参数 是否必填 参数类型 说明 示例 下级对象 prodInstId 是 Long 实例id 34 startTime 是 String 查询开始时间，格式yyyyMMdd HH:mm:ss， 不能晚于当前时间 20221017 12:00:00 endTime 是 String 查询结束时间，格式yyyyMMdd HH:mm:ss， 与开始时间不能间隔30天，且不能早于开始时间 20221018 12:00:00

WAF如何解析/访问IPv6源站？ 当防护网站的源站地址配置为IPv6地址时，WAF直接通过IPv6地址访问源站。WAF默认在CNAME中增加IPv6地址解析，IPv6的所有访问请求将先流转到WAF，WAF检测并过滤恶意攻击流量后，将正常流量返回给源站，从而确保源站安全、稳定、可用。 WAF支持IPv6/IPv4双栈模式和NAT64机制，详细说明如下： Web应用防火墙支持IPv6/IPv4双栈，针对同一域名可以同时提供IPv6和IPv4的流量防护。 针对仍然使用IPv4协议栈的Web业务，Web应用防火墙支持NAT64机制（NAT64是一种通过网络地址转换（NAT）形式促成IPv6与IPv4主机间通信的IPv6转换机制），即WAF可以将外部IPv6访问流量转化成对内的IPv4流量。

参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码 800 message String 消息提示 SUCCESS returnObj Object 返回对象，true:有效，false:无效 true

接口描述 查询实例所有节点以及备机（如果有的话）的规格详情，包括cpu、内存、磁盘 请求方法 GET URI /v1/product/scaledetail 请求参数 名称 位置 类型 必选 说明 prodInstId body Long 是 实例id 响应参数 名称 二级节点 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj List 所有的返回信息都以JSON形式保存 ip String 节点ip type Integer 节点类型，取值 l 0：主节点 l 1：从节点 l 2：备份节点 cpu Integer cpu数量，单位core memeory Long 内存大小，单位K disk Long 磁盘大小，单位K 示例 请求示例 /v1/product/getProductScaleDetail?prodInstId14 响应示例 { "message": "SUCCESS", "opMessage": "", "returnObj": [ { "cpu": 1, "disk": 22750104, "ip": "192.168.190.12", "memory": 1863000, "type": 2 }, { "cpu": 1, "disk": 22936404, "ip": "192.168.190.11", "memory": 1863000, "type": 0 }, { "cpu": 1, "disk": 22750104, "ip": "192.168.190.12", "memory": 1863000, "type": 1 } ], "statusCode": 800 }

接口功能介绍 自动备份任务下次开始时间。 接口约束 URI GET /v1/backup/nextautobackupbegintime 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 请求体Query参数 参数 是否必填 参数类型 说明 示例 下级对象 prodInstId 是 Long 实例id 10 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码 800 message String 消息提示 SUCCESS returnObj Object 返回对象 20221122 10:00:00 请求示例 /v1/backup/nextautobackupbegintime?prodInstId10 请求头header 请求体body 响应示例 json { "message": "SUCCESS", "returnObj": "20221122 10:00:00", "statusCode": 800 } 错误码 访问ErrorCodes说明文档查看更多错误码。

名称 位置 类型 必选 说明 prodInstId query Long 是 实例id operType query Integer 否 备份类型，1：自动备份，2：手动备份，4：系统备份,默认查询全部 startTime query String 否 备份开始时间，若该值，则查询大于等于该值的，格式：yyyyMMdd HH:mm:ss endTime query String 否 备份查询时间，若该值，则查询大于等于该值的，格式：yyyyMMdd HH:mm:ss pageNum query Integer 是 当前页 pageSize query Integer 是 页大小，范围1500

