本文为您介绍接入域名至Web应用防火墙（原生版）实例时，如何进行本地验证。 已在Web应用防火墙（WAF）中添加域名，但还未修改域名的DNS解析（将网站域名解析到WAF）时，建议您通过修改本地计算机的DNS解析，在本地计算机上验证WAF的域名接入设置正确有效。本文以Windows操作系统为例，介绍了在本地计算机验证域名接入设置的操作步骤。 前提条件 已通过CNAME接入模式手动添加网站域名。 背景信息 通过修改本地计算机的hosts文件，可以设置本地计算机的域名寻址映射，即仅对本地计算机生效的DNS解析记录。本地验证需要您在本地计算机上将网站域名的解析指向WAF的IP地址。这样就可以通过本地计算机访问被防护的域名，验证WAF中添加的域名接入设置是否正确有效，避免域名接入配置异常导致网站访问异常。 获取WAF IP 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏选择“接入管理”，默认进入“域名接入”页签。 5. 定位到已添加的防护对象，在操作列点击进入“详情”进入防护对象详情页。 6. 在“防护对象详情”页中，复制该域名对应的WAF CNAME地址。 7. 在Windows操作系统中，打开cmd命令行工具。 8. 执行命令：ping 。 9. 在ping命令的返回结果中，记录域名对应的WAF IP地址。

服务名称 服务类别 关联与区别 防护对象 态势感知（专业版）（SA） 安全管理 SA着重呈现全局安全威胁攻击态势，统筹分析多服务威胁数据和云上安全威胁，并提供防护建议。 呈现全局安全威胁攻击态势。 AntiDDoS流量清洗（AntiDDoS） 网络安全 AntiDDoS集中于异常DDoS攻击流量的检测和防御。 同步相关攻击日志、防护等数据给SA。 保障企业业务稳定性。 企业主机安全（HSS） 主机安全 HSS着手于保障主机整体安全性，检测主机安全风险，执行防护策略。 同步相关告警、防护等数据给SA。 保障主机整体安全性。 Web应用防火墙（独享版）（WAF） 应用安全 WAF服务对网站业务流量进行多维度检测和防护，防御常见攻击，阻断攻击进一步威胁。 同步相关入侵日志、告警数据等给SA，呈现全网Web风险态势。 保障Web应用程序的可用性、安全性。

本文为您介绍安全总览功能说明，以及支持查看的统计图表、数据含义。 Web应用防火墙（原生版）安全总览页面向您展示当前WAF实例中所有域名的防护统计记录、请求趋势图表以及攻击事件的分布状态等，帮助您了解网站业务的整体安全状态。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成防护对象接入并正常防护。 查询条件 在总览页面上方，选择要查询的防护对象和时间，查询总览数据。 查询条件说明： 防护对象：默认展示SaaS模式下已接入防护的相关数据，也可以查询其他模式下已接入防护的数据，或只查询某个防护对象的数据。 时间：查询时间支持选择昨天、今天、近3天、近7天、近30天或自定义时间范围的防护统计数据。 防护统计数据 防护统计数据展示了网站域名收到的全部请求次数、全部攻击次数和触发了不同防护模块的防护次数，防护模块包括Web入侵防护、CC防护、精准访问防护、BOT防护、地域访问控制、IP黑白名单、防敏感信息泄露、Cookie防篡改、攻击惩罚。 单击全部攻击次数，可以跳转至防护事件列表页，查看统计数据对应的详细攻击事件记录。

本文介绍Web应用防火墙（边缘云版）是否可以和CDN一起接入。 Web应用防火墙（边缘云版）可以和CDN一起接入。 Web应用防火墙（边缘云版）和CDN一起接入，是指CDN融合了Web应用防火墙（边缘云版）能力，在CDN节点上提供Web应用防火墙（边缘云版）防护功能。Web应用防火墙（边缘云版）防护具体功能，请参见Web应用防火墙（边缘云版）功能介绍。 前提条件 已开通天翼云CDN加速计费，且已经将域名添加到CDN加速控制台。 已完成Web应用防火墙（边缘云版）产品开通。 CDN控制台域名的加速范围选择为中国内地。 操作步骤 1. 登录Web应用防火墙（边缘云版） 控制台。 2. 选择域名管理—域名列表，点击【添加域名】。 3. 填写网站域名后，点击【确认】进行产品关联，同步网站通用配置，并单击【下一步】。 4. 根据页面配置指引，完成安全防护配置。

操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“Web核心防护”模块，完成以下功能配置。 配置项 说明 状态 开启或关闭Web核心防护规则引擎。防护规则引擎默认开启，为所有接入WAF防护的网站防御常见的Web应用攻击。 防护规则组 选择要应用的防护规则组。支持应用内置规则组和自定义规则组。 内置规则组包括： 正常规则组：按照标准防护程度去检测常见的Web应用攻击。默认应用该规则组。 严格规则组：按照严格防护程度去检测路径穿越、SQL注入、命令执行等Web应用攻击。 宽松规则组：按照宽松防护程度去检测常见Web应用攻击。当您发现正常规则组下存在较多误拦截，或者业务存在较多不可控的用户输入（例如，富文本编辑器、技术论坛等），建议您选择该规则组。 自定义规则组：用户可根据业务情况自定义防护规则组。 单击“前去配置”，将跳转到防护规则组配置页面，您可以根据业务需要自定义防护规则组及要应用的防护规则。具体操作，请参见全局Web核心防护。

