参数 是否必填 参数类型 说明 示例 下级对象 urlType 是 String 请求地址类型 CTAPI regionId 是 String 资源池id 100054c0416811e9a6690242ac110002

状态码 请参考 状态码 错误码 请参考 错误码

参数 参数类型 说明 示例 下级对象 method String 获取method类别的规则 methodCn String 获取method类别的规则中文

本节介绍WAF对SQL注入、XSS等漏洞的检测原理。 WAF对SQL注入的检测原理？ SQL（Structured Query Language）注入攻击是一种常见的Web攻击方法，攻击者通过把SQL命令注入到数据库的查询字符串中，最终达到欺骗服务器执行恶意SQL命令的目的。例如，可以从数据库获取敏感信息，或者利用数据库的特性执行添加用户、导出文件等一系列恶意操作，甚至有可能获取数据库乃至系统用户最高权限。 WAF针对SQL注入攻击的检测原理是检测SQL关键字、特殊符号、运算符、操作符、注释符的相关组合特征，并进行匹配。 SQL关键字（如 union，Select，from，as，asc，desc，order by，sort，and ，or，load，delete，update，execute，count，top，between，declare，distinct，distinctrow，sleep，waitfor，delay，having，sysdate，when，dbauser，case，delay 等） 特殊符号（’”,; ()） 运算符（±/%） 操作符（，>, , 、’、”） 外部链接（href“http：//xxx/”，src"http：//xxx/attack.js"） 说明 如果业务需要上传富文本，可以用multipart方式上传，不用body方式上传，放在表单里，即使base64编码也会解码。分析业务场景，建议限制引号、尖括号输入。

本章节主要介绍WAF权限及授权项。 如果您需要对您所拥有的WAF进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，IAM），如果登录账号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用WAF服务的其它功能。 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使用户组中的用户获得相应的权限，这一过程称为授权。授权后，用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度，分为角色和策略。角色以服务为粒度，是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略授权更加精细，可以精确到某个操作、资源和条件，能够满足企业对权限最小化的安全管控要求。 支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。 权限：允许或拒绝某项操作。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 权限 授权项 :: 查询防敏感信息泄漏规则 waf:antiLeakageRule:get 查询网页防篡改规则 waf:antiTamperRule:get 查询CC攻击防护规则 waf:ccRule:get 查询精准访问防护规则 waf:preciseProtectionRule:get 查询误报屏蔽规则 waf:falseAlarmMaskRule:get 查询隐私屏蔽规则 waf:privacyRule:get 查询黑白名单规则 waf:whiteBlackIpRule:get 查询地址位置访问控制规则 waf:geoIpRule:get 查询证书 waf:certificate:get 修改WAF证书 waf:certificate:put 查询防护事件 waf:event:get 查询防护域名 waf:instance:get 查询防护策略 waf:policy:get 查询用户套餐信息 waf:bundle:get 查询防护事件下载链接 waf:dumpEventLink:get 查询页面配置信息 waf:consoleConfig:get 查询回源IP段 waf:sourceIp:get 更新防敏感信息泄漏规则 waf:antiLeakageRule:put 更新网页防篡改规则 waf:antiTamperRule:put 更新CC攻击防护规则 waf:ccRuleRule:put 更新精准访问防护规则 waf:preciseProtectionRule:put 更新误报屏蔽规则 waf:falseAlarmMaskRule:put 更新隐私屏蔽规则 waf:privacyRule:put 更新黑白名单规则 waf:whiteBlackIpRule:put 更新地址位置访问控制规则 waf:geoIpRule:put 更新防护域名 waf:instance:put 更新防护策略 waf:policy:put 删除防敏感信息泄漏规则 waf:antiLeakageRule:delete 删除网页防篡改规则 waf:antiTamperRule:delete 删除CC攻击防护规则 waf:ccRule:delete 删除精准访问防护规则 waf:preciseProtectionRule:delete 删除误报屏蔽规则 waf:falseAlarmMaskRule:delete 删除隐私屏蔽规则 waf:privacyRule:delete 删除黑白名单规则 waf:whiteBlackIpRule:delete 删除地址位置访问控制规则 waf:geoIpRule:delete 删除防护域名 waf:instance:delete 删除防护策略 waf:policy:delete 创建防敏感信息泄漏规则 waf:antiLeakageRule:create 创建网页防篡改规则 waf:antiTamperRule:create 创建CC攻击防护规则 waf:ccRule:create 创建精准访问防护规则 waf:preciseProtectionRule:create 创建误报屏蔽规则 waf:falseAlarmMaskRule:create 创建隐私屏蔽规则 waf:privacyRule:create 创建黑白名单规则 waf:whiteBlackIpRule:create 创建地址位置访问控制规则 waf:geoIpRule:create 创建证书 waf:certificate:create 创建防护域名 waf:instance:create 创建防护策略 waf:policy:create 查询防敏感信息泄漏规则列表 waf:antiLeakageRule:list 查询网页防篡改规则列表 waf:antiTamperRule:list 查询CC攻击防护规则列表 waf:ccRuleRule:list 查询精准访问防护规则列表 waf:preciseProtectionRule:list 查询误报屏蔽规则列表 waf:falseAlarmMaskRule:list 查询隐私屏蔽规则列表 waf:privacyRule:list 查询黑白名单规则列表 waf:whiteBlackIpRule:list 查询地址位置访问控制规则列表 waf:geoIpRule:list 查询防护域名列表 waf:instance:list 查询防护策略列表 waf:policy:list 查询独享引擎实例列表 waf:premiumInstance:list 查询独享引擎 waf:premiumInstance:get 创建独享引擎实例 waf:premiumInstance:create 删除独享引擎实例 waf:premiumInstance:delete 更新独享引擎 waf:premiumInstance:put