名称 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Object

名称 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Object

接口描述 解锁PostgreSQL实例的账号，PostgreSQL实例被锁定的账号无法使用，需要解锁后才能继续使用。 请求方法 POST URI /v1/instuser/unlock 请求参数 名称 位置 类型 必选 说明 prodInstId body Long 是 实例id username body String 是 用户账号 响应参数 名称 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Object 返回结果 示例 请求示例 /v1/instuser/unlockUser { "prodInstId": "165776586159600008", "username": "pguser" } 响应示例 { "message": "SUCCESS", "returnObj": {}, "statusCode": 800 } 错误码 访问ErrorCodes说明文档查看更多错误码。

示例 请求示例 {URI}?pageNum1&pageSize10 响应示例 { "message": "SUCCESS", "returnObj": { "list": [ { "backupName": "测试pg备份", "createTime": "2022726 11:19:00", "dataLen": "3G", "endTime": 1661498705000, "invalid": 0, "prodInstId": 1, "prodInstName": "pg实例", "result": 3, "startTime": 1661498704000, "type": "0" } ], "pageNum": 1, "pageSize": 10, "pageTotal": 1, "total": 1 }, "statusCode": 800 } 错误码 访问ErrorCodes说明文档查看更多错误码。

名称 位置 类型 必选 说明 prodInstId body Long 是 实例id username body String 是 用户账号 password body String 是 用户密码

示例 请求示例 /v1/backup/pageDetachedBackup?prodInstId53&pageNum1&pageSize10 响应示例 { "message": "SUCCESS", "opMessage": "", "returnObj": { "list": [ { "backupName": "53to5420220826110646", "dataLen": "", "endTime": 1661512021000, "id": 25, "prodInstId": 53, "result": 3, "startTime": 1661512006000, "type": 3 } ], "pageNum": 1, "pageSize": 10, "pageTotal": 1, "total": 1 }, "statusCode": 800 } 错误码 访问ErrorCodes说明文档查看更多错误码。

本节介绍如何处理WAF误拦截了“非法请求”访问请求。 问题现象 防护网站接入WAF后，访问请求被WAF拦截，在“防护事件”页面查看防护日志，显示访问请求为“非法请求”且误报处理按钮置灰不能使用。 可能原因 当遇到以下情况时，WAF将判定该访问请求为非法请求并拦截该访问请求： POST/PUT使用“formdata”时，表单的参数个数多于8192个。 URI的参数个数多于2048个。 Header个数超过512个。 处理建议 当确认访问请求为正常请求时，请参见配置精准访问防护规则放行该访问请求。

本节介绍如何处理域名/IP接入状态显示“未接入”问题。 故障现象 添加防护域名或IP后，域名或IP接入WAF失败，即防护网站“域名接入进度”未显示“已接入”。 WAF每隔一小时就会自动检测防护网站的“接入状态”，当WAF统计防护网站在5分钟内达到20次访问请求时，将认定该防护网站已成功接入WAF。 排查思路和处理建议 防护网站的“部署模式”为“独享模式”时，请参考图进行排查处理。 独享模式接入WAF失败问题处理 可能原因 处理建议 原因一：域名 /IP “接入状态”未刷新 在防护网站“接入状态”栏，单击刷新按钮刷新状态。 原因二：访问流量未达到WAF统计要求 说明 防护网站接入WAF后，当WAF统计防护网站在5分钟内有20次请求时，将认定该防护网站已接入WAF。 1. 在1分钟内多次访问防护网站。 2. 在防护网站“接入状态”栏，单击刷新按钮刷新状态。 原因三：域名 /IP参数配置错误 检查域名/IP参数是否正确。 如果域名/IP配置错误，删除该域名/IP后重新添加防护网站。 原因四：没有为独享模式实例配置负载均衡，配置的负载均衡未绑定弹性公网IP 1. 为独享引擎实例配置负载均衡。 2. 为弹性负载均衡绑定弹性公网IP。 原因五：独享模式实例负载均衡配置错误或负载均衡绑定弹性公网IP错误 配置负载均衡后，当WAF独享引擎实例的“健康检查结果”为“正常”时，说明弹性负载均衡配置成功。 为弹性负载均衡绑定弹性公网IP后，可以查看绑定的弹性公网IP，说明绑定成功。