操作名称 资源类型 事件名称 创建Web应用防火墙防护实例 instance createInstance 删除Web应用防火墙防护实例 instance deleteInstance 更新Web应用防火墙防护实例 instance alterInstanceName 修改Web应用防火墙防护实例的防护状态 instance modifyProtectStatus 修改Web应用防火墙防护实例的接入状态 instance modifyAccessStatus 创建Web应用防火墙防护策略 policy createPolicy 应用Web应用防火墙防护策略 policy applyToHost 更新Web应用防火墙防护策略 policy modifyPolicy 删除Web应用防火墙防护策略 policy deletePolicy 添加证书 certificate createCertificate 修改证书名称 certificate modifyCertificate 删除证书 certificate deleteCertificate 创建CC规则 policy createCc 修改CC规则 policy modifyCc 删除CC规则 policy deleteCc 创建精准防护规则 policy createCustom 修改精准防护规则 policy modifyCustom 删除精准防护规则 policy deleteCustom 创建IP黑白名单规则 policy createWhiteblackip 修改IP黑白名单规则 policy modifyWhiteblackip 删除IP黑白名单规则 policy deleteWhiteblackip 创建/刷新网页防篡改规则 policy createAntitamper 删除网页防篡改规则 policy deleteAntitamper 创建全局白名单规则 policy createIgnore 删除全局白名单规则 policy deleteIgnore 创建隐私屏蔽规则 policy createPrivacy 修改隐私屏蔽规则 policy modifyPrivacy 删除隐私屏蔽规则 policy deletePrivacy

本节介绍什么是Web应用防火墙以及其防护原理。 什么是Web应用防火墙 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 开通Web应用防火墙后，在WAF管理控制台将网站添加并接入WAF，即可启用Web应用防火墙。启用之后，您网站所有的公网流量都会先经过Web应用防火墙，恶意攻击流量在Web应用防火墙上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。 防护原理 申请WAF后，在WAF管理控制台将网站添加并接入WAF。网站成功接入WAF后，网站所有访问请求将先流转到WAF，WAF检测过滤恶意攻击流量后，将正常流量返回给源站，从而确保源站安全、稳定、可用。 网站接入WAF防护原理 流量经WAF返回源站的过程称为回源。WAF通过回源IP代替客户端发送请求到源站服务器，接入WAF后，在客户端看来，所有的目标IP都是WAF的IP，从而隐藏源站IP。 回源IP

本小节介绍Web应用防火墙操作类常见问题。 如何接入Web应用防火墙防护？ Web应用防火墙支持HTTPS协议吗？ Web应用防火墙支持IP负载均衡吗？ Web应用防火墙流量牵引方式及步骤？ 为什么要放行云Web应用防火墙回源IP段？ 为什么要开通所有网站端口的Web应用防火墙防护？ 如何放行云Web应用防火墙回源IP段？ Web应用防火墙是否支持会话保持？ Web应用防火墙是否支持源站健康检查？ 为什么第三方漏洞扫描工具会检测到域名其他未开放的端口？ Web应用防火墙是否支持HTTPS与HTTP2.0协议？ Web应用防火墙是否支持WebSocket协议？ Web应用防火墙是否支持IPv4与IPv6双栈？ [Web应用防火墙是否支持NAT64机制？](

本文为您介绍Web应用防火墙（原生版）的应用场景。 场景一： 网站应用防数据泄露 恶意访问者通过SQL注入，网页木马等攻击手段，入侵网站数据库，窃取业务数据或其他敏感信息。 方案优势 精准识别恶意流量，全面防护SQL注入、XSS、Webshell上传、目录遍历、后门隔离等各类常见Web攻击。 根据会话特征有效识别恶意爬虫，防止数据泄露。 目标用户 互联网 + 企业Web服务、电商O2O站点、金融政务网站 场景示意图 场景二：CC攻击防护 网站被发起大量的恶意CC请求，长时间占用核心资源，导致网站业务响应缓慢或无法正常提供服务。 方案优势 可根据IP或者会话Session设置灵活的限速策略，精准识别CC攻击，保障业务稳定运行。 用户可根据业务需要，自主控制访问频率，并配置期望的处置动作，满足业务定制化需要。 场景示意图 场景三：0Day漏洞修复 第三方框架或插件爆发0Day漏洞时，需要通过下发虚拟补丁，第一时间防护由漏洞引发的攻击。

IP地址组集中管理IP地址或网段，被黑白名单规则引用时可以批量设置IP/IP地址段。本节介绍如何添加黑白名单IP地址组。 前提条件 已申请Web应用防火墙实例。 约束条件 添加IP地址组时，请确保IP/IP地址段未添加到其他IP地址组，重复添加同一IP/IP地址段会导致添加IP地址组失败。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择区域。 步骤 3 单击页面左上方的，选择“安全> Web应用防火墙（独享版）”。 步骤 4 在左侧导航树中，选择“对象管理> 地址组管理”，进入“地址组管理”页面。 步骤 5 在我的地址组列表左上方，单击“添加地址组”。 步骤 6 在弹出的“添加地址组”对话框中，输入“地址组名称”和“IP/IP段”。 步骤 7 单击“确认”，地址组创建成功。