本节介绍如何处理WAF误拦截了“非法请求”访问请求。 问题现象 防护网站接入WAF后，访问请求被WAF拦截，在“防护事件”页面查看防护日志，显示访问请求为“非法请求”且误报处理按钮置灰不能使用。 可能原因 当遇到以下情况时，WAF将判定该访问请求为非法请求并拦截该访问请求： POST/PUT使用“formdata”时，表单的参数个数多于8192个。 URI的参数个数多于2048个。 Header个数超过512个。 处理建议 当确认访问请求为正常请求时，请参见配置精准访问防护规则放行该访问请求。

本节介绍如何处理域名/IP接入状态显示“未接入”问题。 故障现象 添加防护域名或IP后，域名或IP接入WAF失败，即防护网站“域名接入进度”未显示“已接入”。 WAF每隔一小时就会自动检测防护网站的“接入状态”，当WAF统计防护网站在5分钟内达到20次访问请求时，将认定该防护网站已成功接入WAF。 排查思路和处理建议 防护网站的“部署模式”为“独享模式”时，请参考图进行排查处理。 独享模式接入WAF失败问题处理 可能原因 处理建议 原因一：域名 /IP “接入状态”未刷新 在防护网站“接入状态”栏，单击刷新按钮刷新状态。 原因二：访问流量未达到WAF统计要求 说明 防护网站接入WAF后，当WAF统计防护网站在5分钟内有20次请求时，将认定该防护网站已接入WAF。 1. 在1分钟内多次访问防护网站。 2. 在防护网站“接入状态”栏，单击刷新按钮刷新状态。 原因三：域名 /IP参数配置错误 检查域名/IP参数是否正确。 如果域名/IP配置错误，删除该域名/IP后重新添加防护网站。 原因四：没有为独享模式实例配置负载均衡，配置的负载均衡未绑定弹性公网IP 1. 为独享引擎实例配置负载均衡。 2. 为弹性负载均衡绑定弹性公网IP。 原因五：独享模式实例负载均衡配置错误或负载均衡绑定弹性公网IP错误 配置负载均衡后，当WAF独享引擎实例的“健康检查结果”为“正常”时，说明弹性负载均衡配置成功。 为弹性负载均衡绑定弹性公网IP后，可以查看绑定的弹性公网IP，说明绑定成功。

购买内容安全检测服务时，如何确定网站检测配额？ WAF内容安全检测服务按新媒体账号或网站地址个数确定检测配额，1个新媒体账号或1个网站地址占1个检测配额。 基于网站内容来判定配置几个检测网站，同一个组织和同一类内容被认定成一个网站，具体可参见以下几个场景。 说明 WAF支持批量购买内容安全检测服务，可一次输入一个或多个检测对象（新媒体或网站）进行安全检测，最多支持一次输入100个检测对象。 “检测对象类型”为“网站”时，检测对象的每一行表示一个检测网址，多个网址以回车换行分割；同一行内的网址和备注之间以英文逗号分割，如无备注，可只输入网址，每行最多支持500个英文字符（1个中文字符等于2个英文字符）。 “检测对象类型”为“新媒体”时，检测对象的每一行表示一个新媒体账号，多个新媒体账号以回车换行分割；同一行内的新媒体账号和备注之间以英文逗号分割，每行最多支持500个英文字符（1个中文字符等于2个英文字符）。 场景一：同一官网域名对应的内容，占一个网站检测配额 举例：XX官网里有“产品中心”、“品牌活动”、“网络商城”等板块，但这些板块都同属于官网域名，算一个网站，占一个检测网站配额，即在购买内容安全检测服务时，“检测对象类型”选择“网站”，“检测对象”配置为XX官网的网址即可。 场景二：不同域名对应的网站，检测配额独立计算 举例 ：某官网（ 场景三：域名相同但网站名称不同，检测配额独立计算 举例 ：某省省法院官网（