参数 参数类型 说明 示例 下级对象 fileName String 文件名称 postgresql20221101174412.csv logDownloadUrl String 下载地址 logSize String 日志文件大小，单位：byte 5438349 logTime Long 审计文件时间 1667297102000 sqlStartTime Long sql开始时间 1667296096000 sqlEndTime Long sql结束时间 1667297102000

参数 是否必填 参数类型 说明 示例 下级对象 orders 是 Array 订单项 List

参数 是否必填 参数类型 说明 示例 下级对象 projectid 是 String 项目id

购买内容安全检测服务时，如何确定网站检测配额？ WAF内容安全检测服务按新媒体账号或网站地址个数确定检测配额，1个新媒体账号或1个网站地址占1个检测配额。 基于网站内容来判定配置几个检测网站，同一个组织和同一类内容被认定成一个网站，具体可参见以下几个场景。 说明 WAF支持批量购买内容安全检测服务，可一次输入一个或多个检测对象（新媒体或网站）进行安全检测，最多支持一次输入100个检测对象。 “检测对象类型”为“网站”时，检测对象的每一行表示一个检测网址，多个网址以回车换行分割；同一行内的网址和备注之间以英文逗号分割，如无备注，可只输入网址，每行最多支持500个英文字符（1个中文字符等于2个英文字符）。 “检测对象类型”为“新媒体”时，检测对象的每一行表示一个新媒体账号，多个新媒体账号以回车换行分割；同一行内的新媒体账号和备注之间以英文逗号分割，每行最多支持500个英文字符（1个中文字符等于2个英文字符）。 场景一：同一官网域名对应的内容，占一个网站检测配额 举例：XX官网里有“产品中心”、“品牌活动”、“网络商城”等板块，但这些板块都同属于官网域名，算一个网站，占一个检测网站配额，即在购买内容安全检测服务时，“检测对象类型”选择“网站”，“检测对象”配置为XX官网的网址即可。 场景二：不同域名对应的网站，检测配额独立计算 举例 ：某官网（ 场景三：域名相同但网站名称不同，检测配额独立计算 举例 ：某省省法院官网（

参数 是否必填 参数类型 说明 示例 下级对象 prodInstId 是 Long 实例id 34 sqlCollectorStatus 是 String 开启或关闭SQL洞察（SQL审计），取值：enable disabled enable restartInstance 否 boolean 是否重启实例，默认false。若要生效，需要重启实例 true

名称 位置 类型 必选 说明 resId body Long 是 数据库资源唯一标识 limit body Integer 是 查询数量，限制500 flag body String 否 数据库类型，OpenGauss:OpenGauss,PostgreSQL:PostgreSQL, 若不传，则根据resId的数据库类型进行过滤 order body String 否 排序字段，不传默认avgCost，取值 calls total avgCost beginTime body String 否 自定义开始时间,格式：yyyyMMdd HH:mm:ss，开始时间默认为结束时间的一小时前。 endTime body String 否 自定义结束时间,格式：yyyyMMdd HH:mm:ss，结束时间默认为当前时间。

接口描述 修改Postgresql实例IP白名单。 请求方法 PUT URI /v1/whitelist/modify 请求参数 名称 位置 类型 必选 说明 prodInstId body Long 是 实例id mode body String 是 修改模式： cover：用ipList中的IP覆盖原白名单 delete：把ipList的IP从白名单中移除,如果有白名单中不存在的IP，会被跳过 append：把ipList中的IP加入白名单 ipList body List 是 IP列表 响应参数 名称 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Object 所有的返回信息都以JSON形式保存 示例 请求示例 /v1/whiteList/modifyIPWhiteList { "ipList": [ "127.0.0.1", "192.168.174.1" ], "mode": "delete", "prodInstId": 15 } 响应示例 { "message": "SUCCESS", "opMessage": "", "returnObj": {}, "statusCode": 800 } 错误码 访问ErrorCodes说明文档查看更多错误码。