此小节介绍配置Web基础防护规则。 Web基础防护开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。您还可以根据实际使用需求，开启Webshell检测、搜索引擎、扫描器、脚本工具、其它爬虫等Web基础防护。 说明 Web基础防护支持“拦截”和“仅记录”模式。 前提条件 已添加防护网站。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 单击目标策略名称，进入目标策略的防护配置页面。 步骤6 在“Web基础防护”配置框中，用户可根据自己的需要更改Web基础防护的“状态”和“模式”。 防护动作参数说明 参数 说明 :: 状态 Web应用防护攻击的状态。 ：开启状态 ：关闭状态 模式 拦截：发现攻击行为后立即阻断并记录。 仅记录：发现攻击行为后只记录不阻断攻击。 步骤7 在“Web基础防护”配置框中，单击“高级设置”，进入“Web基础防护”界面。 步骤8 根据您的业务场景，开启合适的防护功能，如下图所示。 防护等级设置 在页面上方，选择防护等级，Web基础防护设置了三种防护等级：“宽松”、“中等”、“严格”，默认情况下，选择“中等”。 防护等级 说明 :: 宽松 防护粒度较粗，只拦截攻击特征比较明显的请求。 当误报情况较多的场景下，建议选择“宽松”模式。 中等 默认为“中等”防护模式，满足大多数场景下的Web防护需求。 严格 防护粒度最精细，可以拦截具有复杂的绕过特征的攻击请求，例如jolokia网络攻击、探测CGI漏洞、探测 Druid SQL注入攻击。 建议您等待业务运行一段时间后，根据防护效果配置误报屏蔽规则，再开启“严格”模式，使WAF能有效防护更多攻击。 防护检测类型设置 说明 默认开启“常规检测”和“扫描器”防护检测，用户可根据业务需要，参照下表开启其他需要防护的检测类型。 检测项说明： 检测项 说明 :: 常规检测 防护SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击。其中，SQL注入攻击主要基于语义进行检测。 说明 开启“常规检测”后，WAF将根据内置规则对常规检测项进行检测。 Webshell检测 防护通过上传接口植入网页木马。 说明 开启“Webshell检测”后，WAF将对通过上传接口植入的网页木马进行检测。 深度检测 防护同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸。 说明 开启“深度检测”后，WAF将对深度反逃逸进行检测防护。 header全检测 默认关闭。关闭状态下WAF会检测常规存在注入点的header字段，包含UserAgent、Contenttype、AcceptLanguage和Cookie。 说明 开启“header全检测”后，WAF将对请求里header中所有字段进行攻击检测。

本小节介绍Web应用防火墙支持端口说明。 云WAF支持的标准防护端口和非标防护端口如下： 端口分类 HTTP协议端口范围 标准防护端口 80、8080 非标防护端口 81、82、83、84、86、87、88、89、97、800、808、1000、1090、3000、3333、3501、3601、5000、5222、6001、6666、7000、7001、7002、7003、7004、7005、7006、7009、7010、7011、7012、7013、7014、7015、7016、7018、7019、7020、7021、7022、7023、7024、7025、7026、7070、7081、7082、7083、7088、7097、7510、7777、7800、8000、8001、8002、8003、8008、8009、8020、8021、8022、8025、8026、8077、8078、8080、8081、8082、8083、8084、8085、8086、8087、8088、8089、8090、8091、8106、8181、8334、8336、8686、8800、8888、8889、8999、9000、9001、9002、9003、9021、9023、9027、9037、9080、9081、9082、9180、9200、9201、9205、9207、9208、9209、9210、9211、9212、9213、9898、9908、9916、9918、9919、9928、9929、9939、9999、10001、10080、12601、28080、33702、48800

Web 应用安全防护 配置 Web 应用防火墙 ：云防火墙（原生版）是一款云原生的云上边界网络安全防护产品，可提供统一的互联网边界管控与安全防护，并提供业务整体情况可视化、日志审计和分析等功能，帮助您完成网络边界防护与等保合规 配置云安全组 ：云安全组作为虚拟防火墙，可帮助用户精细控制云主机的出入站流量。用户可根据业务需求，合理配置安全组规则，限制特定端口或 IP 地址的访问权限，进一步增强 Web 应用的网络安全防护能力。 配置DDoS基础防护：DDoS基础防护产品依托天翼云资源池网络，在公网IP遭受DDoS攻击时免费提供一定DDoS防护阈值，尽可能确保IP可用。当IP遭受的DDoS攻击峰值超过IP的DDoS防护阈值时，会对IP所在服务器和网络的稳定性造成影响，根据用户协议，IP会进入封禁状态。更多信息见基础网络防护和网络安全产品推荐 操作审计与追溯 配置云审计：云审计是天翼云提供的云账号在控制台操作记录的查询和投递服务，可用于支撑合规审计、安全分析、操作追踪和问题定位等场景。同时云审计提供事件跟踪功能，支持将操作日志转储至对象存储或者日志审计（原生版）产品实现更长时间的存储，满足等保合规要求。弹性云主机默认已与云审计服务集成，默认开启，您只需要在云审计界面开通云审计即可使用。

步骤 3 将新购买的独享引擎实例添加到ELB的后端服务器上。 以添加共享型后端服务器为例说明，添加后端服务器操作步骤如下。 1. 单击页面左上方的“服务列表”，选择“安全> Web应用防火墙（独享版）”，进入“安全总览”页面。 2. 在左侧导航树中，选择“系统管理 > 独享引擎”，进入“独享引擎”页面。 3. 在目标实例所在行的“操作”列，单击“更多 > 添加到ELB”。 4. 在“添加到ELB”页面中，选择原独享引擎实例配置的“ELB（负载均衡器）”、“ELB监听器”和“后端服务器组”。 5. 单击“确认”，为WAF实例配置业务端口，“业务端口”需要配置为原WAF独享引擎实例实际监听的业务端口。 步骤 4 在ELB管理控制台上，将原独享引擎实例的流量权重设置为“0”。新的请求不会转发到权重为0的后端。 步骤 5 待业务流量降下来后，删除原独享引擎实例。查看独享实例的云监控信息，“新建连接数”较小时（例如，小于5），说明业务流量已经降下来。 1. 在WAF控制台的左侧导航树中，选择“系统管理 > 独享引擎”，进入“独享引擎”页面。 2. 在目标实例所在行的“操作”列，单击“更多 > 删除”。 3. 在弹出的提示框中，单击“确认”。 删除实例后，该实例上的资源将被释放且不可恢复。 多独享引擎实例节点升级 如果您的业务部署了多个独享引擎实例，请参照以下操作升级实例。

