Web应用防火墙（原生版）_Web应用防火墙（原生版）文档介绍内容-天翼云

开启公网NAT网关防护
开启公网NAT网关防护登录云防火墙(原生版)控制台。在左侧导航栏,选择“防火墙开关 > 互联网边界防火墙开关”。在“公网NAT”页签,找到需要开启防护的公网NAT网关,单击操作列的“开启防护”。系统会定期自动同步当前账号下的资产到该页面,若有公网NAT网关资产未同步,可以在互联网边界防火墙开关页面右上角单击“同步资产”,手动同步资产。资产同步预计需要1~2分钟。公网NAT网关列表展示当前账号下所有公网NAT网关。列表包括NAT名称、NAT状态、可用区、虚拟私有云、防护状态。

来自：
帮助文档
云防火墙（原生版）
用户指南（C100）
防火墙开关
互联网边界防火墙
开启公网NAT网关防护
开启弹性IP防护
开启弹性IP防护登录云防火墙(原生版)控制台。在左侧导航栏,选择“防火墙开关 > 互联网边界防火墙开关”。在“弹性IP”页签,选择IP版本后,找到需要开启防护的弹性IP,单击操作列的“开启防护”。系统会定期自动同步当前账号下的资产到该页面,若有弹性IP资产未同步,可以在互联网边界防火墙开关页面右上角单击“同步资产”,手动同步资产。资产同步预计需要1~2分钟。弹性IP列表展示当前账号下所有VPC内的绑定云主机资产的公网IP。

来自：
帮助文档
云防火墙（原生版）
用户指南（C100）
防火墙开关
互联网边界防火墙
开启弹性IP防护
管理类其他问题
云下一代防火墙安全产品是否满足三权分离? 三权分离用于确保权力不会集中在一个单一的实体或个人手中,以防止滥用权力、促进监督和平衡,从而维护公共机构的透明性和效力。在信息安全领域,三权分离原则通常应用于管理系统和数据的访问和操作,以保护网络安全和防止内部滥用权力。云下一代防火墙安全产品提供内置的管理员、操作员和审计员权限,允许实现三权分离。

来自：
帮助文档
云下一代防火墙
常见问题
管理类
管理类其他问题
规格
本节介绍云下一代防火墙产品规格,以及相关规格的参数。性能规格云下一代防火墙分为三个版本,不同版本的最大处理流量、最大并发连接数、每秒新建连接数不同,详情见下表: 版本最大处理流量最大并发连接数每秒新建连接数标准版 100M 100K 20K 高级版 200M 250K 40K 旗舰版 4G 2500K 80K 功能规格云下一代防火墙分为基础功能和扩展功能,基础功能必选,扩展功能可选。

来自：
帮助文档
云下一代防火墙
产品简介
规格
概述
云防火墙(原生版)(CT-CFW,Cloud Firewall)是一款云原生的云上边界网络安全防护产品,可提供统一的互联网边界管控与安全防护,并提供实时入侵防护、全流量业务可视化、日志审计和分析等功能,帮助用户完成网络边界防护与等保合规业务。

来自：
帮助文档
云防火墙（原生版）
API参考
API概览
概述
配置日志启用
云下一代防火墙可以进行日志查询,日志启用需登录云下一代防火墙web界面进行配置。本页面仅列出常规使用配置,其他配置请参考运维人员操作指南下载查询。操作方法1.打开菜单栏,【监控→日志→日志管理】,开启对应功能日志记录功能。2.可进行对应日志查询。

来自：
帮助文档
云下一代防火墙
基础运维指南
配置日志启用
使用Postman工具模拟业务验证全局白名单（原误报屏蔽）规则
单击页面左上方的,选择“安全 Web应用防火墙(独享版)”。在左侧导航树中,选择“防护事件”,进入“防护事件”页面。在防护事件页面,WAF拦截的防护事件命中了“XSS攻击”的“010000”规则。在该防护事件所在行的“操作”列中,单击“更多 > 误报处理”。在弹出的“误报处理”对话框中,添加全局白名单(原误报屏蔽)规则。单击“确认添加”。防护规则生效需要5分钟左右。

