网络权限配置 网络隔离配置 借助虚拟私有云（VPC）构建隔离的虚拟网络环境，VPC 内可创建子网划分网段，不同 VPC 默认无法内网互通，实现网络层面的基础隔离。同时，可通过安全组、网络 ACL 等措施，进一步限制子网与云主机的出入流量，实现业务间的安全隔离。 搭建安全网络环境 在 VPC 规划上，可按业务单元或安全等级划分 VPC，规划共享服务 VPC 集中部署公共服务。合理设计 CIDR，预留地址空间，通过对等连接等方式实现必要的跨 VPC 互联。在互联网访问方面，部署 NAT 网关作为私有子网访问外网的出口，对需要公网服务的子网配置相应规则。同时，跨可用区部署关键服务与负载均衡，提升网络可用性与安全性。此外，通过安全组与网络 ACL 配置精细的访问控制规则，限制跨 VPC 访问与公网访问范围，保障网络环境安全。 应用防护安全 应用的网络流量攻击防护 使用基础DDoS防御与DDoS高防，天翼云为云主机提供免费 DDoS 基础防护能力，依托资源池网络，在公网 IP 遭受 DDoS 攻击时，能提供一定防护阈值，在阈值内保障 IP 可用。当攻击超出阈值时，为保护资源池整体稳定，IP 会进入封禁状态。若基础防护无法满足需求，用户可选择 DDoS 高防等更高级别防护产品。 应用的漏洞攻击防护 使用Web应用防火墙（原生版）为用户Web应用提供一站式安全防护，对Web业务流量进行智能全方位检测，有效识别恶意请求特征并防御，避免源站服务器被恶意入侵，保护网站核心业务安全和数据安全。

操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 单击目标策略名称，进入目标策略的防护配置页面。 步骤6 在“精准访问防护”配置框中，用户可根据自己的需要更改“状态”，单击“自定义精准访问防护规则”，进入精准访问防护规则配置页面。 步骤7 在“精准访问防护配置”页面，设置“检测模式”。 精准访问防护规则提供了两种检测模式： 短路检测：当用户的请求符合精准防护中的拦截条件时，便立刻终止检测，进行拦截。 全检测：当用户的请求符合精准防护中的拦截条件时，不会立即拦截，它会继续执行其他防护的检测，待其他防护的检测完成后进行拦截。 步骤8 在“精准访问防护配置”页面左上角，单击“添加规则”。 步骤9 在弹出的对话框中，添加精准访问防护规则。 以下图配置为例，其含义为：当用户访问目标域名下包含“/admin”的URL地址时，WAF将阻断该用户访问目标URL地址。 说明 如果不确定配置的精准访问防护规则是否会使WAF误拦截正常的访问请求，您可以先将精准访问防护规则的“防护动作”设置为“仅记录”，在“防护事件”页面查看防护事件，确认WAF不会误拦截正常的访问请求后，再将该精准访问防护规则的“防护动作”设置为“阻断”。 规则参数说明： 参数 参数说明 取值样例 ::: 规则描述 可选参数，设置该规则的备注信息。 条件列表 单击“添加”增加新的条件，一个防护规则至少包含一项条件，最多可添加30项条件，多个条件同时满足时，本条规则才生效。 条件设置参数说明如下： 字段 子字段：当字段选择“Params”、“Cookie”或者“Header”时，请根据实际使用需求配置子字段。子字段的长度不能超过2048字节，且只能由数字、字母、下划线和中划线组成。 内容：输入或者选择条件匹配的内容。 逻辑：在“逻辑”下拉列表中选择需要的逻辑关系。 说明 选择“包含任意一个”、“不包含所有”、“等于任意一个”、“不等于所有”、“前缀为任意一个”、“前缀不为所有”、“后缀为任意一个”或者“后缀不为所有”时，“内容”需要选择引用表名称，创建引用表的详细操作请参见[]( “不包含所有”、“不等于所有”、“前缀不为所有”、“后缀不为所有”是指当访问请求中字段不包含、不等于、前/后缀不为引用表中设置的任何一个值时，WAF将进行防护动作（阻断、放行或仅记录）。例如，设置“路径”字段的逻辑为“不包含所有”，选择了“test”引用表，如果“test”引用表中设置的值为test1、test2和test3，则当访问请求的路径不包含test1、test2或test3时，WAF将进行防护动作。 “路径”包含“/admin/” “User Agent”前缀不为“mozilla/5.0” “IP”等于“192.168.2.3” “Cookie[key1]”前缀不为“jsessionid” 防护动作 可选择“阻断”、“放行”或者“仅记录”。默认为“阻断”。 “阻断” 攻击惩罚 当“防护动作”设置为“阻断”时，您可以设置攻击惩罚标准。设置攻击惩罚后，当访问者的IP、Cookie或Params恶意请求被拦截时，WAF将根据惩罚标准设置的拦截时长来封禁访问者。 长时间IP拦截 优先级 设置该条件规则检测的顺序值。如果您设置了多条规则，则多条规则间有先后匹配顺序，即访问请求将根据您设定的精准访问控制规则优先级依次进行匹配，优先级较小的精准访问控制规则优先匹配。 您可以通过优先级功能对所有精准访问控制规则进行排序，以获得最优的防护效果。 5 生效时间 用户可以选择“立即生效”或者自定义设置生效时间段。 自定义设置的时间只能为将来的某一时间段。 “立即生效” 步骤10 单击“确认”，添加的精准访问防护规则展示在精准访问防护规则列表中。 规则添加成功后，默认的“规则状态”为“已开启”，若您暂时不想使该规则生效，可在目标规则所在行的“操作”列，单击“关闭”。 若需要修改添加的精准访问防护规则时，可单击待修改的精准访问防护规则所在行的“修改”，修改精准访问防护规则。 若需要删除添加的精准访问防护规则时，可单击待删除的精准访问防护规则所在行的“删除”，删除精准访问防护规则。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的IP情报规则功能。 功能介绍 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据。 注意 目前控制台尚未开放IP情报规则功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通Web应用防火墙（边缘云版）扩展服务Bot管理，支持使用Bot防护策略，具体请见套餐和版本说明 背景信息 目前天翼云WAF通过大数据分析技术，并基于内置的评分机制对历史攻击数据进行威胁评定，生成IP信誉库，其中恶意IP包含了漏洞利用、扫描机、傀儡机、垃圾邮件、可疑、失陷主机、暴力破解、代理、远控、僵尸网络、劫持、钓鱼、恶意软件13种威胁类型，统计IP数量接近120万。 设置IP情报规则 支持通过威胁类型维度针对恶意IP进行监控或拦截的操作，支持配置多条防护规则 配置项 说明 开关 控制规则为开启/关闭状态 处理动作 支持配置拦截或监控 拦截：对IP访问请求进行拦截处理； 监控：不对请求拦截，但是会生成攻击日志 规则名称 支持设置规则名称 防护范围 将通过选择IP可信度、严重级别、威胁类型来配置IP情报防护规则，对同时满足三个配置的IP处理 可信度：即情报的可信度，针对已收录的IP情报，边缘云WAF安全团队将基于内置评分机制进一步验证，根据验证结果评定可信程度为高中低； 严重级别：恶意IP的严重级别，有严重、高、中、低； 威胁类型：漏洞利用、扫描机、傀儡机、垃圾邮件、可疑、失陷主机、暴力破解、代理、远控、僵尸网络、劫持、钓鱼、恶意软件，支持多选