操作 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 单击目标策略名称，进入目标策略的防护配置页面。 步骤6 在“网页防篡改”配置框中，用户可根据自己的需要更改“状态”，单击“自定义网页防篡改”，进入网页防篡改规则的配置页面。 步骤7 在“网页防篡改”规则的配置页面左上角，单击“添加规则”。 步骤8 在弹出的对话框中，添加网页防篡改规则，参数说明如表所示。 参数说明 参数 参数说明 取值样例 ::: 域名 设置防篡改的域名。 www.example.com 路径 设置防篡改的URL链接中的路径（不包含域名）。 URL用来定义网页的地址。基本的URL格式如下： 协议名://域名或IP地址[:端口号]/[路径名/…/文件名]。 例如，URL为“ 说明 该路径不支持正则。 路径里不能含有连续的多条斜线的配置，如“///admin”，WAF引擎会将“///”转为“/” /admin 规则描述 可选参数，设置该规则的备注信息。 步骤9 单击“确认添加”，添加的网页防篡改规则展示在网页防篡改规则列表中。

操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 在左侧导航栏中选择【日志管理】—【业务日志】页面 3. 通过域名、时间周期进行组合查询业务日志。支持点击操作列【下载】按钮下载业务日志

Web应用防火墙（边缘云版）适用于天翼云以及天翼云外所有用户，包含但不限于网站类业务广泛应用于政府门户、金融证券、电子商务、新闻媒体、游戏、教育等行业的Web应用类安全防护。 应用场景 业务特点 Web应用防火墙（边缘云版）可解决的业务痛点 政企网站 作为政府、企业的互联网信息服务的重要渠道，保障网站的稳定运行是服务提供的关键。 集成各类业务平台，业务接口多。 信息数据量大，用户信息价值高。 对Web类攻击进行多维度识别和防御，防止网站被挂马、篡改影响网站声誉。 智能AI与大数据协同，在现有的防护体系上扩充防护规则，提高防护效果。 降低硬件防护压力，利用边缘云安全、算力优势，减少硬件维护成本。 0day虚拟补丁第一时间生成防护策略，避免漏洞被利用带来负面影响。 金融行业 网站上存在大量的用户敏感信息，非法者利用刷库、撞库等手段获取用户账号信息。 常收到境外攻击团队勒索邮件，遭受攻击较多。 受行业监管要求，金融机构每年定期组织安全演练。 信用卡中心的各种推广活动，引来“羊毛党”通过恶意程序、软件等工具进行营销欺诈。 “云端+本地”双重保障，对攻击进行层层识别和防御，避免数据泄漏造成负面影响。 行业情报共享，不断优化安全防护模板。 爬虫防护，精准的人机识别，在拦截爬虫的同时，保障业务的正常进行。 新闻媒体 对外服务站点多，暴露面广，容易成为黑客突破口。 站点脆弱性未知，存在大量的漏洞未修复。 舆论、监管压力大，受主管、监管单位严格监管。 爬虫、钓鱼重灾区，竞争对手恶意竞争。 CNAME接入防御，自助配置，隐藏并保护源站，保障网站内容不被黑客入侵篡改。 通过业务分析及攻击分析定制防护策略，有效提升防护的精准度。 情报共享，全网攻击数据分析入库，反哺优化护网期间的攻击策略。 提供爬虫和 IP 情报特征，快速识别恶意爬虫行为。 教育行业 大量用户集中访问，高并发易卡顿。 跨区域运营商访问慢。 站点脆弱性未知，漏洞利用风险高。 挂马、数据篡改等事件高发时段。 域名CNAME接入，不改变源站架构，快速接入防护策略。 智能选路，分布式部署，资源弹性扩容，从容应对高并发。 0day漏洞快速修复，避免漏洞被利用带来负面影响。 支持防篡改，以及网站安全监测，提前预警防患于未然。

此小节介绍Web应用防火墙的应用场景，覆盖企业所需的典型防护场景。 常规防护 帮助用户防护常见的Web安全问题，比如命令注入、敏感文件访问等高危攻击。 电商抢购秒杀防护 当业务举办定时抢购秒杀活动时，业务接口可能在短时间承担大量的恶意请求。Web应用防火墙可以灵活设置CC攻击防护的限速策略，能够保证业务服务不会因大量的并发访问而崩溃，同时尽可能地给正常用户提供业务服务。 0Day漏洞爆发防范 当第三方Web框架、插件爆出高危漏洞，业务无法快速升级修复，Web应用防火墙确认后会第一时间升级预置防护规则，保障业务安全稳定。WAF相当于第三方网络架构加了一层保护膜，和直接修复第三方架构的漏洞相比，WAF创建的规则能更快的遏制住风险。 防数据泄露 恶意访问者通过SQL注入，网页木马等攻击手段，入侵网站数据库，窃取业务数据或其他敏感信息。用户可通过Web应用防火墙配置防数据泄露规则，以实现： 精准识别 采用语义分析+正则表达式双引擎，对流量进行多维度精确检测，精准识别攻击流量。 变形攻击检测 支持7种编码还原，可识别更多变形攻击，降低Web应用防火墙被绕过的风险。

本节介绍如何配置全局Web核心防护。 防护对象接入Web应用防火墙后，您可以选择开启全局Web核心防护功能。 全局精准访问控制支持对全局域名或单个域名生效。 全局Web核心防护包括防护配置 SQL注入、XSS代码注入、信息泄露、XML实体注入、Xpath注入、Ldap注入、SSL指令注入、文件上传、命令注入等常见 Web攻击。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 查看规则库 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“全局Web核心防护”模块，选择查看规则库。 6. 进入“规则组”页面。 规则列表中包含的参数如下： 配置项 说明 危险等级 防护规则防护漏洞的危险等级，包括： 高危 中危 低危 灰度状态 规则的状态说明。 规则ID WAF防护引擎中可唯一标识该规则的ID。 规则引擎类型 描述WAF防护规则的引擎类型 规则名称 防护规则的描述信息。 防护类型 表示规则防御的Web攻击类型。 包括SQL注入、XSS、目录穿越、Java代码执行、PHP代码执行、ASP代码执行、通用代码执行、Java反序列化、PHP反序列化、本地文件包含、远程文件包含、文件上传、CSRF、SSRF、命令注入、信息泄露、模板注入、XML实体注入、Xpath注入、LDAP注入、自定义精准攻击、未知攻击。 CVE编号 防护规则对应的CVE（Common Vulnerabilities & Exposures，通用漏洞披露）编号。对于非CVE漏洞，显示为空。 关联规则组数 显示对应规则所绑定的规则组数量。 7. 单击页面右上角的“规则更新状态”可查看内置规则的更新情况。