来自：
帮助文档
Web应用防火墙（独享版）
最佳实践
使用Postman工具模拟业务验证全局白名单（原误报屏蔽）规则
计费模式
安全专区产品按等保级别订制4个套餐型号销售,套餐功能特性及安全组件规格如下:等保级别套餐型号套餐安全功能特性可选安全组件及规格二级等保入门版云防火墙(含WAF/防篡改模块)云防火墙:100M/200M/300M/400M/500M/800M/1G/1.6G云日志审计云日志审计:10/20/50/100/200/300/500资产主机漏扫安全管理中心基础版:10/20/50/100/200/300/500资产安全管理中心-基础版云防火墙(含WAF/防篡改模块)云防火墙:100M/200M/300M/

来自：
帮助文档
安全专区
计费说明
计费模式
开启弹性负载均衡防护
开启弹性负载均衡防护登录云防火墙(原生版)控制台。在左侧导航栏,选择“防火墙开关 > 互联网边界防火墙开关”。在“弹性负载均衡”页签,选择IP版本后,找到需要开启防护的弹性负载均衡实例,单击操作列的“开启防护”。系统会定期自动同步当前账号下的资产到该页面,若有弹性负载均衡资产未同步,可以在互联网边界防火墙开关页面右上角单击“同步资产”,手动同步资产。资产同步预计需要1~2分钟。弹性负载均衡实例列表展示当前账号下已创建的弹性负载均衡实例。

来自：
帮助文档
云防火墙（原生版）
用户指南（C100）
防火墙开关
互联网边界防火墙
开启弹性负载均衡防护
应用场景
本节介绍云下一代防火墙应用场景。边界安全应用场景场景特点业务主机直接绑定弹性IP的安全风险极高,为了保证VPC内云主机的安全性,使用云下一代防火墙进行七层流量访问控制与检测,拦截病毒及入侵,为用户VPC安全保驾护航。适用行业全行业适用,尤其是需要进行等保测评的企业用户。推荐方案云墙高可用部署,启用防病毒、入侵防御、流量管理等功能模块。

来自：
帮助文档
云下一代防火墙
产品简介
应用场景
配置攻击惩罚的流量标识
单击页面左上角的“服务列表”,选择“安全 Web应用防火墙(独享版)”。在左侧导航树中,选择“网站设置”,进入“网站设置”页面。在目标网站所在行的“域名”列中,单击目标网站,进入网站基本信息页面。在“流量标识”栏中,单击“IP标记”、“Session标记”或“User标记”后的,分别设置流量标记。流量标识参数说明: 标识说明配置样例IP标记客户端最原始的IP地址的HTTP请求头字段。

来自：
帮助文档
Web应用防火墙（独享版）
网站设置
高级设置
配置攻击惩罚的流量标识
接入DDoS高防（边缘云版）域名无法访问
3、SSL证书问题:如果您的网站启用了HTTPS协议,请确保域名在DDoS高防(边缘云版)控制台上正确配置了HTTPS证书,并且证书没有过期或损坏。 4、防火墙或安全策略限制:某些源站防火墙或安全策略可能会干扰DDoS高防(边缘云版)的正常回源。解决方案 1、DNS解析问题:您可以通过ping、nslookup、dig等命令检查域名的DNS解析设置,确保解析结果和DDoS高防(边缘云版)控制台上该加速域名的CNAME值一致。

来自：
帮助文档
DDoS高防（边缘云版）
故障排查
接入DDoS高防（边缘云版）域名无法访问
计费类
本小节为云防火墙计费类常见问题。云防火墙如何收费和计费? 云防火墙标准版支持包年/包月(预付费)计费方式。标准版支持扩容防护公网IP数和互联网边界流量峰值。专业版支持扩容防护公网IP数、互联网边界流量峰值和防护VPC数。有关CFW详细的计费说明,请参见计费说明。有关CFW各版本差异,请参见服务版本差异。云防火墙如何变更版本规格? 云防火墙,支持标准版升级到专业版,不支持专业版变更到标准版。如需降低版本规格,需退订当前版本后再进行购买。