本节介绍通过业务Cookie和HWWAFSESID联合配置限制恶意抢购、下载等的最佳实践。 业务场景 场景一： 限制同一个账号切换IP、终端的恶意请求（抢购、下载等）。 防护措施：使用业务 Cookie（或者用户id）基于路径配置CC限速。 场景二： 限制恶意人员在同一个PC多个账号不停切换的恶意请求（抢购、下载等）。 防护措施：使用HWWAFSESID基于路径配置CC限速。 使用业务Cookie（或者用户id）基于路径配置CC限速 步骤 1 登录管理控制台，将您的网站成功接入到WAF。独享模式添加域名的方法：网站接入WAF。 步骤 2 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。 步骤 3 在“CC攻击防护”配置框中，确认“CC攻击防护”的“状态”为“开启”，单击“自定义CC攻击防护规则”，进入CC防护规则配置页面。 步骤 4 在“CC攻击防护”规则配置页面左上角，单击“添加规则”。 步骤 5 根据业务情况，使用业务Cookie（或者用户id）基于路径配置CC限速。根据实际情况配置参数。 步骤 6 单击“确认”，完成配置。 使用HWWAFSESID基于路径配置CC限速 步骤 1 登录管理控制台，将您的网站成功接入到WAF。独享模式添加域名的方法：网站接入WAF。 步骤 2 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。 步骤 3 在“CC攻击防护”配置框中，确认“CC攻击防护”的“状态”为“开启”，单击“自定义CC攻击防护规则”，进入CC防护规则配置页面。 步骤 4 在“CC攻击防护”规则配置页面左上角，单击“添加规则”。 步骤 5 根据业务情况，使用HWWAFSESID基于路径配置CC限速。 “用户标识”：选择“Cookie”，配置为“HWWAFSESID”。 其他参数根据业务实际情况进行配置。 步骤 6 单击“确认”，完成配置。

开源组件Fastjson拒绝服务漏洞，攻击者可以利用该漏洞，构造恶意请求发给使用了Fastjson的服务器，使其内存和CPU耗尽，最终崩溃，造成用户业务瘫痪。本章节介绍开源组件Fastjson拒绝服务漏洞的最佳实践。 漏洞简介 攻击者可以利用该漏洞，构造恶意请求发给使用了Fastjson的服务器，使其内存和CPU耗尽，最终崩溃，造成用户业务瘫痪。 影响的版本范围 漏洞影响的产品版本包括：Fastjson 1.2.60以下版本，不包括Fastjson 1.2.60版本。 安全版本 Fastjson 1.2.60版本。 官方解决方案 建议用户将开源组件Fastjson升级到1.2.60版本。 防护建议 WAF支持对该漏洞的检测和防护，步骤如下： 步骤 1 申请WAF独享引擎。 步骤 2 将网站域名添加到WAF中并完成域名接入，详细操作请参见网站接入WAF。 步骤 3 将Web基础防护的状态设置为“拦截”模式，详细操作请参见配置Web基础防护规则。

Oracle WebLogic wls9async反序列化远程命令执行漏洞（CNVDC201948814），Oracle WebLogic wls9async组件在反序列化处理输入信息时存在缺陷，攻击者可以发送精心构造的恶意HTTP请求获取目标服务器权限，在未授权的情况下远程执行命令，CNVD对该漏洞的综合评级为“高危”。本章节介绍该漏洞的最佳实践。 漏洞名称 Oracle WebLogic wls9async反序列化远程命令执行漏洞 漏洞编号 CNVDC201948814 漏洞描述 WebLogic wls9async组件存在缺陷，通过WebLogic Server构建的网站存在安全隐患。攻击者可以构造HTTP请求获取目标服务器的权限，在未授权的情况下远程执行命令。 影响范围 Oracle WebLogic Server 10.X Oracle WebLogic Server 12.1.3 官方解决方案 官方暂未发布针对此漏洞的修复补丁。 防护建议 通过WAF的精准访问防护功能，拦截利用该漏洞发起的远程命令执行攻击请求。精准访问防护规则的具体配置方法请参见配置精准访问防护规则。

本章节主要介绍WAF自定义策略。 如果系统预置的WAF权限，不满足您的授权要求，可以创建自定义策略。 目前云服务平台支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 WAF自定义策略样例 示例1：授权用户查询防护域名列表 "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "waf:instance:list" ] } ] 示例2：拒绝用户删除网页防篡改规则 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。 如果您给用户授予“WAF FullAccess”的系统策略，但不希望用户拥有“WAF FullAccess”中定义的删除网页防篡改规则的权限（waf:antiTamperRule:delete），您可以创建一条相同Action的自定义策略，并将自定义策略的Effect设置为“Deny”，然后同时将“WAF FullAccess”和拒绝策略授予用户，根据Deny优先原则用户可以对WAF执行除了删除网页防篡改规则的所有操作。以下策略样例表示：拒绝用户删除网页防篡改规则。 { { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "waf:instance:list" ] } ] } 多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "waf:antiTamperRule:delete" ] }, ] }