名称 位置 类型 必选 说明 prodInstId body Long 是 实例id description body String 是 最大长度不超过1KB,最小长度为0；输入空字符串表示清空描述

名称 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Object 所有的返回信息都以JSON形式保存

此小节介绍如何进行WAF防护策略的配置。 防护规则配置方式 为了简化您的配置过程，WAF提供了以下两种自定义防护规则的配置方式，请根据您的业务合理选择配置方式。 方式一：单个域名配置防护规则 此种方式适合域名业务较少或者域名业务适用的配置规则不相同的用户。 网站接入WAF防护后，您可以参照以下步骤，为网站配置防护策略。 步骤 说明 步骤一：添加防护策略 域名添加到WAF后，WAF会自动为该域名绑定一个防护策略，该策略中包含了WAF默认的防护规则，如果需要重新定制防护策略，可新增防护策略。 步骤二：为策略配置防护规则 防护策略是防护规则的合集，WAF支持的防护规则见下表。 步骤三：添加策略适用的防护域名 一条防护策略可以适用于多个防护域名，如果多个域名适用这条策略，可为策略添加适用的防护域名。 规则配置页面可配置的防护规则，如下表所示。 防护规则 说明 参考文档 ::: Web基础防护规则 覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对恶意扫描器、IP、网马等威胁进行检测和拦截。 配置Web基础防护规则 CC攻击防护规则 可以自定义CC防护规则，限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，WAF会根据您配置的规则，精准识别CC攻击以及有效缓解CC攻击。 配置CC攻击防护规则 精准访问防护规则 精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合，定制化防护策略，为您的网站带来更精准的防护。 配置精准访问防护规则 黑白名单规则 配置黑白名单规则，阻断、仅记录或放行指定IP的访问请求，即设置IP黑/白名单。 配置IP黑白名单规则 地理位置访问控制规则 针对指定国家、地区的来源IP自定义访问控制。 配置地理位置访问控制规则 网页防篡改规则 当用户需要防护静态页面被篡改时，可配置网页防篡改规则。 配置网页防篡改规则 网站反爬虫规则 动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为。 配置网站反爬虫防护规则 防敏感信息泄露规则 该规则可添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 配置防敏感信息泄露规则 全局白名单规则 针对特定请求忽略某些攻击检测规则，用于处理误报事件。 配置全局白名单（原误报屏蔽）规则对误报进行忽略 隐私屏蔽规则 隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。 配置隐私屏蔽规则

名称 位置 类型 必选 说明 prodInstId body Long 是 实例id uncheckRange body String 是 禁用检测组件范围，取值如下： 1.逗号分割的字符串，其中每一项只能在zk/agent/pg/gateway中取值, eg: agent,pg 2.空字符串，恢复默认检测所有组件

名称 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Object 所有的返回信息都以JSON形式保存

名称 二级节点 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Object 所有的返回信息都以JSON形式保存 enableDbName Boolean 数据库名是否可用 true:可用 false:不可用