产品类型 GaussDB基础版 GaussDB企业版 支持的实例类型 集中式版 分布式版（上线中） 集中式版 分布式版 支持的部署形态 集中式版 1主2备 分布式版（混合部署，上线中） 集中式版 1主2备 分布式版（独立部署） 支持的性能规格 支持的规格类型： 独享型（1:4） 独享型（1:8） 鲲鹏独享型（1:4） 支持的规格类型： 独享型（1:8） 高级特性 支持高级压缩 支持高级压缩、动态脱敏、防篡改 性能对比 （以企业版为基准） 集中式版：与企业版性能持平 分布式版混合部署：同规格情况下，基础版分布式混合部署性能约为企业版分布式独立部署的50% 价格对比 （以企业版为基准） 同规格情况下，基础版集中式的价格约为企业版集中式价格的30% 同规格情况下，基础版分布式混合部署的价格约为企业版分布式独立部署价格的7.5%

本节主要介绍产品规格差异 微服务引擎服务数限制说明 微服务引擎专业版：专业版引擎Cloud Service Engine是ServiceStage提供的免费体验引擎。专业版引擎可以体验ServiceStage的所有产品能力，比如服务治理、配置管理等。引擎资源为所有租户共享，性能可能会受其他租户影响；专业版引擎不支持升级到专享版。 微服务引擎专享版：专享版引擎，是可支持大规模微服务应用管理的商用引擎。您可根据业务需要选择不同规格，不支持规格变更；专享版引擎资源独享，性能不受其他租户影响。 微服务引擎支持最大服务数说明如下。 表 微服务引擎最大服务限制说明 引擎类型 规格（微服务实例数） :: 微服务引擎专业版 20 微服务引擎专享版 100 微服务引擎专享版 200 微服务引擎专享版 500 微服务引擎专享版 2000

本文为您介绍精准访问控制功能说明，以及如何配置自定义访问控制策略。 精准访问控制允许自定义访问控制规则，通过对请求路径、请求URI、Cookie、请求参数、Header、referer、UserAgent等多个特征进行条件组合，对访问请求进行特征匹配实现管控，有针对性地阻断各类攻击行为。 使用限制 基础版不支持精准访问控制功能，请升级到更高版本使用。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“精准访问控制”模块，可以选择开启/关闭防护状态。点击“前去配置”。 7. 进入精准访问控制规则列表页，列表会展示已创建规则的相关信息，包括规则状态、规则名称/规则ID、匹配条件、处置动作、优先级、过期时间、更新时间等。 8. 点击列表上方“新建防护规则”，进入规则配置页面，完成以下信息配置。 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 匹配条件 设置访问请求需要匹配的条件（即特征）。单击“新增条件”可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 处置动作 定义触发规则后执行的动作，可选值： 观察 拦截：选择拦截时，支持开启“攻击惩罚”。 说明 若需使用攻击惩罚功能，需将WAF升级到企业版或旗舰版。 放行 验证码 JS验证 重定向 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 优先级 代表该规则在精准访问控制模块中执行的优先级。 可输入1～100的整数，数字越大，代表这条规则的优先级越高。相同的优先级下，创建/更新时间越晚，优先级越高。 9. 单击“保存”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本节介绍如何重启各原子能力资源。 约束限制 仅购买的v1.0版本资源支持在云等保专区控制台执行重启操作。 注意事项 重启会导致服务中断，且重启过程中无法执行其他操作，请在业务空闲时进行重启。 前提条件 已购买对应原子能力资源，且资源状态为“运行中”。 操作步骤 以下以“Web应用防火墙v1.0”为例，介绍如何重启各原子能力资源。 1. 登录云等保专区控制台。 2. 在左侧导航栏，选择“Web应用防火墙 > Web应用防火墙v1.0”，进入云等保专区的Web应用防火墙v1.0资源页面。 3. 在目标资源的操作列，单击“更多 > 重启”。 4. 在弹出的提示框中，单击“确定”，资源状态变更为“重启中”，待状态变更为“运行中”时，表示重启完成。

本节介绍云等保专区产品的上线配置概览。 云等保专区整合了多个原子能力，部分原子能力需要进行安装配置后，才能正常使用。 原子能力 安装内容及步骤 参考文档 主机安全v1.0 Agent下载安装 请参考主机安全 主机安全v1.0 资产管理配置 请参考主机安全 主机安全v1.0 安全策略编辑 请参考主机安全 主机安全v1.0 日志查看 请参考主机安全 Web应用防火墙v1.0 绑定弹性IP 请参考Web应用防火墙 Web应用防火墙v1.0 全局配置 请参考Web应用防火墙 Web应用防火墙v1.0 添加站点 请参考Web应用防火墙 Web应用防火墙v1.0 配置策略 请参考Web应用防火墙 Web应用防火墙v1.0 验证URL 请参考Web应用防火墙 下一代防火墙v1.0 绑定弹性IP 请参考下一代防火墙 下一代防火墙v1.0 配置子网路由 请参考下一代防火墙 下一代防火墙v1.0 设置安全策略 请参考下一代防火墙 下一代防火墙v1.0 安全日志查看 请参考下一代防火墙 堡垒机v1.0 绑定弹性IP 请参考堡垒机 堡垒机v1.0 创建部门 请参考堡垒机 堡垒机v1.0 创建用户 请参考堡垒机 堡垒机v1.0 创建主机 请参考堡垒机 堡垒机v1.0 创建运维规则 请参考堡垒机 堡垒机v1.0 审计规则设置 请参考堡垒机 堡垒机v1.0 数据归档设置 请参考堡垒机 漏洞扫描v1.0 资产管理 请参考漏洞扫描 漏洞扫描v1.0 扫描策略设置 请参考漏洞扫描 漏洞扫描v1.0 创建扫描任务 请参考漏洞扫描 漏洞扫描v1.0 扫描报告查看 请参考漏洞扫描 日志审计v1.0 设置日志上传 请参考日志审计 日志审计v1.0 添加资产 请参考日志审计 日志审计v1.0 查询自查信息 请参考日志审计 日志审计v1.0 创建解决方案包 请参考日志审计 日志审计v1.0 订阅告警 请参考日志审计 日志审计v1.0 查看审计结果 请参考日志审计 数据库审计v1.0 安装Agent 请参考数据库审计 数据库审计v1.0 添加资产 请参考数据库审计 数据库审计v1.0 配置规则 请参考数据库审计 数据库审计v1.0 订阅报表和告警 请参考数据库审计