特性 说明 检测位置 检测Web网站和新媒体平台发布的内容。 检测范围 内容的合法合规性、准确性。 检测技术 机器检测：基于丰富的违规样例库进行机器初审核。 检测技术 人工审核：内容审核专家基于多年经验对机器检测结果进行再审核。 交付形式 Word形式的检测报告。 “检测类型”选择“内容安全单次检测（按需）”时，下单后的7个工作日内出报告。 “检测类型”选择“文本安全监测（按月/按年）”时，下单后的检测周期（1个月）后的7个工作日内出报告。 计费模式 包年/包月（预付费）和按需计费（后付费）两种计费方式。 文本安全监测（按年） 文本安全监测（按月） 内容安全单次检测（按需） 按“检测对象”的总个数进行收费。同一个对象再次进行扫描时，需要重新收费。例如：单次配置了10个检测对象（新媒体账号或网站网址），每个检测对象检测一次，则需要进行10次收费。

本文为您介绍CC攻击防护最佳实践。 当客户发现网站处理速度下降，网络带宽占用过高时，很有可能已经遭受CC攻击，此时可查看Web服务器的访问日志或网络连接数量，如果访问日志或网络连接数量显著增加，则可确定网站已遭受CC攻击，可以利用WAF阻断CC攻击，保障网站业务的正常运行。 CC攻击防护策略 在大规模CC攻击中，单台傀儡机发包的速率往往远超过正常用户的请求频率。针对这种场景，直接对请求源设置限速规则是最有效的办法。推荐您自定义CC防护策略，对具体的访问源配置限速策略，具体操作，请参见CC防护。 在实际场景中，您需要根据自身业务需求调整防护路径和触发防护的阈值，并选择合适的处置动作，以达到更有针对性、更精细化的防护效果。 例如：为了预防登录接口受到恶意高频撞库攻击的影响，您可以配置登录接口的地址（示例：使用path字段作为匹配条件，将匹配内容设置为/login.php），并设置30秒内超过10次请求则进行封禁。

本文介绍如何删除WAF接入的域名。 域名还未完全接入WAF 如果要删除的防护域名没有完全接入WAF，可直接在域名列表删除防护域名。 域名已接入WAF进行防护 域名接入防护后，用户请求链路如下。如果要删除的防护域名已经接入WAF，请先到DNS服务商处，将该域名重新解析，指向源站服务器地址，然后再删除WAF上接入的域名，从而保证用户业务不中断，否则，如果直接删除WAF上接入的域名，将会导致用户业务不可用。

防护模块 说明 默认规则 配置建议 Web应用基础防护 覆盖OWASP中的常见的攻击类型，通过内置规则库进行安全防护。 用户可选择系统默认规格的规则库，也可自定义防护规则库，实现针对性防护。 可开启/关闭，默认处于开启状态。 包括系统默认规则组（正常/宽松/严格）以及用户自定义规则组。默认选择正常规则组。 可根据不同的防护需求选择不同的防护等级： 正常规则组为考虑漏保和误报均衡结果的规则组，一般业务防护建议选择正常规则组。 宽松规则组提供精准的攻击检测策略，仅会对较为明确的攻击进行防护。 严格规则组提供全面的安全演策，会阻断所有可能为攻击的行为。 CC攻击防护 CC攻击（Challenge Collapsar）是DDoS的一种，攻击者通过代理服务器向受害主机不停发送大量数据包，造成Web业务服务器的资源耗尽，从而无法响应其他正常访问请求的一种攻击行为。CC攻击防护可以通过对Web业务请求的安全验证，防护网络攻击者对业务服务器发起的CC攻击。 可开启/关闭，默认处于关闭状态。 系统提供两种默认防护级别，无需用户设置防护规则实现快速配置。为了避免误杀，用户也可自定义CC防护规则，限制单个访问者对命中特定匹配条件的访问频率，WAF会根据配置的规则，精准识别CC攻击，并做出拦截、人机验证等动作处理。 当网站服务器资源有限，且存在被CC攻击的情况下建议开启。 开启后可能会影响业务的正常访问流程，建议选择人机验证，从而保证业务的可用性。 精准访问控制 用户可根据客户端IP、请求URL、以及常见的请求头字段定义访问请求的精确匹配条件，以进行过滤，并对命中条件的请求设置放行、拦截、观察或人机验证等操作。 可开启/关闭，默认处于关闭状态。 当业务出现明确需要保护的地址，例如用户名或密码保存的文件路径、以及管理员访问路径，可进行精准访问控制。 IP黑白名单设置 自定义添加IP黑白名单规则，阻断、放行指定IP的访问请求。 白名单优先级高于黑名单优先级，即当会话命中白名单后会被直接放行，不再进行后续的安全检测。 可开启/关闭，默认处于关闭状态。 黑白名单通常与其他防护模块并行使用，通过设置黑白名单，放行安全的访问请求，阻断恶意的访问请求。 BOT防护 WAF提供若干个已知的公开BOT类型，用户可分别设置相应的防护动作。 支持公开类型和自定义会话策略两大类防护策略。同时，用户可自定义防护策略，根据协议特征或者其他会话特征设置判定维度，对命中的请求进行相应的处理。 可开启/关闭，默认处于关闭状态。 BOT防护主要用于防止其他网站对业务网站信息的爬取，当有相关需要时，可以开启该模块。 地域访问控制 通过配置地域访问控制规则，可针对指定国家、地区的来源IP自定义访问控制。 可开启/关闭，默认处于关闭状态。 地域访问控制可以通过拒绝部分地域的访问，例如境外地址的访问，从而阻断掉可能来源于境外的攻击。 防敏感信息泄露 支持对网站返回的内容进行过滤（拦截、脱敏展示），过滤内容包括敏感信息、关键字和响应码。 可开启/关闭，默认处于关闭状态。 当网站返回信息中包括敏感信息时，通过设置防敏感信息泄露规则，可以过滤网站返回内容中的敏感信息（比如身份证号、电话号码等），对敏感信息进行脱敏展示，可以有效防止敏感泄露。 网页防篡改 通过缓存页面和锁定访问请求，可避免页面被恶意篡改而带来的负面影响，对重点静态页面进行保护。 可开启/关闭，默认处于关闭状态。 网页防篡改主要用于防护一些重点的静态页面。 Cookie防篡改 通过对Cookie中的字段增加完整性校验保护，WAF会新增一个Cookie字段用于篡改校验。 可开启/关闭，默认处于关闭状态。 Cookie防篡改主要用于防护Cookie变化较少、对安全性要求较高的网页。 隐私屏蔽 通过设置隐私屏蔽规则，可屏蔽用户隐私信息，避免用户隐私信息出现在系统记录的日志中。 可开启/关闭，默认处于关闭状态。 隐私屏蔽规则主要是屏蔽WAF系统日志中的用户隐私信息，可以从安全运维侧规避用户的隐私泄露风险。

