的防护域名没有完全接入WAF，可直接在域名列表删除防护域名。 域名已接入WAF进行防护 域名接入防护后，用户请求链路如下。如果要删除的防护域名已经接入WAF，请先到DNS服务商处，将该域名重新解析，指向源站服务器地址，然后再删除WAF上接入的域名，从而保证用户业务不中断，否则，如果直接删除WAF上接入的域名，将会导致用户业务不可用。

防护模块 说明 默认规则 配置建议 Web应用基础防护 覆盖OWASP中的常见的攻击类型，通过内置规则库进行安全防护。 用户可选择系统默认规格的规则库，也可自定义防护规则库，实现针对性防护。 可开启/关闭，默认处于开启状态。 包括系统默认规则组（正常/宽松/严格）以及用户自定义规则组。默认选择正常规则组。 可根据不同的防护需求选择不同的防护等级： 正常规则组为考虑漏保和误报均衡结果的规则组，一般业务防护建议选择正常规则组。 宽松规则组提供精准的攻击检测策略，仅会对较为明确的攻击进行防护。 严格规则组提供全面的安全演策，会阻断所有可能为攻击的行为。 CC攻击防护 CC攻击（Challenge Collapsar）是DDoS的一种，攻击者通过代理服务器向受害主机不停发送大量数据包，造成Web业务服务器的资源耗尽，从而无法响应其他正常访问请求的一种攻击行为。CC攻击防护可以通过对Web业务请求的安全验证，防护网络攻击者对业务服务器发起的CC攻击。 可开启/关闭，默认处于关闭状态。 系统提供两种默认防护级别，无需用户设置防护规则实现快速配置。为了避免误杀，用户也可自定义CC防护规则，限制单个访问者对命中特定匹配条件的访问频率，WAF会根据配置的规则，精准识别CC攻击，并做出拦截、人机验证等动作处理。 当网站服务器资源有限，且存在被CC攻击的情况下建议开启。 开启后可能会影响业务的正常访问流程，建议选择人机验证，从而保证业务的可用性。 精准访问控制 用户可根据客户端IP、请求URL、以及常见的请求头字段定义访问请求的精确匹配条件，以进行过滤，并对命中条件的请求设置放行、拦截、观察或人机验证等操作。 可开启/关闭，默认处于关闭状态。 当业务出现明确需要保护的地址，例如用户名或密码保存的文件路径、以及管理员访问路径，可进行精准访问控制。 IP黑白名单设置 自定义添加IP黑白名单规则，阻断、放行指定IP的访问请求。 白名单优先级高于黑名单优先级，即当会话命中白名单后会被直接放行，不再进行后续的安全检测。 可开启/关闭，默认处于关闭状态。 黑白名单通常与其他防护模块并行使用，通过设置黑白名单，放行安全的访问请求，阻断恶意的访问请求。 BOT防护 WAF提供若干个已知的公开BOT类型，用户可分别设置相应的防护动作。 支持公开类型和自定义会话策略两大类防护策略。同时，用户可自定义防护策略，根据协议特征或者其他会话特征设置判定维度，对命中的请求进行相应的处理。 可开启/关闭，默认处于关闭状态。 BOT防护主要用于防止其他网站对业务网站信息的爬取，当有相关需要时，可以开启该模块。 地域访问控制 通过配置地域访问控制规则，可针对指定国家、地区的来源IP自定义访问控制。 可开启/关闭，默认处于关闭状态。 地域访问控制可以通过拒绝部分地域的访问，例如境外地址的访问，从而阻断掉可能来源于境外的攻击。 防敏感信息泄露 支持对网站返回的内容进行过滤（拦截、脱敏展示），过滤内容包括敏感信息、关键字和响应码。 可开启/关闭，默认处于关闭状态。 当网站返回信息中包括敏感信息时，通过设置防敏感信息泄露规则，可以过滤网站返回内容中的敏感信息（比如身份证号、电话号码等），对敏感信息进行脱敏展示，可以有效防止敏感泄露。 网页防篡改 通过缓存页面和锁定访问请求，可避免页面被恶意篡改而带来的负面影响，对重点静态页面进行保护。 可开启/关闭，默认处于关闭状态。 网页防篡改主要用于防护一些重点的静态页面。 Cookie防篡改 通过对Cookie中的字段增加完整性校验保护，WAF会新增一个Cookie字段用于篡改校验。 可开启/关闭，默认处于关闭状态。 Cookie防篡改主要用于防护Cookie变化较少、对安全性要求较高的网页。 隐私屏蔽 通过设置隐私屏蔽规则，可屏蔽用户隐私信息，避免用户隐私信息出现在系统记录的日志中。 可开启/关闭，默认处于关闭状态。 隐私屏蔽规则主要是屏蔽WAF系统日志中的用户隐私信息，可以从安全运维侧规避用户的隐私泄露风险。