可能原因 处理建议 原因一： 域名 /IP “接入状态”未刷新 在防护网站“接入状态”栏，单击刷新按钮刷新状态。 原因二： 访问流量未达到WAF统计要求 说明 防护网站接入WAF后，当WAF统计防护网站在5分钟内有20次请求时，将认定该防护网站已接入WAF。 1. 在1分钟内多次访问防护网站。 2. 在防护网站“接入状态”栏，单击刷新按钮刷新状态。 原因三： 域名 /IP参数配置错误 检查域名/IP参数是否正确。 如果域名/IP配置错误，删除该域名/IP后重新添加防护网站。 原因四： 没有为独享模式实例配置负载均衡，配置的负载均衡未绑定弹性公网IP 1. 为独享引擎实例配置负载均衡。 2. 为弹性负载均衡绑定弹性公网IP。 原因五： 独享模式实例负载均衡配置错误或负载均衡绑定弹性公网IP错误 配置负载均衡后，当WAF独享引擎实例的“健康检查结果”为“正常”时，说明弹性负载均衡配置成功。 为弹性负载均衡绑定弹性公网IP后，可以查看绑定的弹性公网IP，说明绑定成功。

历史规格 历史存量实例类型分为基础版、中级版和高级版，对应的实例规格和节点规格如下： 实例类型 实例规格 单节点规格 节点数量 推荐场景 DRDS 高级版本 64核128GB 16核32GB 4个 适用大型应用系统，TPS > 3w。 DRDS 高级版本 48核96GB 16核32GB 3个 适用大型应用系统，TPS > 3w。 DRDS 中级版本 32核64GB 8核16GB 4个 适用中型应用系统，1w < TPS < 3w。 DRDS 中级版本 24核48GB 8核16GB 3个 适用中型应用系统，1w < TPS < 3w。 DRDS 基础版本 16核32GB 4核8G 4个 适用小型应用系统，TPS < 1w。 DRDS 基础版本 12核24GB 4核8G 3个 适用小型应用系统，TPS < 1w。 DRDS 基础版本 8核16GB 4核8G 2个 适用小型应用系统，TPS < 1w。 性能类型 性能类型主要描述了云主机的规格，其CPU架构主要为X86架构，分为：通用型、计算增强型和内存优化型，详见下表： 注意 由于每个资源池销售情况不同，在购买实例时请以控制台实际显示为准。 规格 说明 推荐场景 通用型 共享宿主机的CPU资源，主要提供基本水平的vCPU性能、平衡的计算、内存和网络资源，具有较高性价比，支持通用的业务运行。 适用于不会经常或始终用尽vCPU性能的场景，如小型网站、轻量级研发测试环境、小型数据库等。 计算增强型 独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能，提供更大规格的CPU和内存组合。 适用于计算密集型业务等场景，如大型网站、电商营销等。 内存优化型 独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能，CPU和内存配比可达1:8。 适用于高内存计算应用，如大数据分析、核心数据库等。

本节介绍如何配置攻击惩罚的流量标识。 WAF根据配置的流量标识识别客户端IP、Session或User标记，以分别实现IP、Cookie或Params恶意请求的攻击惩罚功能。 前提条件 已添加防护网站。 约束条件 如果配置了IP标记，为了确保IP标记生效，请您确认防护网站在接入WAF前已使用了7层代理，且防护网站的“是否已使用代理”为“是”。 如果未配置IP标记，WAF默认通过客户端IP进行识别。 使用Cookie或Params恶意请求的攻击惩罚功能前，您需要分别配置对应域名的Session标记或User标记。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 5. 在目标网站所在行的“域名”列中，单击目标网站，进入网站基本信息页面。 6. 在“流量标识”栏中，单击“IP标记”、“Session标记”或“User标记”后的，分别设置流量标记。 流量标识参数说明： 标识 说明 配置样例 IP标记 客户端最原始的IP地址的HTTP请求头字段。 如果配置该标识，请确保网站在接入WAF前已使用了7层代理，且防护网站的“是否已使用代理”为“是”，IP标记功能才能生效。 该字段用于保存客户端的真实IP地址，可自定义字段名且支持配置多个字段（多个字段名以英文逗号隔开），配置后，WAF优先从配置的字段中获取客户端真实IP（配置多个字段时，WAF从左到右依次读取）。 说明 如果想以TCP连接IP作为客户端IP，“IP标记”应配置为“$remoteaddr”。 如果从自定义字段中未获取到客户端真实IP，WAF将依次从cdnsrcip，xrealip，xforwardedfor，$remoteaddr"字段获取客户端IP。 XForwardedFor Session标记 用于Cookie恶意请求的攻击惩罚功能。在选择Cookie拦截的攻击惩罚功能前，必须配置该标识。 jssessionid User标记 用于Params恶意请求的攻击惩罚功能。在选择Params拦截的攻击惩罚功能前，必须配置该标识。 name 7. 单击“确认”，完成标记信息配置。

本文为您介绍如何管理防护事件，以及防护事件日志中包含的字段含义。 云WAF将攻击防护的事件详情记录在事件报表中，用户可在事件列表中查看攻击时间、攻击IP、攻击类型、攻击URL、地理位置、处置动作、命中规则ID、攻击详情等。具体功能如下： 支持查看所选时间范围内的防护事件，查询时间支持选择昨天、今天、近3天、近7天、近30天或自定义时间。 提供防护事件多级查询，筛选条件包括域名、攻击类型、攻击IP、防护模块、处置动作、规则ID、请求UUID等。 支持将列表数据下载到本地。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入并正常防护。 查询防护事件 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护事件 > 查询防护事件”，进入防护事件页面。 5. 在防护事件列表上方，可以设置筛选条件，支持设置多项匹配条件。 查询条件字段参数说明： 参数名称 参数说明 防护对象 选择想要查看的防护对象，支持选择各防护模式下的所有防护对象或某个防护对象。 时间选择 可查看“昨天”、“今天”、“近3天”、“近7天”、“近30天”或者自定义时间范围内的防护日志。 攻击类型 发生的攻击类型。默认为全部攻击类型，也可以根据需要，选择攻击类型查看攻击日志信息。 攻击IP Web访问者的公网IP地址，默认为全部，也可以根据需要输入攻击者IP地址查看攻击日志信息。 防护模块 按防护模块进行筛选。 处置动作 防护配置中设置的防护动作，包含：观察、拦截、放行、验证码、JS验证、重定向、重置连接、全部脱敏、动态拦截、限速。 规则ID 攻击触发的防护规则ID。 UUID关键字 请求对应的唯一标识。 6. 筛选条件设置完成后，点击“查询”，筛选后的结果将在列表中展示，可通过右侧的“事件列表显示设置”按钮对攻击事件的字段进行自定义展示。 说明 CC攻击事件页签分别展示CC攻击事件数 和CC攻击次数，例如：页签显示CC攻击事件（1/3），实际含义为出现总计1次CC攻击事件数，一共有3次CC攻击。 事件显示字段支持自定义设置和重新排序，同时可以控制是否在新标签页中查看攻击事件详情。