来自：
帮助文档
云防火墙
常见问题
计费类
套餐和版本说明
套餐和版本概述天翼云Web应用防火墙(边缘云版)(下文简称WAF)支持包年包月计费模式。本文介绍不同套餐版本适用的业务规模、支持的防护功能。 WAF套餐版本分为:体验版、基础版、标准版、专业版、旗舰版。适用的业务规模下表描述了不同WAF版本适用的业务规模。一般情况下,对于中型规模的企业网站,推荐您选择专业版或者旗舰版。

来自：
帮助文档
Web应用防火墙（边缘云版）
产品介绍
产品简介
套餐和版本说明
快速构建FTP站点（Windows）
配置FTP防火墙支持。如果需要使用FTP服务器的被动模式,则需要配置FTP防火墙支持。如果天翼云上的服务器需要通过公网IP地址访问天翼云上的实例搭建的FTP服务器时,需要配置FTP服务器的被动模式。双击“FTP防火墙支持”,打开FTP防火墙支持的配置界面。配置相关参数,数据通道端口范围:指定用于被动连接的端口范围。可指定的有效端口范围为1025-65535,请根据实际需求进行设置,此处配置5000-6000,防火墙的外部IP地址:输入该弹性云主机的公网IP地址,并单击“应用”。

来自：
帮助文档
弹性云主机
最佳实践
搭建网站/应用最佳实践
快速构建FTP站点（Windows）
访问网站或应用故障类
检查云主机的防火墙设置查看并禁用Windows弹性云主机防火墙策略,禁用后检查是否可以连通网络。登录Windows弹性云主机。单击桌面左下角的开始图标,选择“控制面板 > 系统和安全 > Windows防火墙”。单击“检查防火墙状态 > 关闭Windows防火墙”。再次尝试访问公网。使用Ping命令检查网关通信是否正常使用ping命令检查云主机与网关通信是否正常。如果可以ping通就是其他原因,无法ping通需查看DNS设置情况。

来自：
帮助文档
弹性云主机
常见问题
网络配置类
访问网站或应用故障类
与其他服务的关系
Anti-DDoS可以为弹性云主机、弹性负载均衡、Web应用防火墙、弹性IP等服务的公网IP资源提供防护能力。此外,与其他云服务之间还存在以下关系:服务名称与其他服务的关系主要交互功能云审计服务开通云审计服务后,云审计服务会记录Anti-DDoS相关的操作事件,方便用户日后的查询、审计和回溯。查看云审计日志消息通知服务消息通知服务(Simple Message Notification,简称SMN)提供消息通知功能。

来自：
帮助文档
Anti-DDoS流量清洗
产品介绍
与其他服务的关系
开通网页防篡改（原生版）
确认配置参数和配置费用,阅读《天翼云网页防篡改(原生版)服务协议》,并勾选“我已阅读并同意相关协议《天翼云网页防篡改(原生版)服务协议》“,单击“立即购买”。进入“付款”页面,完成付款。购买完成后,即可进入防护配额页面,查看已购买的配额。

来自：
帮助文档
网页防篡改（原生版）
快速入门
开通网页防篡改（原生版）
查看预定义服务组
云防火墙为您提供预定义服务组,包括“常用Web服务”、“常用数据库”和“常用远程登录和ping”,适用于防护Web、数据库和服务器。预定义服务组仅支持查看,不支持添加、修改、删除操作。查看预定义服务组登录管理控制台。在左侧导航栏中,单击左上方的,选择“安全> 云防火墙”,进入云防火墙的总览页面。(可选)当前账号下仅存在单个防火墙实例时,自动进入防火墙详情页面,存在多个防火墙实例时,单击防火墙列表“操作”列的“查看”,进入防火墙详情页面。

来自：
帮助文档
云防火墙
用户指南
配置访问控制策略
服务组管理
查看预定义服务组
Windows云主机搭建了FTP，通过公网无法访问
图2 开启IIS信息管理服务器搭建FTP站点步骤1 图3 开启IIS信息管理服务器搭建FTP站点步骤2 图4 开启IIS信息管理服务器搭...防火墙故障的解决步骤在开始中搜索IIS,在Internet信息服务(IIS)管理器界面中找到FTP防火墙设置。图5 打开FTP站点的防火墙双击FTP防火墙支持,设置数据通道端口范围(可指定的有效端口范围是1025-65535),防火墙的外部IP地址中输入该云主机的公网IP地址,设置完成后点击右侧的应用。