本文为您介绍如何将对WAF实例进行升级扩容。 开通了云WAF实例后，支持从较低版本的主套餐升级至任一更高版本，可支持根据实际使用需求购买资源扩展包。 系统影响 升级扩容时，原已启用的防护服务不会暂停，对已防护的网站业务无任何影响。 计费说明 计费场景 某用户于2024/04/30购买一套1个月的WAF云SaaS模式标准版，默认规格配置如下： 防护域名数：20个（含2个1级域名） 业务QPS峰值：3000QPS 使用一段时间后，用户发现当前规格无法满足业务需要，于2024/5/15进行升级，升级后规格配置如下： 防护域名数：30个（含3个1级域名），购买了1个域名扩展包 防护带宽：6000QPS，购买了3个业务扩展包 那么在4~5月份，共计花费了多少钱呢？5~6月份，预计会花费多少钱呢？ 计费构成 4~5月实际费用 WAF SaaS模式标准版本费用：3880元/月，实际费用为3880元。 域名扩展包费用：600元/月，因购买时间为5月15日，实际费用为15/30 600300元。 业务扩展费用：1000元/月3个，因购买时间为5月15日，实际费用为15/30 30001500元。 本月实际总计费用为：3880+300+15005680元。 5~6月预期费用 WAF SaaS模式标准版本费用：3880元/月，实际费用为3880元。 域名扩展包费用：600元/月，因购买时间为5月15日，实际费用为600元。 业务扩展费用：1000元/月3个，因购买时间为5月15日，实际费用为3000元。 本月实际总计费用为：3880+600+30007480元。 注意 因资源扩展包需要在主套餐的基础上进行购买，当主套餐停止使用后，资源扩展包也无法使用，故资源扩展包计费时间与主套餐计费时间保持一致。 示例中计算的价格为按月购买的价格，当按年购买时，实际价格以购买详情页具体的折扣价格为准。 因扩容、升配等业务具体购买价格与所购买规格的时长和使用时间有相关性，不同的购买时长和使用时长涉及不同的折扣，故以上示例不完全等同于实际计算价格，详细价格以购买页面显示价格为准。