开通Bot管理功能后，提供BOT管理防护方案，协助客户管控恶意Bot流量，对抗Bot流量背后的黑灰产产业链，解决恶意爬虫“薅羊毛”、竞争比价、黑产、业务数据抓取分析带来的垃圾流量和营销失败的问题。 glmoscodeexplain 如何开通Bot管理的功能？ 当前仅支持通过单击变更访问链接，进入变更访问链接后，单击【实例】，可按需在【全部产品】下拉框中过滤出【Web应用防火墙(边缘云版)】。 如何使用Bot管理功能？ 具体功能介绍和使用请参考Bot管理功能介绍：Bot管理 注意 暂时不支持单独退订Bot管理，如果需要单独退订，请

应用防护管理 前提条件 已购买主机安全版本为旗舰版、网页防篡改版或容器版。 约束限制 当前只支持操作系统为Linux的服务器。 目前仅支持Java应用接入。 未开启旗舰版、网页防篡改版、容器版防护不支持应用防护相关操作。 查看检测报告 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 应用防护 > 防护设置”，进入“防护设置”页面。 4、单击目标服务器“操作”列的“查看报告”，查看目标服务器全量检测详情。 5、单击告警名称可查看目标告警的详细信息。 告警详情页可查看目标告警的取证信息（请求信息、攻击源IP等）和扩展信息（检测规则、检测探针等），可根据取证信息和扩展信息来排查问题、添加防护措施。 关闭应用防护 前提条件 已购买主机安全版本为旗舰版、网页防篡改版或容器版。 约束限制 当前只支持操作系统为Linux的服务器。 目前仅支持Java应用接入。 未开启旗舰版、网页防篡改版、容器版防护不支持应用防护相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 应用防护”，进入“应用防护”页面。 4、单击目标服务器“微服务RASP防护”的图标或单击“操作”列的“关闭防护”。 5、在弹窗中确认正在关闭微服务RASP防护的服务器信息，确认无误，单击“确认”，完成防护关闭。 说明 sRASP防护关闭后，目标服务器会在“防护设置”页面进行自动删除，若需为其他服务器开启防护，可按照开启应用防护操作步骤为其他服务器开启防护。

Web应用防火墙（边缘云版） 支持包年包月付费模式。本文介绍包年包月付费模式具体计费项、计费周期、价格以及计费规则等，帮助您了解本产品的计费相关信息。 包年包月的计费方式也称“包周期”计费方式，是需要预付费后才能开通服务，主要是适用于客户的业务场景比较稳定，可预估资源的使用周期，如果需要长时间的使用资源通过包周期产品的年折扣优惠，价格会更便宜。 备注：带宽扩展包不享受包年折扣。 计费项构成 计费模式 计费项 订购方式 计费周期 计费说明 包年包月（预付费） 套餐服务 官网 包年包月，以年、月为单位的计费周期，均指自然年、自然月 套餐服务（必选）：开通包年包月套餐版本。 体验版、基础版、标准版、专业版、旗舰版。 包年包月（预付费） 扩展服务 官网 如果扩展服务与套餐订购时间一致，到期时间与套餐一致；如果扩展服务订购时间晚于套餐服务，开始计费时间为扩展服务订购日期，到期时间与套餐一致。 扩展服务（可选，单独计费）； 您可以按需选择，扩展服务有效期与套餐服务有效期一致，套餐服务失效，扩展服务自动关停。

本文介绍批量注册防护功能。 批量注册是什么？ 批量注册是指通过脚本实现原有的正式注册流程，不断重复执行注册的一个过程，可以短时间内得到目标大量的新用户，用作于ddos攻击、业务利用等非法行为。 边缘云WAF实现批量注册防护的原理 注册行为监控。由于批量注册需要不断访问注册接口，因此可以通过一些基本粒度（如ip等）去统计访问行为并设置对应触发值。 注册行为挑战。通过交互方式挑战达到防护纯机器注册的效果（如验证码、行为挑战）。 注意 注意：目前控制台尚未开放批量注册防护的功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通套餐为基础版及以上版本，支持批量注册防护相关功能。 相关操作 设置撞库防护 设置暴力破解防护

本节介绍如何修改WAF独享型实例节点的网络信息。 更换主网卡子网 注意 更换子网设备会关机重启，如果有正在进行中的业务可能会造成业务中断，请谨慎操作 。 根据独享版实例所在区域，更换网卡子网的步骤略有不同： 实例在一类节点区域：进入独享版实例详情页面，在节点信息的“网卡”页签，在主网卡操作列，单击“更换子网”，在弹出的选择目标子网窗口中，选择一个子网，然后单击“确定”。 说明 若实例为集群版，仅主节点支持更换子网，更换时会同步更换备节点子网，备节点主网卡不支持更换子网。 更换主网卡子网前，需解绑所有弹性IP、解绑所有辅助网卡。 实例在二类节点区域：在实例详情页面，您可以单击“绑定网卡”进入对应云主机详情页面，在该页面查看、修改网卡，相关文档请参见切换虚拟私有云。 新增辅助网卡 根据独享版实例所在区域，新增辅助网卡的步骤略有不同： 实例在一类节点区域： 说明 若实例为单机版，则增加1张网卡；若实例为集群版，则为集群中的每个节点都新增1张网卡。 1. 进入独享版实例详情页面，单击“新增辅助网卡”。 2. 在弹出的新增辅助网卡窗口中，选择一个子网，然后单击“确定”。 3. 在节点信息的“网卡”页签，可以查看新增的辅助网卡信息。 说明 若需要解绑辅助网卡，单击辅助网卡操作列的“解绑”，在弹出的提示框中单击“确定”，即可完成解绑。仅解绑当前节点的网卡。 实例在二类节点区域：在实例详情页面，您可以单击“绑定网卡”进入对应云主机详情页面，在该页面添加、删除网卡，相关文档请参见添加网卡。

参数 类型 是否必传 名称 描述 producttype list< string > 否 产品类型列表 默认全部产品，作为统计过滤项。支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时),“007”(安全加速),“005”(直播加速),“006”(全站加速),“009”(应用加速),“010”(web应用防火墙（边缘云版）),“011”(高防DDoS（边缘云版）) domain list< string > 否 域名列表 默认名下所有域名，可多个域名 starttime int 是 开始时间戳 单位秒 endtime int 是 结束时间戳 单位秒 interval string 否 时间粒度 目前仅支持5分钟 province list< int > 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项，点击查看 isp list< string > 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项，点击查看