来自：
帮助文档
弹性云主机
常见问题
文件上传/数据传输
Windows云主机搭建了FTP，通过公网无法访问
查看出云流量
应用分布出方向流量的应用信息。IP分析:查看指定时间段内 TOP 50 的流量信息。外联IP:目的IP的流量信息。外联域名:域名信息。公网外联资产:源IP为公网IP的流量信息。私网外联资产:源IP为私网IP的流量信息。说明私网IP信息仅配置了VPC边界防护的专业版防火墙可见。

来自：
帮助文档
云防火墙
用户指南
查看流量数据
查看出云流量
产品定义
基础版为中小型客户提供远程交付的基础安全运营能力,通过汇聚云上安全数据,7*24小时监测分析云防火墙、EDR等安全产品告警日志和安全事件,监控用户资产安全状况,安全事件及时告知客户并可联动安全产品处置。创新提供产品售后服务专属管家,5*8值守响应产品售后问题。如需流量威胁检测,建议增购全流量分析服务。企业版基于丰富的公有云运营经验积累,面向公有云租户提供持续的安全监测和全面的保护服务,有效发挥云原生安全能力。

来自：
帮助文档
托管检测与响应服务（原生版）
产品介绍
产品定义
批量管理黑白名单规则
互联网边界防火墙和VPC边界防火墙均支持配置黑白名单规则。下载黑白名单规则模板登录云防火墙(原生版)控制台。进入黑白名单规则页面。互联网边界:在左侧导航栏选择“访问控制 > 互联网边界规则”,选择“黑名单规则”或者“白名单规则”页签。 VPC边界:在左侧导航栏选择“访问控制 > VPC边界规则”,选择“黑名单规则”或者“白名单规则”页签。单击规则列表右上方的下载模板图标,弹出下载模板确认框。单击“确定”,下载黑白名单规则模板到本地。

来自：
帮助文档
云防火墙（原生版）
用户指南（C100）
访问控制
批量管理黑白名单规则
网络安全
内部安全基础设施(包括网络防火墙、入侵检测和防护系统)可以监视通过IPsec虚拟专用网络连接进入或退出虚拟私有云的所有网络流量。

来自：
帮助文档
文档数据库服务
常见问题
管理类
网络安全
一键关站
在左侧导航栏中选择【安全能力】,进入【Web应用防火墙】菜单,并在左侧域名列表选择您要防护的域名。进入防护能力设置页。单击一键关站。配置说明一键关站开关开启后,域名所有访问将会被拒绝(响应码为403)。自定义响应页面如果您有定制化的响应状态码和响应页面,请在开关右侧【自定义响应页面】中配置。

来自：
帮助文档
边缘安全加速平台
安全与加速
安全
Web防护
一键关站
应用场景
本小节介绍微隔离防火墙应用场景。数据中心内部隔离及访问控制解决方案容器网络隔离与控制解决方案应用数据中心东西向流量监测与分析解决方案应用护网及重保内网加固解决方案应用等级保护2.0 基本要求应对方案

来自：
帮助文档
微隔离防火墙
产品介绍
应用场景
订购内容安全检测
步骤 3 单击页面左上方的,选择“安全 Web应用防火墙 (独享版)”。步骤 4 在左侧导航栏,选择“高阶功能> 内容安全检测”,进入“内容安全检测”页面。步骤 4 在页面右上角,单击“购买内容安全检测服务”,进入购买页面。在购买内容安全检测服务页面选择检测类型、填写检测对象、勾选提示后点击立即购买。参数说明参数说明区域在下拉框选择区域。检测类型“内容安全单次检测(按需)”:针对单个网站或新媒体账号的文字、图片、音频、视频内容进行检测,检测完成后提供一份内容检测报告。