本文为您介绍通过WAF实现源站容灾备份/主备切换。 在WAF接入域名时，针对权重回源、健康检查两项配置进行精细化配置，您可以完成WAF回源节点的灾备切换以保障业务的正常运行。 基本操作 在WAF配置多个源站服务器地址。 为每个源站设置不同的权重值。 WAF按照权重比例将请求分发到不同源站。 配置健康检查规则。 配置权重回源 1. 登录WAF控制台，参考添加防护对象步骤开启域名接入配置。 2. 在服务器配置模块进行配置回源地址。 说明 可以把主备权重配置成100 和0，这样100%的请求会到主，0%的请求到备（权重为0的回源节点默认不参与回源，但当所有健康回源节点中，仅剩权重为0的节点时，会默认回到配置第一个为0的节点）。当WAF主动健康检查到主节点无法访问，会自动把主节点剔除，然后所有请求切到备节点。从而实现灾备切换。 例如下图：主机地址为192.168.0.1，设置权重为100，备机地址为192.100.0.1，设置权重为0，如果当主动健康检查能力开启后，检查到主机地址无法访问，这样会根据规则会回源至备机地址。 配置健康检查 1. 登录WAF控制台，参考添加防护对象步骤开启域名接入配置。 2. 开启健康检查功能，设置检查间隔、响应超时时间、请求失败失效阈值、失效后恢复健康阈值。 说明 如下图所示配置的话，WAF每30秒检查一次源站的健康情况，当针对源站健康检查失败3次时，WAF会主动将失效的源站剔除回源列表，并将请求按照剩余站点权重比例/轮询转发至剩余健康站点，以此可以得到若较高权重源站出现响应超时，WAF会在（30s + 10s）× 3次 120秒后切换至权重较低且健康的源站。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 源站响应超时切换时间公式：（检查间隔 + 响应超时时间） × 请求失败失效阈值。 源站恢复切换时间公式：（检查间隔 + 响应超时时间） × 失效后恢复健康阈值。

本文为您介绍Web基础防护规则引擎配置的最佳实践。 Web基础防护基于内置的防护规则集，自动为网站防御SQL注入、XSS、文件包含、远程命令执行、目录穿越、文件上传、CSRF、SSRF、命令注入、模板注入、XML实体注入攻击等通用的Web攻击。 规则防护引擎 云WAF的Web基础防护规则引擎默认开启，所有接入云WAF防护的网站业务，默认都受到Web基础防护规则引擎的检测和防护。 Web基础防护规则引擎基于天翼云持续优化的高质量攻击检测规则集，帮助网站防御各种常见的Web应用攻击。您可以根据业务防护需要，在防护规则组的维度，设置规则引擎采用哪些防护规则。WAF按照防护严格程度，内置了三套规则组供选用： 正常规则组：默认选用该规则组。 宽松规则组：如需减少误拦截，可选用该规则组。 严格规则组：如需提高攻击检测命中率，可选用该规则组。 您也可以自定义防护规则组，相关操作，请参见自定义防护规则组。 防护模式 检测发现攻击请求时，对攻击请求执行的操作。可选以下两种模式： 拦截：检测到攻击行为后，直接阻断攻击请求，并记录攻击日志。 观察：检测到攻击行为后，不阻断攻击，仅记录攻击日志。

绑定弹性IP 说明 为独享版实例绑定弹性IP可实现公网代理，80/443 端口需要提前备案。 弹性IP规格限制请参见规格和使用限制弹性IP。 实例在一类节点区域： 1. 进入独享版实例详情页面，在节点信息的“弹性IP”页签，单击“绑定弹性IP”。 2. 在弹出的绑定弹性IP窗口中，选择VIP和EIP，然后单击“确定”。 3. 回到节点信息的“弹性IP”页签，可以查看已绑定的弹性IP。 说明 若需要解绑弹性IP，单击弹性IP操作列的“解绑弹性IP”，在弹出的提示框中单击“确定”，即可完成解绑。 实例在二类节点区域：在实例详情页面，您可以单击“绑定弹性IP”会进入对应云主机详情页面，在该页面查看、绑定、解绑弹性IP，相关文档请参见绑定弹性公网IP。 配置默认路由 1. 进入独享版实例详情页面，在节点信息的“路由”页签，单击IP地址右侧的图标。 2. 修改节点默认网关后，单击“保存”，完成修改。

本文指导您如何自定义网站响应页面。 当访问者触发WAF拦截时，系统默认会显示WAF内置的响应页面。 若您需要自定义响应页面的内容和样式，可以参照本文准备自定义页面的内容，然后提交工单联系技术支持进行配置。 前提条件 网站已接入WAF进行防护。 准备工作 您需要准备自定义页面的如下信息： 响应码：自定义页面的返回码。 页面类型：支持text/html、text/xml、application/json类型。 页面内容：根据页面类型准备对应的页面内容。 操作步骤 1. 进入提交工单页面。 2. 在工单页面填写已准备好的自定义页面内容，并提交工单。 3. 等待工单审核，工单审核通过后，技术支持会联系您确认并配置自定义响应页面。 4. 配置完成后，您可以参考以下步骤验证修改效果。 1. 配置Web基础防护规则，将处置动作配置为“拦截”。 2. 模拟攻击者访问防护网站，若攻击被拦截后的返回页面为自定义响应页面的内容，则表示配置成功。