本文为您介绍如何将对WAF实例进行升级扩容。 开通了云WAF实例后，支持从较低版本的主套餐升级至任一更高版本，可支持根据实际使用需求购买资源扩展包。 系统影响 升级扩容时，原已启用的防护服务不会暂停，对已防护的网站业务无任何影响。 计费说明 计费场景 某用户于2024/04/30购买一套1个月的WAF云SaaS模式标准版，默认规格配置如下： 防护域名数：20个（含2个1级域名） 业务QPS峰值：3000QPS 使用一段时间后，用户发现当前规格无法满足业务需要，于2024/5/15进行升级，升级后规格配置如下： 防护域名数：30个（含3个1级域名），购买了1个域名扩展包 防护带宽：6000QPS，购买了3个业务扩展包 那么在4~5月份，共计花费了多少钱呢？5~6月份，预计会花费多少钱呢？ 计费构成 4~5月实际费用 WAF SaaS模式标准版本费用：3880元/月，实际费用为3880元。 域名扩展包费用：600元/月，因购买时间为5月15日，实际费用为15/30 600300元。 业务扩展费用：1000元/月3个，因购买时间为5月15日，实际费用为15/30 30001500元。 本月实际总计费用为：3880+300+15005680元。 5~6月预期费用 WAF SaaS模式标准版本费用：3880元/月，实际费用为3880元。 域名扩展包费用：600元/月，因购买时间为5月15日，实际费用为600元。 业务扩展费用：1000元/月3个，因购买时间为5月15日，实际费用为3000元。 本月实际总计费用为：3880+600+30007480元。 注意 因资源扩展包需要在主套餐的基础上进行购买，当主套餐停止使用后，资源扩展包也无法使用，故资源扩展包计费时间与主套餐计费时间保持一致。 示例中计算的价格为按月购买的价格，当按年购买时，实际价格以购买详情页具体的折扣价格为准。 因扩容、升配等业务具体购买价格与所购买规格的时长和使用时间有相关性，不同的购买时长和使用时长涉及不同的折扣，故以上示例不完全等同于实际计算价格，详细价格以购买页面显示价格为准。

本文为您介绍通过WAF实现源站容灾备份/主备切换。 在WAF接入域名时，针对权重回源、健康检查两项配置进行精细化配置，您可以完成WAF回源节点的灾备切换以保障业务的正常运行。 基本操作 在WAF配置多个源站服务器地址。 为每个源站设置不同的权重值。 WAF按照权重比例将请求分发到不同源站。 配置健康检查规则。 配置权重回源 1. 登录WAF控制台，参考添加防护对象步骤开启域名接入配置。 2. 在服务器配置模块进行配置回源地址。 说明 可以把主备权重配置成100 和0，这样100%的请求会到主，0%的请求到备（权重为0的回源节点默认不参与回源，但当所有健康回源节点中，仅剩权重为0的节点时，会默认回到配置第一个为0的节点）。当WAF主动健康检查到主节点无法访问，会自动把主节点剔除，然后所有请求切到备节点。从而实现灾备切换。 例如下图：主机地址为192.168.0.1，设置权重为100，备机地址为192.100.0.1，设置权重为0，如果当主动健康检查能力开启后，检查到主机地址无法访问，这样会根据规则会回源至备机地址。 配置健康检查 1. 登录WAF控制台，参考添加防护对象步骤开启域名接入配置。 2. 开启健康检查功能，设置检查间隔、响应超时时间、请求失败失效阈值、失效后恢复健康阈值。 说明 如下图所示配置的话，WAF每30秒检查一次源站的健康情况，当针对源站健康检查失败3次时，WAF会主动将失效的源站剔除回源列表，并将请求按照剩余站点权重比例/轮询转发至剩余健康站点，以此可以得到若较高权重源站出现响应超时，WAF会在（30s + 10s）× 3次 120秒后切换至权重较低且健康的源站。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 源站响应超时切换时间公式：（检查间隔 + 响应超时时间） × 请求失败失效阈值。 源站恢复切换时间公式：（检查间隔 + 响应超时时间） × 失效后恢复健康阈值。