本节为您介绍漏洞扫描原理、漏洞扫描版本规格、漏洞等级。 服务器安全卫士（原生版）支持扫描Linux软件漏洞、Windows系统漏洞、WebCMS漏洞、应用漏洞、应急漏洞，并提供漏洞的修复建议和一键修复功能，帮助您及时了解云主机操作系统中存在的风险，及时修复主机漏洞。 漏洞扫描原理 漏洞扫描原理如下： 漏洞分类 原理说明 Linux软件漏洞 通过与漏洞库进行比对，检测Linux操作系统官方维护的软件（非绿色版、非自行编译安装版；例如：kernel、openssl、vim、glibc等）是否存在漏洞，将存在风险的结果向用户告警。 Windows系统漏洞 通过同步微软官方的补丁公告，判断服务器上的补丁是否已经更新，并推送微软官方补丁，将存在风险的结果向用户告警。 WebCMS漏洞 通过对Web目录和文件进行检测，识别出WebCMS漏洞，将存在风险的结果向用户告警。 应用漏洞 通过检测主机上运行的软件发现应用是否存在漏洞，将存在风险的结果向用户告警。 应急漏洞 展示最新披露的漏洞详情，用户可根据实际情况对此漏洞进行专项扫描。 版本规格 以下介绍服务器安全卫士各版本漏洞扫描功能的支持情况。 说明 免费版仅支持Windows系统漏洞扫描、Linux软件漏洞扫描和查看漏洞，不支持一键修复漏洞，您可以参考漏洞详情页面提供的修复建议，登录到您的服务器手动修复漏洞。 功能 免费版 企业版 旗舰版 漏洞情况统计 ✓ ✓ ✓ Linux软件漏洞、Windows系统漏洞 ✓ ✓ ✓ WebCMS漏洞、应用漏洞 × ✓ ✓ 应急漏洞 × ✓ ✓ 一键扫描 × ✓ ✓ 定时扫描 ✓ ✓ ✓ 基于漏洞名称的扫描结果列表 ✓ ✓ ✓ 基于服务器的扫描结果列表 ✓ ✓ ✓ 查看漏洞详情 ✓ ✓ ✓ 一键修复漏洞 × ✓ ✓ 白名单管理 ✓ ✓ ✓

CC攻击防护规则支持通过限制单个IP/Cookie/Referer访问者对防护网站上特定路径（URL）的访问频率，精准识别CC攻击以及有效缓解CC攻击。当您配置完CC攻击防护规则并开启CC攻击防护后，WAF才能根据您配置的CC攻击防护规则进行CC攻击防护。 CC攻击防护规则可以添加引用表，引用表防护规则对所有防护域名都生效，即所有防护域名都可以使用CC攻击防护规则的引用表。 前提条件 已添加防护网站。 约束条件 添加或修改防护规则后，规则生效需要等待几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。 当“逻辑”关系选择“包含任意一个”、“不包含所有”、“等于任意一个”、“不等于所有”、“前缀为任意一个”、“前缀不为所有”、“后缀为任意一个”或者“后缀不为所有”时，需要选择引用表，创建引用表的详细操作请参见创建引用表。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 单击目标策略名称，进入目标策略的防护配置页面。 步骤6 在“CC攻击防护”配置框中，用户可根据自己的需要更改“状态”，单击“自定义CC攻击防护规则”，进入CC防护规则配置页面。 步骤7 在“CC防护”规则配置页面左上角，单击“添加规则”。 步骤8 在弹出的对话框中，根据表配置CC防护规则。 CC防护规则参数说明 参数 参数说明 取值样例 规则描述 可选参数，设置该规则的备注信息。 限速模式 “IP限速”：根据IP区分单个Web访问者。 “用户限速”：根据Cookie键值或者Header区分单个Web访问者。 “其他”：根据Referer（自定义请求访问的来源）字段区分单个Web访问者。 说明 选择“其他”时，“Referer”对应的“内容”填写为包含域名的完整URL链接，仅支持前缀匹配和精准匹配的逻辑，“内容”里不能含有连续的多条斜线的配置，如“///admin”，WAF引擎会将“///”转为“/”。 例如：若用户不希望访问者从“www.test.com”访问网站，则“Referer”对应的“内容”设置为“ 用户标识 “限速模式”选择“用户限速”时，需要配置此参数： 选择Cookie时，设置Cookie字段名，即用户需要根据网站实际情况配置唯一可识别Web访问者的Cookie中的某属性变量名。用户标识的Cookie，不支持正则，必须完全匹配。 例如：如果网站使用Cookie中的某个字段name唯一标识用户，那么可以用name字段来区分Web访问者。 选择Header时，设置需要防护的自定义HTTP首部，即用户需要根据网站实际情况配置可识别Web访问者的HTTP首部。 name 限速条件 单击“添加”增加新的条件，至少配置一项条件，最多可添加30项条件，多个条件同时满足时，本条规则才生效。 字段 子字段：当“字段”选择IPv4、IPv6、Cookie、Header、Params时，请根据实际需求配置子字段。子字段的长度不能超过2048字节。 内容：输入或者选择条件匹配的内容。 逻辑：在“逻辑”下拉列表中选择需要的逻辑关系。 说明 当“逻辑”关系选择“包含任意一个”、“不包含所有”、“等于任意一个”、“不等于所有”、“前缀为任意一个”、“前缀不为所有”、“后缀为任意一个”或者“后缀不为所有”时，需要选择引用表，创建引用表的详细操作请参见创建引用表。 “路径”包含“/admin/” 限速频率 单个Web访问者在限速周期内可以正常访问的次数，如果超过该访问次数，Web应用防火墙服务将根据配置的“防护动作”来处理。 10次/60秒 防护动作 当访问的请求频率超过“限速频率”时，可设置以下防护动作： 人机验证：表示超过“限速频率”后弹出验证码，进行人机验证，完成验证后，请求将不受访问限制。人机验证目前支持英文。 阻断：表示超过“限速频率”将直接阻断。 动态阻断：上一个限速周期内，请求频率超过“限速频率”将被阻断，那么在下一个限速周期内，请求频率超过“放行频率”将被阻断。 仅记录：表示超过“限速频率”将只记录不阻断。可下载防护事件数据数据查看域名的防护日志。 阻断 放行频率 当“防护动作”选择“动态阻断”时，可配置放行频率。 如果在一个限速周期内，访问超过“限速频率”触发了拦截，那么，在下一个限速周期内，拦截阈值动态调整为“放行频率”。 “放行频率”小于等于“限速频率”。 说明 当“放行频率”设置为0时，表示如果上一个限速周期发生过拦截后，下一个限速周期所有的请求都不放行。 8次/60秒 阻断时长 当“防护动作”选择“阻断”时，可设置阻断后恢复正常访问页面的时间。 600秒 阻断页面 当“防护动作”选择“阻断”时，需要设置该参数，即当访问超过限速频率时，返回的错误页面。 当选择“默认设置”时，返回的错误页面为系统默认的阻断页面。 当选择“自定义”，返回错误信息由用户自定义。 自定义 页面类型 当“阻断页面”选择“自定义”时，可选择阻断页面的类型“application/json”、“text/html”或者“text/xml”。 text/html 页面内容 当“阻断页面”选择“自定义”时，可设置自定义返回的内容。 不同页面类型对应的页面内容样式： text/html：Forbidden application/json：{"msg": "Forbidden"} text/xml： Forbidden 步骤9 单击“确认”，添加的CC攻击防护规则展示在CC规则列表中。 规则添加成功后，默认的“规则状态”为“已开启”，若您暂时不想使该规则生效，可在目标规则所在行的“操作”列，单击“关闭”。 若需要修改添加的CC攻击防护规则时，可单击待修改的CC攻击防护规则所在行的“修改”，修改CC攻击防护规则。 若需要删除用户自行添加的CC攻击防护规则时，可单击待删除的CC攻击防护规则所在行的“删除”，删除CC攻击防护规则。