本文介绍如何查看WAF账单。 客户可以在费用中心按月查看在天翼云的消费概况，详情请参见账单概览。 账单说明 WAF产品为包年包月计费产品，包年包月产品采用预付费模式，即先付费再使用，一般为包年包月的购买形式，支付成功后，云资源将被系统分配给用户使用，直到超过保留期后被系统回收。 说明 当月最终账单将在次月3日生成，在次月4日10点后可查看和导出。 WAF属于按月结算的产品，当月消费可在次月3日查看账单。 操作步骤 1. 登录天翼云控制中心。 2. 在页面右上角用户名称处，选择“费用中心”。 3. 在左侧菜单栏选择“账单管理 > 账单概览”，进入账单概览页面，可按产品类型汇总查看产品账单。 4. 在左侧菜单栏选择“账单管理 > 账单详情”，进入账单详情页面。按如下筛选条件，即可查看到产品的账单详情。 统计维度选择“产品”。 统计周期选择“按账期”。 计费模式选择“包周期”。 账期选择需要查看的账单时间。

本文介绍当证书链不完整，HTTPS中间证书配置错误时该如何处理。 中间证书是根证书颁发机构CA对中间证书颁发机构的公钥进行数字签名得到的证书。其作用是通过中间证书的私钥来签署最终用户的SSL证书，通过中间根对另一个中间根进行签名，然后CA使用它来对证书进行签名。主流浏览器如Firefox或者Chrome对未安装中间证书的网站可能会作出此链接不受信任的提示，或者安装了安全证书的网站，用手机访问时还是会出现不安全的提示，这些情况都很可能是中间证书链不完整导致的。在WAF控制台上传证书时在证书公钥（PEM格式）输入框输入域名证书拼接中间证书即可，具体拼接格式如下： BEGIN CERTIFICATE 域名证书 END CERTIFICATE BEGIN CERTIFICATE 中间证书 END CERTIFICATE

方法二：文件验证 本文以加速域名www.ctcdn.cn为例，为您介绍如何通过文件验证方式来验证域名归属权。 1.在您的主域名源站根目录下，创建文件名为：dnsverify.txt的文件（文件名为固定值），文件内容为天翼云控制台返回的TXT记录值（如下记录值仅为示例）。 主域名：一级域名，例如：www.ctcdn.cn的主域名为：ctcdn.cn（具体值以添加域名时控制台或API返回的主域名或domainzone值为准），TXT记录值为根据域名随机生成。 2.文件在主域名源站根目录下创建完成后，即可进行访问验证（示例的www.ctcdn.cn的文件验证需要访问 windows验证： linux验证： 3.如访问展示的文件内容和天翼云控制台返回的TXT记录值一致，则表示配置正确。 确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。

本文主要介绍消费账单支持查询的维度和查询方法。 天翼云支持用户查询账单概览、流水账单、账单详情及导出记录，详情请见：查看消费账单。 消费概况 汇总账单可以展示不同汇总维度下的应付金额、扣费明细等数据，每个产品只展示一条汇总数据。 流水账单 流水账单可以展示按照不同计费模式下的每一笔订单和每个计费周期维度构成的数据，根据此账单进行扣费和结算，并可导出两种格式（xlsx、csv）的账单，在“导出记录”下载。 账单详情 自定义账单可以通过多维度展示客户账单的详细信息，并可导出两种格式（xlsx、csv）的账单，在“导出记录”下载。 导出记录 用户选择导出后，可以在“导出记录”页面点击下载，也可查看已导出的全部文件记录。 查询步骤 1、登录天翼云账户，单击右上角【我的】，再单击【费用中心】。 2、选择【账单管理】，分别单击【账单概览】、【流水账单】、【账单详情】、【导出记录】查询不同维度的账单。

云主机放通互联网访问，首先设置应用控制策略。本小节介绍安全专区访问策略配置方法。 配置方法： 在【策略】→【访问控制】→【应用控制策略】→【策略汇总】→【新增】： 源 区域：选择“L3untrustA”。 地址：选择网络对象，勾选需要访问互联网的业务云主机对象。 目的 区域：选择“L3untrustA”。 地址：勾选网络对象，选择全部。 服务/应用：勾选服务，需访问的互联网服务端口可选择any全端口。