本节介绍云等保专区产品的Web应用防火墙配置类问题。 Web应用防火墙如何进行接入配置？ 1. 用户登录到云等保专区后，在左侧导航树选择“Web应用防火墙”，进入Web应用防火墙原子能力，进行绑定弹性IP操作。 根据弹出的弹性IP地址列表，选择将要绑定弹性IP。 2. 选择Web应用防火墙部署模式，更多信息请参考《云等保专区Web应用防火墙用户使用指南》全局配置，在菜单栏中选择“配置 > 全局配置”进入全局配置页面，编辑相关信息，点击“保存”。 3. 添加保护站点，详细操作可查看《云等保专区Web应用防火墙用户使用指南》配置保护站点操作细则。 4. 配置防护策略，详细操作可查看《云等保专区Web应用防火墙用户使用指南》规则组和自定义规则。 5. 完成基础配置后，可通过以下步骤验证是否配置成功。 1. 使用客户端浏览器访问被保护对象，如基础配置保护站点中添加的保护站点为 2. 在浏览器中输入以下URL模拟SQL注入攻击： 3. 在菜单栏选择“日志+应用防护日志”，查看系统是否记录到SQL注入攻击事件，如存在，点击事件名称检查告警详细信息中记录的主机名和客户端IP地址与测试中使用的保护站点和客户端IP地址是否一致。如一致，说明已经完成web应用防火墙那个接入配置。

您可以通过Web应用防火墙服务配置隐私屏蔽规则。隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。 前提条件 已添加防护网站。 约束条件 添加或修改防护规则后，规则生效需要几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。 系统影响 配置隐私屏蔽规则后，防护事件中将屏蔽敏感数据，防止用户隐私泄露。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 单击目标策略名称，进入目标策略的防护配置页面。 步骤6 在“隐私屏蔽”配置框中，用户可根据自己的需要更改“状态”，单击“自定义隐私屏蔽规则”，进入隐私屏蔽规则配置页面。 步骤7 在“隐私屏蔽”规则配置页面左上角，单击“添加规则”。 步骤8 添加隐私屏蔽规则，根据表配置参数。 添加隐私屏蔽规则参数说明： 参数 参数说明 取值样例 ::: 路径 完整的URL链接，不包含域名。 前缀匹配：以结尾代表以该路径为前缀。例如，需要防护的路径为“/admin/test.php”或 “/adminabc”，则路径可以填写为“/admin ”。 精准匹配：需要防护的路径需要与此处填写的路径完全相等。例如，需要防护的路径为“/admin”，该规则必须填写为“/admin”。 说明 该路径不支持正则，仅支持前缀匹配和精准匹配的逻辑。 路径里不能含有连续的多条斜线的配置，如“///admin”，访问时，引擎会将“///”转为“/”。 /admin/login.php 例如：需要防护的URL为“ 屏蔽字段 设置为屏蔽的字段。 Params：请求参数。 Cookie：根据Cookie区分的Web访问者。 Header：自定义HTTP首部。 Form：表单参数。 “屏蔽字段”为“Params”时，屏蔽字段名请根据实际使用需求设置，如果设置为“id”，设置后，与“id”匹配的内容将被屏蔽。 屏蔽字段”为“Cookie”时，屏蔽字段名请根据实际使用需求设置，如果设置为“name”，设置后，与“name”匹配的内容将被屏蔽。 屏蔽字段名 根据“屏蔽字段”设置字段名，被屏蔽的字段将不会出现在日志中。 说明 子字段的长度不能超过2048字节，且只能由数字、字母、下划线和中划线组成。 “屏蔽字段”为“Params”时，屏蔽字段名请根据实际使用需求设置，如果设置为“id”，设置后，与“id”匹配的内容将被屏蔽。 屏蔽字段”为“Cookie”时，屏蔽字段名请根据实际使用需求设置，如果设置为“name”，设置后，与“name”匹配的内容将被屏蔽。 规则描述 可选参数，设置该规则的备注信息。 步骤9 单击“确认添加”，添加的隐私屏蔽规则展示在隐私屏蔽规则列表中。

本文通过图文说明新增证书的操作步骤。 功能介绍 Web应用防火墙（边缘云版）基于边缘云底座，HTTPS为边缘云网络内容传输提供了更好的保障，客户端在极速访问内容的同时，可以更安全有效地浏览网站内容。本文主要指导客户如何新增证书。 配置说明 新增证书时，客户需要填写证书备注名、证书公钥以及证书私钥。其中公钥和私钥支持PEM格式。具体操作步骤如下： 1. 登录Web应用防火墙（边缘云版）控制台。 2. 在【证书管理】页面，找到右上角的添加证书按键。 3. 单击【添加证书】。 4. 输入证书备注名、证书公钥和证书私钥。 您需要提前准备好域名的证书文件和私钥文件。 需要准备的证书相关内容如下（上传时请确保证书有完整的证书链）： .crt（公钥文件）或.pem（证书文件） .key（私钥文件） 备注： 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便在域名配置关联证书选择时，选定正确的证书与域名进行关联。 注意事项 请确保上传的证书还在有效期范围内。 目前只支持PEM格式，如果是其他格式，请自行转换为正确格式。

