本小节介绍Web应用防火墙自定义防护规则最佳实践。 网站接入云WAF防护后，您可以为其开启自定义防护策略功能，据HTTP请求头与请求内容匹配字段设置过滤条件并组合进行访问控制。 通过自定义防护规则，您可以通过对网站专有字段的识别，高精度地鉴别业务流量和攻击流量，进行精准防护。您也可以在发现0day漏洞或发生重点安全事件时依据攻击流量特征进行精准拦截，保护您的网站安全。 前提条件 已添加了防护域名并已完成了域名接入。 WAF防护已开启。 操作步骤 1. 登录Web应用防火墙控制台。 2. 在左侧导航栏，选择“WAF防护配置”。 3. 在WAF防护配置列表的操作列，单击“自定义防护配置”。 4. 在自定义防护配置界面，选择“自定义防护配置”页签。 5. 单击“新增规则”，进入新增自定义防护配置页面。

本文将介绍如何通过IP黑名单功能拦截来自指定IP、指定IP段与指定地域的IP地址请求。 功能介绍 通过访问控制功能，能够帮助您拦截来自指定IP、指定IP段与指定地域的IP地址请求。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通基础版级以上版本支持配置IP、IP段、区域等粒度的访问控制功能（体验版支持配置IP粒度的访问控制） 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】 3. 进入【访问控制】页面 配置说明 配置项 说明 开关 访问控制策略的开关，支持开启或关闭 处理动作 支持配置处理动作为告警、加白、攻击标记、拦截、丢弃 告警：请求命中访问控制策略后，不对其拦截，仅记录攻击日志 加白：请求命中访问控制策略后，将对其进行加白，请求不经过任意Web安全防护策略 攻击标记：加白对应范围，但是如果请求触发规则，会记录在攻击日志 拦截：请求命中访问控制策略后，将对其进行拦截并记录攻击日志 丢弃：拦截后不会响应页面，会减少带宽 规则名称 访问控制策略的规则名称 防护范围 支持配置多个防护粒度，多个防护粒度为且关系，满足所有条件时，才触发处理动作 粒度选择：支持选择IP、IPS、地理位置、URI、PATH等十几种粒度，不同套餐版本支持选择不同的粒度，具体可见 套餐和版本说明 关系：包含/不包含 匹配内容：不同的粒度支持输入不同的匹配内容。一般支持输入多条，多条内容用英文符号;分隔

WAF原生版是否支持HTTPS双向认证？ HTTPS双向认证是相较于HTTPS单向认证而言的，HTTPS单向认证是指客户端在请求服务器数据时，需要验证服务器的身份。而双向认证是在此基础上，服务器端验证客户端的身份，从而实现双向认证。 双向认证主要应用场景是部分重要业务需要验证客户端身份时，需要使用双向验证。而使用WAF防护的业务，一般为对公众提供的Web服务，其原始业务不会有双向验证的要求，故当前WAF原生版不支持HTTPS双向认证。 WAF原生版是否支持WebSocket协议？ WebSocket是HTML5引入的一项技术，用于在Web应用程序中实现实时双向通信。与传统的HTTP请求响应模型不同，WebSocket允许服务器主动向客户端推送数据，而不需要客户端发起请求。WebSocket连接保持打开状态，允许客户端和服务器之间进行双向通信，这为实时应用程序提供了更高效和实时的通信方式。当前WAF支持WebSocket进行用户业务的转发，实现WebSocket通信。 若一个IP同时配置了白名单和黑名单，优先级是什么？ IP白名单的优先级高于黑名单，若同时配置了白名单和黑名单，则优先以白名单为准，详情请参见IP黑白名单。 WAF支持设置单条防护规则的防护状态吗？ 支持。 WAF原生版提供具体防护规则的防护开关。您可以根据业务需要选择开启或关闭规则的防护。 WAF支持针对地理位置配置禁止访问策略吗？ 支持。 地域访问控制支持针对地理位置的黑名单封禁，可指定需要封禁的国家、地区，阻断该区域的来源IP的访问。通过地域访问控制模块，可以满足针对地理位置的黑名单封禁。支持封禁的地域请参见地域访问控制。 注意 WAF云SaaS模式的基础版不支持地域访问控制功能，请升级到更高版本使用。