本文为您介绍Web基础防护规则引擎配置的最佳实践。 Web基础防护基于内置的防护规则集，自动为网站防御SQL注入、XSS、文件包含、远程命令执行、目录穿越、文件上传、CSRF、SSRF、命令注入、模板注入、XML实体注入攻击等通用的Web攻击。 规则防护引擎 云WAF的Web基础防护规则引擎默认开启，所有接入云WAF防护的网站业务，默认都受到Web基础防护规则引擎的检测和防护。 Web基础防护规则引擎基于天翼云持续优化的高质量攻击检测规则集，帮助网站防御各种常见的Web应用攻击。您可以根据业务防护需要，在防护规则组的维度，设置规则引擎采用哪些防护规则。WAF按照防护严格程度，内置了三套规则组供选用： 正常规则组：默认选用该规则组。 宽松规则组：如需减少误拦截，可选用该规则组。 严格规则组：如需提高攻击检测命中率，可选用该规则组。 您也可以自定义防护规则组，相关操作，请参见自定义防护规则组。 防护模式 检测发现攻击请求时，对攻击请求执行的操作。可选以下两种模式： 拦截：检测到攻击行为后，直接阻断攻击请求，并记录攻击日志。 观察：检测到攻击行为后，不阻断攻击，仅记录攻击日志。

绑定弹性IP 说明 为独享版实例绑定弹性IP可实现公网代理，80/443 端口需要提前备案。 弹性IP规格限制请参见规格和使用限制弹性IP。 实例在一类节点区域： 1. 进入独享版实例详情页面，在节点信息的“弹性IP”页签，单击“绑定弹性IP”。 2. 在弹出的绑定弹性IP窗口中，选择VIP和EIP，然后单击“确定”。 3. 回到节点信息的“弹性IP”页签，可以查看已绑定的弹性IP。 说明 若需要解绑弹性IP，单击弹性IP操作列的“解绑弹性IP”，在弹出的提示框中单击“确定”，即可完成解绑。 实例在二类节点区域：在实例详情页面，您可以单击“绑定弹性IP”会进入对应云主机详情页面，在该页面查看、绑定、解绑弹性IP，相关文档请参见绑定弹性公网IP。 配置默认路由 1. 进入独享版实例详情页面，在节点信息的“路由”页签，单击IP地址右侧的图标。 2. 修改节点默认网关后，单击“保存”，完成修改。

本文指导您如何自定义网站响应页面。 当访问者触发WAF拦截时，系统默认会显示WAF内置的响应页面。 若您需要自定义响应页面的内容和样式，可以参照本文准备自定义页面的内容，然后提交工单联系技术支持进行配置。 前提条件 网站已接入WAF进行防护。 准备工作 您需要准备自定义页面的如下信息： 响应码：自定义页面的返回码。 页面类型：支持text/html、text/xml、application/json类型。 页面内容：根据页面类型准备对应的页面内容。 操作步骤 1. 进入提交工单页面。 2. 在工单页面填写已准备好的自定义页面内容，并提交工单。 3. 等待工单审核，工单审核通过后，技术支持会联系您确认并配置自定义响应页面。 4. 配置完成后，您可以参考以下步骤验证修改效果。 1. 配置Web基础防护规则，将处置动作配置为“拦截”。 2. 模拟攻击者访问防护网站，若攻击被拦截后的返回页面为自定义响应页面的内容，则表示配置成功。

本文介绍如何查看WAF账单。 客户可以在费用中心按月查看在天翼云的消费概况，详情请参见账单概览。 账单说明 WAF产品为包年包月计费产品，包年包月产品采用预付费模式，即先付费再使用，一般为包年包月的购买形式，支付成功后，云资源将被系统分配给用户使用，直到超过保留期后被系统回收。 说明 当月最终账单将在次月3日生成，在次月4日10点后可查看和导出。 WAF属于按月结算的产品，当月消费可在次月3日查看账单。 操作步骤 1. 登录天翼云控制中心。 2. 在页面右上角用户名称处，选择“费用中心”。 3. 在左侧菜单栏选择“账单管理 > 账单概览”，进入账单概览页面，可按产品类型汇总查看产品账单。 4. 在左侧菜单栏选择“账单管理 > 账单详情”，进入账单详情页面。按如下筛选条件，即可查看到产品的账单详情。 统计维度选择“产品”。 统计周期选择“按账期”。 计费模式选择“包周期”。 账期选择需要查看的账单时间。