本小节介绍Web应用防火墙知识类常见问题。 什么是Web应用防火墙？ Web 应用防火墙（Web Application Firewall，简称WAF）是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品，承担了抵御常见的SQL注入、XSS、远程命令执行、目录遍历等攻击的作用。 什么是CC攻击？ CC是一个应用层的DDoS，是发生在TCP3次握手已经完成之后，所以发送的IP都是真实的。CC攻击的原理很简单，就是对一些消耗资源较大的应用页面不断地发起正常的请求，以达到消耗服务端资源的目的，在Web应用中，查询数据库、读写硬盘文件的操作，相对都会消耗比较多的资源。一个简单的例子，一个小的网站，可能被搜索引擎、信息收集等系统的爬虫爬死，或者是扫描器扫死，这与应用层的DDoS攻击的结果很像。 使用Web应用防火墙会影响用户的网页备案吗？ 不会，Web应用防火墙的本质是一种网站在线加速和防护服务，没有影响用户网站所在的机房。和传统CDN类似，使用CDN会改变网站的解析IP，但是并不会影响网站的备案。 Web应用防火墙需要关注哪些问题？ Web应用防火墙防护需要注意确保DNS牵引的正确性。面向的客户为采用天翼云主机作为网站服务的客户，客户购买服务前提必须提供正确的网站域名。

产品分类 产品名称 存储 混合存储网关、云硬盘、弹性文件服务、媒体存储、云备份、云硬盘备份、对象存储、云主机备份、海量文件服务 OceanFS、云容灾、对象存储（经典版）I型、并行文件 网络与CDN 弹性IP、天翼云SDWAN、NAT网关、VPN连接、云间高速、虚拟私有云、弹性负载均衡、共享流量包、智能边缘云、云专线CDA、应用加速、边缘安全加速平台、CDN加速、智能DNS、VPC终端节点、全站加速、科研助手 计算 弹性云主机、天翼云电脑（政企版）、函数计算、弹性高性能计算、镜像服务、弹性伸缩服务、物理机、云骁智算平台、数据加密 数据库 关系数据库SQL Server版、关系数据库PostgreSQL版、分布式关系型数据库、关系数据库MySQL版、数据传输服务、文档数据库服务、数据管理服务、分布式缓存服务Redis版、时序数据库Influx版、分布式融合数据库HTAP、云数据库ClickHouse 监控与管理 云日志服务、应用性能监控 应用服务 API网关、EasyCoding敏捷开发平台、软件开发生产线CodeArts 数据库 关系型数据库MySQL版（CTRDS）、关系型数据库PostgreSQL版、关系型数据库SQL Server版、云数据库GaussDB、分布式关系型数据库、分布式融合数据库HTAP、文档数据库服务、时序数据库Influx版、分布式缓存服务Redis版 人工智能 AI能力开放平台、慧聚一站式智算服务平台 大数据 云搜索服务、大数据管理平台 DataWings、翼MapReduce 容器与中间件 应用服务网格、弹性容器实例、分布式容器云平台、容器镜像服务、分布式消息服务RabbitMQ、分布式消息服务RocketMQ、微服务应用平台MSAP、云容器引擎、分布式消息服务Kafka、微服务引擎注册配置中心、微服务引擎MSE、应用性能监控apm、分布式容器云平台CCSE ONE 安全及管理 云防火墙（原生版）、统一身份认证、密钥管理、服务器安全卫士（原生版）、云监控、Web应用防火墙（原生版）、证书管理服务、DDoS高防（边缘云版）、云堡垒机、Web应用防火墙（边缘云版）、云审计 企业应用 云通信短信 视频 视频直播、智能视图服务、云点播 专属云 专属云（计算独享型） 价格 账务 其他 数据库审计、云日志服务、轻量型云主机、云原生网关、API网关

视频 天翼云媒体存储服务等级协议 容器与企业中间件 云容器引擎服务等级协议 微服务云应用平台服务等级协议 分布式消息服务RabbitMQ服务等级协议 分布式消息服务RocketMQ服务等级协议 分布式消息服务Kafka服务等级协议 天翼云软件开发生产线CodeArts服务等级协议 天翼云应用性能监控APM服务等级协议 天翼云容器安全卫士服务等级协议 天翼云应用服务网格服务等级协议 天翼云微服务引擎服务等级协议 天翼云容器镜像服务等级协议 天翼云函数计算服务等级协议 安全 Web应用防火墙（边缘云版）服务等级协议 天翼云高防（边缘云版）服务等级协议 天翼云网站安全监测服务等级协议 天翼云爬虫管理平台服务等级协议 天翼云容器安全平台服务等级协议 天翼云托管检测与响应服务（原生版）服务等级协议 天翼云密评专区服务等级协议 天翼云日志审计服务等级协议 天翼云证书管理服务等级协议 天翼云云堡垒机服务等级协议 天翼云密钥管理服务等级协议 天翼云云安全中心服务等级协议 天翼云Web应用防火墙（原生版）服务等级协议 天翼云云防火墙（原生版）服务等级协议 天翼云Web应用防火墙（独享版）服务等级协议 天翼云漏洞扫描（专业版）服务等级协议 天翼云企业主机安全服务等级协议 天翼云态势感知（专业版）服务等级协议 天翼云云防火墙服务等级协议 天翼云运维安全中心（云堡垒机）服务等级协议