CSRF防护的方式 1、验证码 CSRF攻击的过程，往往是在用户不知情的情况下构造了网络请求，验证码则强制用户必须与应用进行交互才能完成最终请求。但基于使用体验，网站不会给所有的操作都加上验证码。 2、验证HTTP Referrer字段 根据 HTTP 协议，HTTP 头部中Referrer字段记录了该 HTTP 请求的来源地址。 比如一个论坛发帖的操作，在正常境况下需要先访问有发帖功能的页面，在提交发帖的表单时，Referrer值必然是发帖表单所在的页面。如果Referrer的值不是这个页面，甚至不是发帖网站的域，则极有可能是CSRF攻击。 3、请求中添加token并验证 在请求中放入黑客所不能伪造的信息，并且该信息不存在于Cookie 之中。可以在HTTP 请求中以参数的形式加入一个随机产生的token，并在服务器端建立一个拦截器来验证这个token，如果请求中没有token 或者token 内容不正确，则认为可能是CSRF 攻击而拒绝该请求。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通体验版及以上版本支持使用CSRF防护功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入高级防护页面； 3. 进入“CSRF防护”页面，可以配置CSRF防护策略；

云监控支持灵活的创建告警规则。您既可以根据实际需要对某个监控指标设置自定义告警规则，同时也能够使用告警模板为多个资源或者云服务批量创建告警规则。 说明 目前仅支持监控“一类节点”区域的实例。 操作步骤 1. 登录天翼云控制中心。 2. 在产品服务列表中“管理与部署 > 云监控服务”，进入云监控服务主页面。 3. 在左侧导航栏，选择“云服务监控”，单击“Web应用防火墙（原生版）”产品。 4. 在Web应用防火墙监控列表中选择目标的实例，单击操作列的“创建告警规则”。 5. 在“创建告警规则”页面，根据界面提示配置参数。 配置参数及相关含义说明如下： 模块 参数 参数说明 配置示例 选择监控对象 规则类型 选择规则的类型，主要包括指标监控、事件监控、站点监控、自定义监控、自定义事件五种。 指标监控 选择监控对象 服务 配置告警规则监控的云服务资源类型。 Web应用防火墙（原生版） 选择监控对象 维度 用于指定告警规则对应指标的维度名称。 Web应用防火墙实例 选择监控对象 监控对象类型 具体实例/资源分组/全部资源 具体实例 选择监控对象 监控对象 用来配置该告警规则针对的具体资源，可以是一个或多个。 实例名称 定义告警策略 选择类型 支持自定义创建 、从模板导入。 自定义创建 定义告警策略 策略 支持选择满足全部 或任意策略。 策略信息包括： 监控指标，支持的监控指标请参见[实例支持的监控指标](

本节介绍WAF的使用说明等问题。 接入WAF后为什么漏洞扫描工具扫描出未开通的非标准端口？ 问题现象：域名接入WAF通过第三方漏洞扫描工具扫描后，扫描结果显示了域名的标准端口（例如443）和非标准端口（例如8000、8443等）。 可能原因：由于WAF的非标准端口引擎是所有用户间共享的，即通过第三方漏洞扫描工具可以检测到所有已在WAF中使用的非标准端口。域名的端口检测，应以源站IP开通的端口为准，即引擎的端口检测并不影响源站的使用安全，且WAF保证客户解析CNAME返回的引擎IP的安全性。 处理建议：无需处理。 使用Web应用防火墙对邮件收发和邮件端口有影响吗？ WAF是对Web应用网页进行防护，当您的网站接入WAF后，对邮件收发和邮件端口不会产生影响。 Web应用防火墙如何拦截请求内容？ WAF对请求的首部和body体都会进行检测。例如body的表单、xml、json等数据都会被WAF检测，WAF通过检测对不符合防护规则的请求内容进行拦截。 什么是并发数？ 并发数指系统能够同时处理请求的数目。对于网站而言，并发数即网站并发用户数，指同时提交请求的用户数目。 如果证书挂载在ELB上，WAF可以根据请求内容进行拦截吗？ 如果证书挂载在ELB上，通过WAF的请求都是加密的。对于HTTPS的业务，您必须将证书上传到WAF上，WAF才能根据解密之后的请求判断是否进行拦截。