本节介绍通过业务Cookie和HWWAFSESID联合配置限制恶意抢购、下载等的最佳实践。 业务场景 场景一： 限制同一个账号切换IP、终端的恶意请求（抢购、下载等）。 防护措施：使用业务 Cookie（或者用户id）基于路径配置CC限速。 场景二： 限制恶意人员在同一个PC多个账号不停切换的恶意请求（抢购、下载等）。 防护措施：使用HWWAFSESID基于路径配置CC限速。 使用业务Cookie（或者用户id）基于路径配置CC限速 步骤 1 登录管理控制台，将您的网站成功接入到WAF。独享模式添加域名的方法：网站接入WAF。 步骤 2 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。 步骤 3 在“CC攻击防护”配置框中，确认“CC攻击防护”的“状态”为“开启”，单击“自定义CC攻击防护规则”，进入CC防护规则配置页面。 步骤 4 在“CC攻击防护”规则配置页面左上角，单击“添加规则”。 步骤 5 根据业务情况，使用业务Cookie（或者用户id）基于路径配置CC限速。根据实际情况配置参数。 步骤 6 单击“确认”，完成配置。 使用HWWAFSESID基于路径配置CC限速 步骤 1 登录管理控制台，将您的网站成功接入到WAF。独享模式添加域名的方法：网站接入WAF。 步骤 2 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。 步骤 3 在“CC攻击防护”配置框中，确认“CC攻击防护”的“状态”为“开启”，单击“自定义CC攻击防护规则”，进入CC防护规则配置页面。 步骤 4 在“CC攻击防护”规则配置页面左上角，单击“添加规则”。 步骤 5 根据业务情况，使用HWWAFSESID基于路径配置CC限速。 “用户标识”：选择“Cookie”，配置为“HWWAFSESID”。 其他参数根据业务实际情况进行配置。 步骤 6 单击“确认”，完成配置。

接口描述 删除PostgreSQL实例下的某个数据库 请求方法 POST URI /v1/database/drop 请求参数 名称 位置 类型 必选 说明 prodInstId body Long 是 实例id dbName body String 是 数据库名称 响应参数 名称 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Object 所有的返回信息都以JSON形式保存 示例 请求示例 /v1/database/drop { "dbName": "myDb", "prodInstId": 1 } 响应示例 { "message": "SUCCESS", "returnObj": {}, "statusCode": 800 } 错误码 访问ErrorCodes说明文档查看更多错误码。

名称 位置 类型 必选 说明 prodInstId body Long 是 实例id dbName body String 是 数据库名称 description body String 否 数据库描述，长度为2~256个字符。 以中文、英文字母开头，可以包含数字、中文、英文、下划线（）、短横线（）

Apache Dubbo官方发布了CVE201917564漏洞通告，漏洞等级中危，Web应用防火墙提供了对该漏洞的防护。本章节介绍Apache Dubbo反序列化漏洞的最佳实践。 漏洞介绍 CVE201917564漏洞等级为中危。当用户选择HTTP协议进行通信时，攻击者可以通过发送POST请求的时候来执行一个反序列化的操作，由于没有任何安全校验，该漏洞可以造成反序列化执行任意代码。 影响的版本范围 漏洞影响的Apache Dubbo产品版本包括： 2.7.0～2.7.4、2.6.0～2.6.7、2.5.x的所有版本。 安全版本 Apache Dubbo 2.7.5版本。 解决方案 建议您将Apache Dubbo升级到2.7.5版本。 如果您无法快速升级版本，或者希望防护更多其他漏洞，可以使用天翼云Web应用防火墙对该漏洞进行防护，请参照以下步骤进行防护： 步骤 1 申请WAF独享引擎。 步骤 2 将网站域名添加到WAF中并完成域名接入，详细操作请参见网站接入WAF。 步骤 3 将Web基础防护的状态设置为“拦截”模式，详细操作请参见配置Web基础防护规则。

接口描述 撤销账号对数据库下schema的访问权限。调用该接口时，实例必须满足以下条件，否则将操作失败： 实例状态为运行中。 数据库状态为运行中。 请求方法 POST URI /v1/instuser/revokeprivilege 请求参数 名称 位置 类型 必选 说明 prodInstId body Long 是 实例id username body String 是 用户账号 dbName body String 是 数据库名称 schemaName body String 否 schema名称，默认public 响应参数 名称 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Object 返回结果 示例 请求示例 /v1/instuser/revokeUserPrivilege { "dbName": "testdb", "prodInstId": "165776586159600008", "schemaName": "testSchema", "username": "pguser" } 响应示例 { "message": "SUCCESS", "returnObj": {}, "statusCode": 800 } 错误码 访问ErrorCodes说明文档查看更多错误码。