防护配置管理为用户提供域名防护的配置操作功能。 新增防护配置 1. 在Web应用防火墙配置菜单下，点击“新增”，弹出新增WAF防护配置对话框。 2. 配置防护参数。 参数名称 参数说明 实例ID 选择实例 ID；实例即为默认开通资源，直接进行勾选即可。 数据中心 选择数据中心；目前默认数据中心为内蒙，上海，广州，其中主选一个，备选一个，建议用户选择靠近自身资源部署地区的节点。 防护域名 输入防护域名。 输入格式示例： 防护网站域名：如ctyun.cn 防护网站域名：如www.ctyun.cn IP代理 选择IP代理。 IP代理分为NAT44，NAT66，NAT64。 网站如仅支持IPv4访问：则单选NAT44，并且填写域名对应的公网IPv4地址至源站IP一栏。 网站如同时支持IPv4以及IPv6访问：则需要同时勾选NAT44与NAT66。 在网站不支持IPv6的场景下，WAF可以协助网站支持IPv6访问，WAF接收到IPv6请求后将流量转换成IPv4的形式发送给客户源站，需要同时勾选NAT44与NAT64，源站IP侧应填写IPv4地址。 协议类型 支持HTTP和HTTPS协议。选择HTTPS协议，还需要上传证书。 协议端口 根据选择的协议，添加对应的端口。 Https证书 协议类型选择“https”时，需要进行证书上传。 上传证书步骤如下： 点击“Https证书”右侧的“新增证书”，在弹出的“新增证书”对话框中配置如下参数，然后点击“确定”，完成证书上传。 证书名称：证书名称可自定义添加。 证书公钥：一般情况下HTTPS证书需要从网站本身服务器上进行导出或联系域名服务商获取，公钥一般以pem或crt结尾，用文本形式打开后全量粘贴即可。 证书私钥：私钥一般以key结尾，用文本形式打开后粘贴即可。 开启防护 默认开启防护，如果开启防护按钮为“关闭”，该防护配置不会生效，业务不会下发至Web应用防火墙设备进行防护。 3. 点击“确定”，正式下发防护配置。 4. 添加完成后，显示应为下图。 参数名称 参数说明 防护域名 当前防护的域名。 CNAME CNAME地址为WAF配置成功后生成的代理地址（需要用户侧联系域名服务商将域名原本指向的记录值修改为WAF的地址）。 源站IP 源IP即配置WAF的目标地址，WAF接收请求后会将请求转发至当前配置的地址。 源端口 WAF所配置的端口。 状态 当配置处于防护中时为正常，配置状态为防护中时CNAME地址才可以被解析到。 业务带宽 与当前资源相关，对应当前的资源规格。 DNS牵引检测 当用户将域名解析至WAF后，此状态会在当天凌晨自动更新为已牵引。 HTTPS强制跳转 当域名同时开通80与443端口时，勾选强制跳转会让所有访问80端口的流量自动跳转到443（暂时只支持80跳转443）。

本小节介绍HSS与WAF区别。 云平台提供的HSS、WAF服务，帮助您全面从主机、网站、Web应用等层面防御风险和威胁，提升系统安全指数。建议搭配使用。 服务名称 所属分类 防护对象 功能差异 企业主机安全（HSS） 基础安全 提升主机整体安全性。 资产管理 漏洞管理 入侵检测 基线检查 网页防篡改 Web应用防火墙（WAF） 应用安全 保护Web应用程序的可用性、安全性。 Web基础防护 CC攻击防护 精准访问防护

本文介绍出现Android客户端或小程序访问异常怎么办。 域名接入WAF后如果出现部分客户端访问异常的情况。比如PC浏览器访问正常，但是Android版微信访问域名出现一片空白或者小程序访问异常，遇到这种情况可通过以下步骤排查： 排查HTTPS证书是否有问题 检查是否为HTTPS协议访问的域名，如果是请检查HTTPS证书是否有效，证书失效时要及时更新证书。同时检查证书链是否完整，如果证书链不完整，请重新上传证书链完整的证书。 判断请求是否被WAF拦截 如果请求返回403状态码，那有可能是被WAF防护引擎拦截了。可通过Web应用防火墙控制台的“WAF攻击日志”页面查看是否对应的拦截信息，通过日志判断被拦截的原因，如果确认为误拦截可添加对应的白名单规则放行。