本章节为您介绍WAF日志字段。 下表为WAF日志字段的内容说明。 英文字段 中文字段 字段样例 数据类型 字段类型 是否为枚举字段 tenantid 租户ID 5cc1eb4ab1bb49ffb6f9e0821a339cf9 字符串 通用字段 否 regionid 资源池ID 字符串 通用字段 否 remoteaddr 客户端IP地址 139.100.157.16 字符串 通用字段 否 remoteuser HTTP基础认证服务的用户名 字符串 通用字段 否 timestamp 服务器时间 2025/9/24 8:28 字符串 通用字段 否 method 请求方法 GET 字符串 通用字段 否 path 包含一些客户端请求参数的原始URIPATH，不包含主机名和参数 / 字符串 通用字段 否 protocol HTTP请求协议 HTTP/1.1 字符串 通用字段 否 respcode HTTP响应代码 403 字符串 通用字段 否 bytessent 传输给客户端的字节数 9165 字符串 通用字段 否 referer 请求头中的referer字段，用来记录从哪个页面链接访问过来的 字符串 通用字段 否 useragent 请求头中的useragent字段，用户终端浏览器等信息 curl/7.71.1 字符串 通用字段 否 serveraddr 服务器地址 8.137.123.20 字符串 通用字段 否 serverport 服务器端口号 1000 字符串 通用字段 否 host 请求头中的host字段值，既域名:端口(80缺省) 1021.yidaa.xyz:8080 字符串 通用字段 否 requesttime 处理客户端请求使用的时间,单位为毫秒； 从读入客户端的第一个字节开始，直到把最后一个字符发送给客户端后进行日志写入为止。 0 字符串 通用字段 否 policyid 策略ID d5e5eb6084c34b6885abe7d0bca5327d 字符串 通用字段 否 attacktype 攻击类型，详见攻击类型枚举字段表 0 字符串 通用字段 是 severity 威胁等级，详见威胁等级枚举字段表 3 字符串 通用字段 是 action 规则动作，详见规则动作枚举字段表 1 字符串 通用字段 是 ruleid 命中规则的ID d662ad461719461c85c8ed100abc95f9 字符串 通用字段 否 rulename 命中规则的名称 GeneralRule.O3.1 字符串 通用字段 否 ruletype 规则类型，详见规则类型枚举字段表 1 字符串 通用字段 是 uniqueid ID标识，随机生成的字符串 2a47b1962d0689046d2bd14d036e589d 字符串 通用字段 否 attackarea 客户端IP所属地区，国家地区代码，详见代码对应表，用.号拼接国家和省份 86.51 字符串 通用字段 否 attackextradata 保留字段，例如统计cc攻击次数时需要用到此字段 字符串 通用字段 否 remotehost 域名 1021.yidaa.xyz 字符串 通用字段 否 configdomain 接入配置的域名 1021.yidaa.xyz 字符串 通用字段 否 rawheader 请求头 GET /p%20%201%20and%201%20%201 HTTP/1.1rnHost: 1021.yidaa.xyz:8080rnUserAgent: 9531rnConnection: closernXRealIP: 139.100.157.16rnrn 字符串 通用字段 否 reqbody 请求体 字符串 通用字段 否 respheader 响应头 字符串 通用字段 否 respbody 响应体 字符串 通用字段 否 payload 攻击载荷 p 1 and 1 1 字符串 通用字段 否 accessruleid 访问规则ID 1a6da442a1844ac9ad1df5e57be9e339 字符串 通用字段 否 scheme 请求协议 http 字符串 通用字段 否 requestport 请求端口号 8080 字符串 通用字段 否 remoteport 客户端源端口号 39610 字符串 通用字段 否 instance 实例id 字符串 通用字段 否

如有限速需求,可根据业务逻辑进行带宽管理。 操作方法 1.打开菜单栏，【策略→iQoS→新建】，配置名称及模式。 2.新建匹配条件，可依据针对某IP或者某角色进行带宽限制，正向和反向是按照源地址到目的地址进行划分。 3.依据业务配置完成后，可启用对应限速功能。

入侵防御策略需提前设置IPS模板,为后期调用做准备。 1.打开菜单栏【对象→入侵防御→模板→新建】。 2.新建策略模板，选择特征，以严重程度划分过滤。 3.新建模板完成。

本文提供SNAT防护的配置示例。 更多参数配置请参见“通过添加防护规则拦截/放行流量”。 SNAT防护配置 假如您的私网IP为“10.1.1.2”，通过NAT网关访问的外部域名为“www.ctyun.cn”，您可以参照以下参数配置NAT防护，其余参数可根据您的部署进行填写： 规则类型：NAT防护 方向：选择“SNAT” 源：选择“IP地址”，填写“10.1.1.2” 目的：选择“域名/域名组”、“网络型”，填写“www.ctyun.cn” 服务：选择“服务”、“TCP、165535、165535”

产品优势：极简部署、智能防护、可视可溯、丰富生态 极简部署 作为一款云SaaS服务，可以对公网资产、内部资产自动安全盘点，一键开启防护，支持原有安全策略一键导入，可随业务按需动态扩容。 智能防护 AI算法实时检测和拦截恶意流量；并通过自带的入侵防御引擎（IPS），对恶意流量进行实时检测和精准防御。 可视可溯 全场景流量日志、访问日志、入侵攻击日志记录，并通过报表分析呈现，支持审计及高级威胁溯源分析。 丰富生态 支持无缝集成第三方厂家威胁检测分析引擎，云上云下统一生态，客户原线下安全策略资产无缝平移。

用户组配置权限策略后，将用户加入用户组中，可以使该用户获得权限策略中定义的操作权限。 系统默认提供两种权限策略 系统策略和自定义策略。系统策略是IAM预置的策略，用户只能使用不能修改。若系统策略不满足授权要求，用户可以创建自定义策略，自由搭配需要授予的权限集。 用户组配置权限策略后，将用户加入用户组中，可以使该用户获得权限策略中定义的操作权限。