本文将介绍HTTP 2.0业务接入Web应用防火墙（边缘云版）服务对源站和客户端的影响。 Web应用防火墙（边缘云版）对客户端（用户侧）的请求是支持HTTP 2.0服务的。但是对于服务端（源站侧）是无法支持HTTP 2.0的。 也就是Web应用防火墙（边缘云版）节点回源站时候，HTTP 2.0的客户端请求会采用的是HTTP 1.0/1.1协议转发回源请求。 HTTP 2.0业务接入Web应用防火墙（边缘云版）防护，客户端（客户侧）是不受影响。 HTTP 2.0业务接入Web应用防火墙（边缘云版）防护，服务端（源站侧）是不受影响。 影响情况：源站的HTTP 2.0特性将会受到影响。 例如，源站HTTP 2.0的多路复用特性可能失效，造成源站业务带宽有所上升。

通过Web应用防火墙，轻松应对各种Web安全风险，本节介绍Web应用防火墙支持功能。 功能类别 功能说明 业务配置 域名（泛域名、一级域名、二级域名等各级域名）/IP防护 WAF支持的防护对象：域名或IP，云上或云下的Web业务。 业务配置 HTTP/HTTPS业务防护 WAF可以防护HTTP/HTTPS业务，通过对HTTP/HTTPS请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 业务配置 支持WebSocket/WebSockets协议 WAF支持WebSocket/WebSockets协议，且默认为开启状态。 业务配置 非标端口防护 Web应用防火墙除了可以防护标准的80，443端口外，还支持非标准端口的防护。 Web应用安全防护 Web基础防护 覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对恶意扫描器、IP、网马等威胁进行检测和拦截。 全面的攻击防护：支持SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、目录（路径）遍历、敏感文件访问、命令/代码注入、网页木马上传、后门隔离保护、非法HTTP协议请求、第三方漏洞攻击等威胁检测和拦截。 Webshell检测防护：通过上传接口植入网页木马。 识别精准： 内置语义分析+正则双引擎，黑白名单配置，误报率更低。 支持防逃逸，自动还原常见编码，识别变形攻击能力更强。默认支持的编码还原类型：urlencode、Unicode、xml、OCT（八进制）、HEX（十六进制）、html转义、base64、大小写混淆、javascript/shell/php等拼接混淆。 深度检测：深度反逃逸识别（支持同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等的防护）。 header全检测：支持对请求里header中所有字段进行攻击检测。 Web应用安全防护 CC攻击防护规则 可以自定义CC防护规则，限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，WAF会根据您配置的规则，精准识别CC攻击以及有效缓解CC攻击。 Web应用安全防护 精准访问防护规则 精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合，定制化防护策略，为您的网站带来更精准的防护。 Web应用安全防护 黑白名单规则 配置黑白名单规则，阻断、仅记录或放行指定IP的访问请求，即设置IP黑/白名单。 Web应用安全防护 地理位置访问控制规则 针对指定国家、地区的来源IP自定义访问控制。 Web应用安全防护 网页防篡改规则 当用户需要防护静态页面被篡改时，可配置网页防篡改规则。 Web应用安全防护 网站反爬虫规则 动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为。 Web应用安全防护 防敏感信息泄露规则 该规则可添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 Web应用安全防护 全局白名单规则 针对特定请求忽略某些攻击检测规则，用于处理误报事件。 Web应用安全防护 隐私屏蔽规则 隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。 高级设置 PCI DSS/PCI 3DS合规认证和TLS TLS支持TLS v1.0、TLS v1.1和TLS v1.2三个版本和七种加密套件，可以满足各种行业客户的安全需求。 WAF支持PCI DSS和PCI 3DS合规认证功能。 高级设置 连接保护 当502/504请求数量或读等待URL请求数量以及占比阈值达到您设置的值时，将触发WAF熔断功能开关，实现宕机保护和读等待URL请求保护。 高级设置 手动设置网站连接超时时间 浏览器到WAF引擎的连接超时时长默认是120秒，该值取决于浏览器的配置，该值在WAF界面不可以手动设置。 WAF到客户源站的连接超时时长默认为30秒，该值可以在WAF界面手动设置。 高级设置 配置攻击惩罚的流量标识 WAF根据配置的流量标识识别客户端IP、Session或User标记，以分别实现IP、Cookie或Params恶意请求的攻击惩罚功能。 高阶功能 内容安全检测服务 基于丰富的违规样例库和内容审核专家经验，通过机器审核加人工审核结合的方式，帮助您准确检测出Web网站和新媒体平台上的关于涉黄、涉赌、涉毒、暴恐、违禁等敏感违规内容，并提供文本内容纠错审校，助您降低内容违规风险。 防护事件管理 当Web应用防火墙拦截或者仅记录的攻击事件为误报时，用户可通过Web应用防火墙处理误报事件、查看事件详情。 用户可以通过Web应用防火墙服务下载5天内的全量防护事件数据 告警通知 用户可以通过Web应用防火墙服务对攻击日志进行通知设置。开启告警通知后，Web应用防火墙将仅记录和拦截的攻击日志通过用户设置的接收通知方式发送给用户。 安全可视化 提供简洁友好的控制界面，实时查看攻击信息和事件日志。 策略事件集中配置：在Web应用防火墙服务的控制台集中配置适用于多个防护域名的策略，快速下发，快速生效。 流量及事件统计信息：实时查看访问次数、安全事件的数量与类型、详细的日志信息 灵活性、可靠性 多区域多集群部署，支持负载均衡，可在线平滑扩容，没有单点故障，最大限度保护业务运行稳定。