本文将为您简要介绍边缘安全加速平台安全与加速服务目前支持的安全防护能力。 接入防护前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 防护能力概览 下表将为您描述目前边缘安全加速平台安全与加速服务具备的防护能力以及应用场景 模块 防护能力 说明 应用场景 DDoS防护 DDoS防护 DDoS防护可有效防御畸形报文攻击、SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL、DNS等应用层攻击 自动防御大流量网络层攻击 Web防护 []( 目前已维护6套防护规则集，基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护，能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 Web防护 []( 位于高级防护模块下，能够保护网站核心静态页面，避免因为源站页面被恶意篡改带来的负面影响 希望网站防止被恶意篡改页面内容时配置 Web防护 []( 位于高级防护模块下，支持对网站返回的内容进行脱敏展示，过滤内容包括敏感信息（如身份证、手机号、银行卡、邮箱等） 希望网站避免泄露身份证、手机号等敏感信息时配置 Web防护 []( 支持检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合的请求项进行拦截或告警 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 Web防护 []( 采用Cookie加密、Cookie签名等方式对Cookie字段的字进行加密或签名，防护一些使用Cookie中的弱key进行权限绕过的漏洞利用，也能在一定程度上限制基于Cookie修改的爬虫 可以防护Cookie盗用、Cookie篡改、Cookie信息泄露等攻击事件。需要客户端支持携带Cookie，通常小程序、APP、API可能不支持 Web防护 []( 支持自动阻断短时间内发起多次Web攻击的IP，快速应对恶意扫描及代理、Web 攻击威胁等行为，可提升攻防对抗效率 攻防演练、恶意扫描及代理、Web攻击行为等 Web防护 []( 支持防护跨站请求伪造（英语：Crosssite request forgery，简称CSRF）攻击 针对发起CSRF攻击进行防护 Web防护 []( 支持解析源站响应页面代码，在body中插入广告检测js代码，实现广告防护和监测功能 针对网站出现的恶意广告（网站中出现未被网站所有者允许的广告内容）进行防护 Web防护 设置账户安全防护 从撞库、暴力破解两个攻击角度进行防护，保障用户的账户安全 针对账户安全的场景进行防护 Bot防护 设置高频爬虫限制 防止攻击者盗用合法Cookie进行大量请求，限制不同粒度的访问速率 当出现搜索引擎爬取粒度过大导致服务宕机时，可以通过此功能限制爬虫频率 Bot防护 设置爬虫陷阱 在页面里面嵌入不可见链接，当爬虫触碰链接时进行防护 防护网页爬虫 Bot防护 设置人机识别策略 通过cookie挑战、跳转挑战、人机挑战等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫 针对支持携带cookie的客户端请求，小程序、APP、API可能不支持； 对于无法正常执行跳转的请求，可以设置跳转挑战 Bot防护 []( 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁，目前爬虫情报库已维护接近10万条数据 对已知搜索引擎IP放行处理，不经过Bot防护策略，提升网站SEO权重； 对已知恶意Bot请求IP拦截处理 Bot防护 []( 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据 对已知IDC IP进行封禁处理；拦截傀儡机、漏洞利用等已知恶意IP 访问控制/限流 []( 支持根据请求的URL，频率、行为等访问特征，迅速识别CC攻击并进行拦截 防护大规模CC攻击，避免源站资源耗尽，保证企业网站的正常访问 访问控制/限流 []( 支持针对指定IP以及指定地域IP进行封禁处理 封禁来自国外访问的IP 访问控制/限流 []( 支持识别常见的扫描器类型，也支持自定义扫描器识别规则，做到精准拦截 拦截常见的扫描器类型，避免网站受到外部扫描 访问控制/限流 设置频率控制 支持控制请求的访问频率 设置客户端IP访问域名首页的次数限制 防护白名单 []( 支持在访问控制中，针对特定请求设置为白名单，则不经过全局防护策略的检测 对于可信任流量可以设置为白名单，将不经过任务防护策略 防护白名单 []( 支持针对防护规则集中的具体规则设置白名单，则指定请求不经过该规则的检测 某条域名规则出现误拦截时，可以将误拦截的请求设置为白名单 防护白名单 设置Bot策略白名单 支持针对Bot防护策略设置白名单，则指定请求将不经过Bot防护策略的检测 明确不需要经过Bot防护策略的请求，可以在Bot功能模块中设置为白名单 API安全 API自发现 API自发现功能能够帮助用户从访问日志中自动发现API接口的请求，并生成API资产，无需用户手动新增 梳理站点API资产 API安全 业务监测 API业务监测功能帮助用户实时查看API的业务运行数据包括QPS趋势图、源站状态码响应趋势图、天翼云节点状态码响应趋势图、响应时长趋势图、QPS峰值排行、响应时长排行，同时帮助用户发现和分析业务异常。 协助用户识别API业务是否运行正常 网站风险监测 漏洞扫描 支持远程扫描Web漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞，全面覆盖OWASP Top 10 Web应用风险 协助用户识别站点漏洞情况

本文将从功能简介、背景信息、前提条件、防护逻辑等方面介绍如何进行扫描防护。 功能介绍 边缘云WAF提供的扫描防护功能支持自动识别常见扫描器特征，一旦发现扫描器访问将对其进行拦截。 注意 目前控制台尚未开放扫描防护功能，如有防护需求请通过 背景信息 边缘云WAF安全团队基于对常见扫描器的特征分析，输出扫描器识别模型，能够精准识别并拦截主流扫描器包括但不限于：Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通基础版及以上版本支持使用扫描器防护功能 扫描防护逻辑 针对扫描器防护功能，边缘云WAF支持扫描器特征识别与扫描器访问拦截两个模块。 扫描器特征识别 通过请求中的扫描器或自动化工具特征识别扫描器，形成两百余条扫描器识别规则，能够满足常见的扫描器识别需求。

四、独享 IP 订单全生命周期管理 概述：独享 IP 订单为独立生命周期订单，不跟随应用实例生命周期变化。 访问策略约束说明： 1. 访问控制策略：绑定了独享IP的实例的访问控制策略，修改访问控制策略时，不可修改成黑名单。 2. 同一个独享IP，要限制其绑定的所有实例，端口不可重复。 五、常见问题 Q1：为什么看不到「独享网络」选项？ A：您可联系您的客户经理开通权限，或线上咨询或拨打客服热线电话寻求帮助，热线电话：4008109889转1。 Q2：购买独享 IP 后为什么无法访问应用？ A：可能原因： 1. 订单施工未完成（IP 分配需要时间）； 2. 应用实例访问控制策略为「黑名单」； 3. 对外端口未填写或未备案（敏感端口）； 4. 独享 IP 已被冻结 / 销毁。 Q3：如何修改独享 IP 绑定的应用实例？ A：进入目标应用的「更新应用」页面，重新选择独享 IP 或修改对外端口即可完成绑定变更；也可通过「订购网络」页面重新关联应用实例。

本文为您介绍如何查看Web核心防护中包含的内置规则详情。 您可以在全局Web核心防护的防护规则页面，查询规则防护引擎中目前包含的所有防护规则。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“Web核心防护”模块，在防护规则组后方点击“前去配置”。 7. 进入“规则组”页面，在页面上方选择“规则库”可以看到当前的规则引擎包含的规则列表。 规则列表中包含的参数如下： 配置项 说明 危险等级 防护规则防护漏洞的危险等级，包括： 高危 中危 低危 灰度状态 规则的状态说明。 规则ID WAF防护引擎中可唯一标识该规则的ID。 规则引擎类型 描述WAF防护规则的引擎类型 规则名称 防护规则的描述信息。 防护类型 表示规则防御的Web攻击类型。 包括SQL注入、XSS、目录穿越、Java代码执行、PHP代码执行、ASP代码执行、通用代码执行、Java反序列化、PHP反序列化、本地文件包含、远程文件包含、文件上传、CSRF、SSRF、命令注入、信息泄露、模板注入、XML实体注入、Xpath注入、LDAP注入、自定义精准攻击、未知攻击。 CVE编号 防护规则对应的CVE（Common Vulnerabilities & Exposures，通用漏洞披露）编号。对于非CVE漏洞，显示为空。 关联规则组数 显示对应规则所绑定的规则组数量。