本小节介绍Web应用防火墙接入前须知。 防护回源IP放行 业务接入WAF防护平台清洗后，所有请求的客户端源地址都会变为WAF回源IP段，客户源站侧的安全设备或安全软件（如：IPS、网络防火墙、流量管理系统、本地 WAF 应用防火墙、网站安全狗与云锁等）可能被认为是攻击行为而被封禁，造成WAF清洗后的请求无法得到源站正常响应，因此客户侧需要将所开通防护中心的回源IP段添加到源站侧的访问控制策略与安全软件白名单中，避免由WAF转发回源站的业务流量被判断为异常攻击造成误封禁，影响网站正常访问。 回源IP段： 内蒙数据中心：36.111.137.0/24 与 203.57.157.0/24 北京数据中心：203.34.106.0/24 上海数据中 心：101.226.7.0/24 广州数据中心：203.32.204.0/24 域名解析 配置成功后，防护配置的状态变为“防护中” ，之后客户可以进行域名解析： 如域名“www.ctyun.com”，需要客户联系DNS服务商将域名解析指向CNAME：www.ctyun.com.iname.damddos.com。 即“源域名+.iname.damddos.com”。 DNS牵引指向CNAME后，Web应用防火墙防护正式完成配置。 设置源站保护 出于安全性考虑，建议您在业务流量成功接入WAF防护后，禁止通过IP直接访问业务，同时设置源站侧的访问控制策略，只允许WAF回源IP段和其他可信任地址之内的IP访问业务，避免攻击者获取您的源站IP后绕过WAF直接攻击源站。

本文介绍在源站IP暴露的情况下，如何设置保护源站。 为什么需要设置回源白名单 通过CNAME接入方式将域名接入Web应用防火墙（边缘云版）（简称WAF）防护后，为了防止攻击者获取您的源站IP并绕过WAF直接攻击源站，您可以设置源站服务器的访问控制策略，只放行WAF回源IP段的入方向流量。 前提条件 已开通Web应用防火墙（边缘云版）。 已经完成域名接入。 如何获取回源白名单 如果您需要回源白名单，请提交工单联系天翼云技术支持，天翼云技术支持将会讲边缘云节点中回源IP/IP段发送到您的邮箱。

本节介绍了专属云（存储独享型）的应用场景。 适用于高性能、高可靠应用场景，例如企业应用、大型开发测试环境、部署分布式文件系统和数据库应用等。专属云（存储独享型）可支持的三种应用场景如下： 有高性能、数据安全和业务稳定需求的场景 可对接专属云中的弹性云主机、物理机等计算服务，适用于有高性能、稳定性以及数据安全和监管的业务诉求的场景。 产品优势： 1、高性能—搭配计算专属云，满足用户高性能需求 2、安全可靠—实现存储物理隔离，保证数据安全和业务稳定 3、高带宽—独享存储带宽，满足高性能场景带宽需求 有混合负载需求的场景 专属云（存储独享型）服务支持多并发、高带宽应用场景，可同时支持数据库、Email、OA办公、Web等多个应用混合部署。 产品优势： 1、高性能—专属存储为用户提供高IOPS，满足混合负载场景的应用需求 2、高带宽—独享存储带宽，满足高带宽需求 3、灵活扩展—支持存储资源灵活扩展，满足业务增长需求 OLAP应用场景 数据分析型应用场景，专属云支持集群应用部署，如RAC、DB2 、SAP HANA等。