本文介绍如何将网站域名接入Web应用防火墙（边缘云版），保障您网站的安全性和可用性。 步骤1：网站业务梳理 在将网站接入Web应用防火墙（边缘云版，简称WAF）前，建议您先梳理网站的业务信息以及历史受攻击的情况，便于使用WAF制定合适的防护策略。 梳理网站的基础信息 梳理网站的基础信息，有利于您在域名接入WAF时，填写正确的域名配置。 网站支持哪些访问协议，如果需要支持HTTPS，那需要提前准备对应的HTTPS证书。 网站有使用了哪些业务端口，判断WAF是否能支持该网站的所有业务端口。 源站的IP有哪些，源站是否有iptables之类的访问限制，如果有需要加白WAF防护集群的回源IP。 梳理网站的业务情况 了解自身网站业务有利于WAF防护策略的配置，也有助于在订购WAF套餐时能选择合适的套餐规格属性。 网站当前的业务流量情况，包括流量峰值的Mbps、QPS情况。 网站访问者的主要来源，访问者的客户端环境有哪些，是否有APP客户端。 网站有多少用户活跃度，主要的用户群体有哪些，有助于分析访问行为特征并制定防护策略。 梳理网站的历史访问与攻击情况 单用户的访问频率一般有多少，有助于后续制定合适的频率控制策略。 是否遭受过大流量网络层攻击，判断是否需要开通DDoS服务以及开通多少防护规格。 是否遭受过大量高频的CC攻击，有助于提前配置对应的CC防护策略。

本节介绍如何为Web应用防火墙v1.0开启/切换IPv6防护。 子网开启IPv6 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“网络 > 虚拟私有云”。 4. 选择对应的虚拟私有云，选择对应子网，点击子网后的“修改”进入修改子网页面，勾选“开启IPv6”，单击“确定”。 Web应用防火墙设备开通 在设备成功开通后，默认一张网卡设定为管理网卡，以供单点登录设备时使用；需新增一张网卡专门用于业务操作。 Web应用防火墙开通 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”。 4. 在资源概览页面右上角，单击“立即购买”。 5. 在购买页面配置基础信息（包括区域 、虚拟私有云 、子网、可用区 和CPU分类 ），套餐选择自定义中的Web应用防火墙、并进行产品规格配置。 6. 选择购买时长后，勾选“我已阅读，理解并接受《云等保专区服务协议》”，点击“立即购买”。完成购买后等待资源开通成功。 新增业务网卡 1. 创建弹性网卡 在天翼云控制中心服务列表页，选择“网络 > 虚拟私有云”；在网络控制台左侧导航栏，选择“弹性网卡”，单击弹性网卡页面右上角的“创建弹性网卡”，配置弹性网卡的区域、名称、VPC、子网、安全组等信息，点击“确定”。 2. 绑定网卡 在云等保专区左侧导航栏，选择“Web应用防火墙”，在开通的设备右侧操作列点击“更多 > 绑定网卡”，选中上一步创建的弹性网卡，点击“确定”。 3. 重启Web应用防火墙系统 在云等保专区左侧导航栏，选择“Web应用防火墙”，在开通的设备右侧操作列点击“更多 > 重启”。 登录Web应用防火墙界面 在云等保专区左侧导航栏，选择“Web应用防火墙”，在目标资源右侧操作列单击“配置”，进入Web应用防火墙界面。 开启IPv6防护 开通Web应用防火墙v1.0后，还需要配置网络才能开启IPv6防护，请提交工单联系技术支持进行配置。

本节介绍如何为Web应用防火墙绑定弹性IP。 将用户业务弹性公网IP绑定在Web应用防火墙业务网卡上，从而将用户业务流量接入Web应用防火墙。 操作步骤 1. 登录云等保专区控制台。 2. 在左侧导航栏，选择“Web应用防火墙”，进入云等保专区的Web应用防火墙资源页面。 3. 在目标资源的操作列，单击“绑定弹性IP”，为资源绑定弹性IP。 4. 在弹出的“绑定弹性IP”窗口中，通过“弹性网卡”下拉框中选择一个网卡，在下方列表中选择一个弹性公网IP地址。 若没有可绑定的弹性IP，单击“配置弹性IP”，进入创建弹性IP页面，创建一个新的弹性IP地址。 5. 选择完成后，单击“确定”，完成绑定。

本节介绍如何配置重保防护的黑白名单规则。 重保防护支持配置全局IP黑白名单，对经过云WAF防护域名的访问源IP进行黑白名单设置，来自黑白名单中的IP地址/IP地址段的访问，WAF将不会做任何检测，直接拦截/放行。 支持添加IPv4、IPv6地址，支持添加IP地址段。 重保防护提供的全局IP黑白名单，检测逻辑优先级高于IP黑白名单检测；内部检测逻辑，白名单高于黑名单。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 重保防护场景”，进入重保防护配置页面。 5. 单击“新建黑白名单”，弹出新建黑白名单规则窗口，配置黑白名单规则参数，参数说明如下。 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 类别 定义该规则类型是“黑名单”或“白名单”。 IP地址 添加IP地址/地址段，支持IPv4和IPv6格式的IP地址/地址段。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。 过期时间可选： 永久生效 限定日期：自定义设置失效日期 规则描述 可选参数，设置该规则的备注信息。 生效范围 支持选择“全部防护对象”或“特定防护对象”。 全部防护对象：配置的黑白名单规则对所有已接入的域名生效。 特定防护对象：配置的黑白名单规则仅对所选域名生效，可以选择多个域名。 说明 不支持独享版防护对象和监听器防护对象。 6. 配置完成后，单击“确定”。可以在列表中查看已新建的黑白名单规则。

云服务名称 区域 支持IAM 支持企业项目 支持IAM 支持企业项目 系统策略 服务器安全卫士（原生版） 全局 是 是 是 否 有 Web应用防火墙 全局 是 是 是 否 有 云审计 全局 是 不涉及 是 否 有 云防火墙（原生版） 全局 是 是 是 否 有 云安全中心 全局 否 否 否 否 无 云等保专区 全局 是 是 否 否 有 密钥管理 全局 是 是 是 是 有 云堡垒机（原生版） 资源池 是 是 否 否 有 云密评专区 全局 是 是 是 是 有 数据库审计 全局 是 是 是 否 有 日志审计（原生版） 全局 是 是 否 否 有 证书管理服务 全局 是 是 是 是 有 数据安全专区 全局 是 是 否 否 有