sectionbd4d673de698b223)。 7. 选择套餐产品购买的规格/版本、数量，以及是否购买资源扩展包及资源扩展包数量。规格详细说明请参见产品版本规格。 说明 在“二类节点”区域（云等保专区支持的区域请参见支持的区域），除“云安全中心v2.0、主机安全v2.0、Web应用防火墙v2.0 SaaS版”外，购买其他原子能力时还需要单独购买不同原子能力配置的云主机（详细价格请参见云主机价格），并合计原子能力一起计费，统一下单。 系统预设了云主机的默认配置，如需调整，可单击“自定义”修改主机规格、系统盘、数据盘，系统盘和数据盘不能低于系统要求的最低限制，详情见购买页面。 8. 查看并配置云等保专区管理节点的云主机规格。单击“自定义”，可以修改管理节点的云主机配置。 说明 在“二类节点”区域（云等保专区支持的区域请参见支持的区域），除“云安全中心v2.0、主机安全v2.0、Web应用防火墙v2.0 SaaS版”外，购买其他原子能力时还需要单独购买云等保专区管理节点的云主机资源（详细价格请参见云主机价格），并合计原子能力一起计费，统一下单。 该管理节点将为该账户下同一VPC中所有云等保服务提供访问服务，在服务退订完之前，请勿删除，否则将无法访问该服务。当VPC下所有服务均退订后，请尽快删除该管理节点，避免持续收费。 9. （可选）填写交付联系方式。 说明 为保障产品顺利交付，天翼云提供免费交付服务，请提供交付联系方式，订购完成后，天翼云安全专家会与您取得联系。 10. 选择购买时长。 云等保专区仅支持“包年包月”计费模式。 11. 确认配置信息无误后，阅读并接受相关服务协议，单击“立即购买”下单。

本节介绍如何查看云SaaS型产品信息。 您可以在产品信息页面查看已购买实例的版本、规格等信息。 前提条件 已购买WAF云SaaS型实例。 查看云SaaS型产品信息 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 查看产品信息”，选择“云SAAS型”页签。 5. 在产品信息页面，可以查看实例版本、到期时间、实例规格等信息，并支持对实例进行管理。 相关操作 升级实例规格和扩展包 续订云SaaS型实例 退订云SaaS型实例

权限 授权项 查询防敏感信息泄漏规则 waf:antiLeakageRule:get 查询网页防篡改规则 waf:antiTamperRule:get 查询CC攻击防护规则 waf:ccRule:get 查询精准访问防护规则 waf:preciseProtectionRule:get 查询误报屏蔽规则 waf:falseAlarmMaskRule:get 查询隐私屏蔽规则 waf:privacyRule:get 查询黑白名单规则 waf:whiteBlackIpRule:get 查询地址位置访问控制规则 waf:geoIpRule:get 查询证书 waf:certificate:get 修改WAF证书 waf:certificate:put 查询防护事件 waf:event:get 查询防护域名 waf:instance:get 查询防护策略 waf:policy:get 查询用户套餐信息 waf:bundle:get 查询防护事件下载链接 waf:dumpEventLink:get 查询页面配置信息 waf:consoleConfig:get 查询回源IP段 waf:sourceIp:get 更新防敏感信息泄漏规则 waf:antiLeakageRule:put 更新网页防篡改规则 waf:antiTamperRule:put 更新CC攻击防护规则 waf:ccRuleRule:put 更新精准访问防护规则 waf:preciseProtectionRule:put 更新误报屏蔽规则 waf:falseAlarmMaskRule:put 更新隐私屏蔽规则 waf:privacyRule:put 更新黑白名单规则 waf:whiteBlackIpRule:put 更新地址位置访问控制规则 waf:geoIpRule:put 更新防护域名 waf:instance:put 更新防护策略 waf:policy:put 删除防敏感信息泄漏规则 waf:antiLeakageRule:delete 删除网页防篡改规则 waf:antiTamperRule:delete 删除CC攻击防护规则 waf:ccRule:delete 删除精准访问防护规则 waf:preciseProtectionRule:delete 删除误报屏蔽规则 waf:falseAlarmMaskRule:delete 删除隐私屏蔽规则 waf:privacyRule:delete 删除黑白名单规则 waf:whiteBlackIpRule:delete 删除地址位置访问控制规则 waf:geoIpRule:delete 删除防护域名 waf:instance:delete 删除防护策略 waf:policy:delete 创建防敏感信息泄漏规则 waf:antiLeakageRule:create 创建网页防篡改规则 waf:antiTamperRule:create 创建CC攻击防护规则 waf:ccRule:create 创建精准访问防护规则 waf:preciseProtectionRule:create 创建误报屏蔽规则 waf:falseAlarmMaskRule:create 创建隐私屏蔽规则 waf:privacyRule:create 创建黑白名单规则 waf:whiteBlackIpRule:create 创建地址位置访问控制规则 waf:geoIpRule:create 创建证书 waf:certificate:create 创建防护域名 waf:instance:create 创建防护策略 waf:policy:create 查询防敏感信息泄漏规则列表 waf:antiLeakageRule:list 查询网页防篡改规则列表 waf:antiTamperRule:list 查询CC攻击防护规则列表 waf:ccRuleRule:list 查询精准访问防护规则列表 waf:preciseProtectionRule:list 查询误报屏蔽规则列表 waf:falseAlarmMaskRule:list 查询隐私屏蔽规则列表 waf:privacyRule:list 查询黑白名单规则列表 waf:whiteBlackIpRule:list 查询地址位置访问控制规则列表 waf:geoIpRule:list 查询防护域名列表 waf:instance:list 查询防护策略列表 waf:policy:list 查询独享引擎实例列表 waf:premiumInstance:list 查询独享引擎 waf:premiumInstance:get 创建独享引擎实例 waf:premiumInstance:create 删除独享引擎实例 waf:premiumInstance:delete 更新独享引擎 waf:premiumInstance:put

本小节主要介绍态势感知与其他云服务之间的关系。 与安全服务的关系 态势感知（专业版）从主机安全（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）等安全防护服务中获取必要的安全事件记录，进行大数据挖掘和机器学习，智能AI分析并识别出攻击和入侵，帮助用户了解攻击和入侵过程，并提供相关的防护措施建议。 与弹性云服务器的关系 态势感知（专业版）为弹性云服务器（Elastic Cloud Server，ECS）提供资产安全管理服务，结合HSS主机防护状态，全方位呈现当前ECS安全风险态势，并提供相应防护建议。

四、独享 IP 订单全生命周期管理 概述：独享 IP 订单为独立生命周期订单，不跟随应用实例生命周期变化。 访问策略约束说明： 1. 访问控制策略：绑定了独享IP的实例的访问控制策略，修改访问控制策略时，不可修改成黑名单。 2. 同一个独享IP，要限制其绑定的所有实例，端口不可重复。 五、常见问题 Q1：为什么看不到「独享网络」选项？ A：您可联系您的客户经理开通权限，或线上咨询或拨打客服热线电话寻求帮助，热线电话：4008109889转1。 Q2：购买独享 IP 后为什么无法访问应用？ A：可能原因： 1. 订单施工未完成（IP 分配需要时间）； 2. 应用实例访问控制策略为「黑名单」； 3. 对外端口未填写或未备案（敏感端口）； 4. 独享 IP 已被冻结 / 销毁。 Q3：如何修改独享 IP 绑定的应用实例？ A：进入目标应用的「更新应用」页面，重新选择独享 IP 或修改对外端口即可完成绑定变更；也可通过「订购网络」页面重新关联应用实例。