来自：
帮助文档
Web应用防火墙（独享版）
计费说明
订购
订购内容安全检测
自定义拦截页面
购买高级版及以上版本,请参见安全与加速服务版本差异比对。操作步骤登录边缘安全加速平台控制台。在左侧导航栏中选择【安全能力】,进入【访问控制/限流】【Web应用防火墙】【Bot防护】菜单,并在左侧域名列表选择您要配置拦截页面的域名。点击右上角【自定义拦截页面】,即可进行配置。注意配置中或已停用的域名不支持变更配置。配置说明添加自定义拦截页面每个域名最多支持设置5条自定义拦截页面。配置项配置项说明功能开关自定义拦截页面的功能开关。

来自：
帮助文档
边缘安全加速平台
安全与加速
安全
自定义拦截页面
资产指纹管理
Web站点展示所有服务器中的Web站点,帮助用户及时发现服务器中异常的Web站点。Web站点信息包括:服务器、域名、站点类型、端口、Web路径、Web根路径、运行用户、目录权限、监听协议、PID、启动时间、最后更新时间。可以按照服务器名称/服务器IP、端口、进程PID、运行用户进行搜索。Web应用展示所有服务器中的Web应用,帮助用户及时发现服务器中异常的Web应用。Web应用信息包括:服务器、应用名称、版本号、服务类型、站点域名、Web路径,Web根路径、最后更新时间。

来自：
帮助文档
服务器安全卫士（原生版）
用户指南
资产管理
资产指纹管理
上传证书
应用场景当域名的“对外协议”设置为“HTTPS”时,需要配置证书。操作步骤步骤 1 登录管理控制台。步骤 2 单击管理控制台右上角的,选择区域。步骤 3 单击页面左上方的,选择“安全> Web应用防火墙(独享版)”。步骤 4 在左侧导航树中,选择“对象管理> 证书管理”,进入“证书管理”页面。步骤 5 在证书列表左上方,单击“添加证书”,弹出添加证书的对话框。步骤 6 输入“证书名称”,并将“证书文件”和“证书私钥”分别粘贴到对应的文本框中。 WAF当前仅支持PEM格式证书。

来自：
帮助文档
Web应用防火墙（独享版）
对象管理
管理证书
上传证书
使用限制
应用域名组(七层协议解析)每个防火墙实例下最多添加500个域名组。每个防火墙实例下最多添加2500个域名成员。每个应用域名组中最多添加1500个域名成员。网络域名组(四层协议解析)每个防火墙实例下最多添加1000个域名成员。每个网络域名组中最多添加15个域名成员。每个域名组最多支持解析1500条IP地址。每个域名最多支持解析1000条IP地址。基础防御IPS限制修改基础防御规则动作最多可修改3000条规则为“观察”。最多可修改3000条规则为“拦截”。最多可修改128条规则为“禁用”。

来自：
帮助文档
云防火墙
产品介绍
使用限制
网页防篡改（原生版）服务协议
本节介绍网页防篡改(原生版)服务协议。请参见天翼云网页防篡改(原生版)服务协议。

来自：
帮助文档
网页防篡改（原生版）
相关协议
网页防篡改（原生版）服务协议

天翼云最新活动

11.11智惠上云月

爆款云主机2核2G28.8元/年起！更有限时续费优惠，最低3.5折！

免费体验DeepSeek，上天翼云息壤

新老用户均可免费体验2500万Tokens，限时两周

云上钜惠

爆款云主机全场特惠，更有万元锦鲤券等你来领！

算力套餐

让算力触手可及

天翼云AI产品特惠

人脸识别+文字识别焕新，新用户免费试用

中小企业服务商合作专区

国家云助力中小企业腾飞，高额上云补贴重磅上线

出海产品促销专区

爆款云主机低至2折，高性价比，不限新老速来抢购！

天翼云电脑专场

移动办公新选择，爆款4核8G畅享1年3.5折起，快来抢购！

息壤智算

应用商城

定价

合作伙伴

开发者

支持与服务

了解天翼云

天翼云最新活动

产品推荐

弹性云主机

多活容灾服务

镜像服务

轻量型云主机

弹性高性能计算

算力互联调度平台

训推服务

应用托管

科研助手

推荐文档

常见问题

创建

复制备份

产品功能

文档下载