本节介绍如何开启IPv6防护。 如果您的网站需要IPv6的防护，可以参考本章节开启IPv6防护，开启后，WAF将为域名分配IPv6的接入地址，WAF默认在CNAME中增加IPv6地址解析，IPv6的所有访问请求将先流转到WAF，WAF检测并过滤恶意攻击流量后，将正常流量返回给源站，从而确保源站安全、稳定、可用。 当防护网站的源站地址配置为IPv6地址时，默认开启IPv6防护。WAF使用IPv6回源地址和源站发起连接。 源站地址只有IPv6时： 当防护网站的源站地址配置为IPv4地址时，手动开启IPv6防护后，WAF将通过NAT64机制（NAT64是一种通过网络地址转换（NAT）形式促成IPv6与IPv4主机间通信的IPv6转换机制）将外部IPv6访问流量转化成对内的IPv4流量。WAF使用IPv4回源地址和源站发起连接。 源站地址只有IPv4时： 前提条件 网站已接入WAF。 开启IPv6防护 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 5. 在“IPv6防护”所在行，单击编辑图标，在弹出的对话框中，选择“开启”并单击“确定”。

本小节介绍Web应用防火墙攻击日志查询。 攻击日志展示被防护域名的所有攻击事件。 客户域名防护日志默认存储周期为180天。 查询攻击日志 1. 登录Web应用防火墙控制中心。 2. 在左侧导航栏选择“WAF攻击日志”，进入“攻击日志”页面。 访问日志分析：可提供详细的访问日志分析，包括用户来源，访问 URL、告警级别、 客户端 IP、访问者地域分布、请求时间、访问量统计等不同内容。 域名：告警域名 请求方法：http get/http post 访问URL 告警级别 客户端IP 地区 请求时间 处理方式 全量日志查询：针对输入的内容进行筛选，包括告警级别、匹配规则、处理方式、请求时间段等内容。 误报处理 查看日志详细信息，可及对日志中的误报进行处理（误报处理效果不理想可联系运维协助调整策略）。

当WAF与访问者之间并无代理设备时，通过源IP来检测攻击行为较为精确，建议直接使用IP限速的方式进行访问频率限制。 攻击案例 竞争对手控制数台主机，持续向网站“www.example.com”发起HTTP Post请求，网站并无较大的负载能力，网站连接数、带宽等资源均被该攻击者大量占用，正常用户无法访问网站，最终竞争力急剧下降。 防护措施 步骤1 根据服务访问请求统计，判断网站是否有大量单IP请求发生，如果有则说明网站很有可能遭受了CC攻击。 步骤2 登录管理控制台，将您的网站成功接入Web应用防火墙。关于域名接入的具体操作请参见网站接入WAF。 步骤3 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面，确认“CC攻击防护”的“状态”为“开启”。 步骤4 开启WAF的“CC攻击防护”后，添加CC防护规则，配置对指定路径下的请求进行基于IP限速的检测，针对业务特性，设置限速频率，并配置人机验证，防止误拦截正常用户，针对网站所有URL进行防护。 限速模式：选择“源限速”、“IP限速”，根据IP区分单个Web访问者。 限速频率：单个Web访问者在限速周期内可以正常访问的次数，如果超过该访问次数，Web应用防火墙服务将暂停该Web访问者的访问。 防护动作：防止误拦截正常用户，选择“人机验证”。 人机验证：表示在指定时间内访问超过次数限制后弹出验证码，进行人机验证，完成验证后，请求将不受访问限制。 阻断：表示在指定时间内访问超过次数限制将直接阻断。 仅记录：表示在指定时间内访问超过次数限制将只记录不阻断。 当用户访问超过限制后需要输入验证码才能继续访问。进入防护事件页面，可以查看攻击事件详情。

本小节介绍Web应用防火墙黑白名单最佳实践。 当您需要拉黑部分恶意攻击者或者用户访问，或者希望指定用户、页面的访问不被拦截，您可以在此做黑白名单配置。 除常见的IP和URL的黑白名单外，您可以通过UserAgent的黑白名单对访问的客户端进行限制，可以实现简单的爬虫过滤；您也可以通过Referer字段对用户访问来源做一定的限制，实现对关键业务页面的定制化防护。 前提条件 已添加了防护域名并已完成了域名接入。 WAF防护已开启。 操作步骤 1. 登录Web应用防火墙控制台。 2. 在左侧导航栏，选择“WAF防护配置”。 3. 在WAF防护配置列表的操作列，单击“自定义防护配置”。 4. 在自定义防护配置界面，选择“黑白名单”页签。 黑白名单支持IP、Referer、URL、UserAgent四种类型。 您可以添加IP（如127.0.0.1）、IP段（如127.0.0.0/24）、uri路径（如/index?abc页面，仅需添加/index字符段）和其他规则匹配下的字符文本。

本小节介绍Web应用防火墙功能特性。 网络层防护 HTTP/HTTPS Flood（CC 攻击）防护 应用层防护 黑白名单 对指定访问源加白名单，对恶意访问来源进行封禁。 支持 IP、URL、UserAgent（用户代理）、Referer（Http 访问来源）。 HTTP协议规范攻击防护 包括特殊字符过滤、请求方式、内容传输方式。 例如：multipart/formdata，text/xml，application/xwwwformurlencoded。 注入攻击（form和URL参数，post和get）防护 包括SQL注入防御、LDAP注入防御、命令注入防护（OS命令，Webshell等）、XPath注入、Xml/Json注入。 XSS攻击访问 Form和URL参数，post和get，包括三类攻击：存储式，反射式、基于Dom的XSS。 目录遍历（Path Traversal）攻击防护 认证管理和会话劫持攻击防护 阻断认证管理、cookie信息被盗用、会话劫持攻击。 内容过滤 过滤post form和get参数。 Web服务器漏洞探测攻击防护 阻断Web服务器漏洞探测。 爬虫防护 限制阻断爬虫访问。 站点转换（URL rewrite）访问防护 限制阻断站点转换访问。 网页检测到异常自动阻断源地址 认证管理和会话劫持 防护 CSRF

如果您需要防护的域名数超过了套餐默认支持数量，可通过购买域名扩展包进行补充。1个域名扩展包1个主域名及该主域名下的9个子域名防护 glmoscodeexplain glmoscodeexplain 怎么判断需要订购的域名扩展包个数？ 例如：套餐版本默认支持1主域名和该主域名下的9个子域名数量（支持泛域名）。您可以接入1个主域名（ctyun.cn）以及该主域名下的9个子域名（www.ctyun.cn、.ctyun.cn、.ctyun.cn、www.等）。如果您还需要接入新的主域名，这时您需要购买1个域名扩展包来补充。 怎么查看您当前的域名数量？ 您可以登陆天翼云官网，在首页右上角点击【控制中心】在控制中心页面点击安全点击【Web应用防火墙（边缘云版）】跳转至Web应用防火墙（边缘云版）用户控制台； 在用户控制台页面点击【计费详情】查看您当前可使用的总主域名数量套餐主域名数量+域名扩展的主域名数量。 如何购买域名扩展包？ 当前仅支持通过单击变更访问链接，进入变更访问链接后，单击【实例】，可按需在【全部产品】下拉框中过滤出【Web应用防火墙(边缘云版)】。 注意 暂时不支持单独退订域名扩展包，如果需要单独退订，请

本文将从CC攻击的含义以及Web应用防火墙（边缘云版）提供的防护能力来介绍CC安全防护功能。 功能介绍 CC防护根据访问者的URL，频率、行为等访问特征，智能识别CC攻击，迅速识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 什么是CC攻击？ CC攻击是一种恶意网络攻击，旨在通过向目标服务器发送大量的请求，超过其处理能力，从而使其无法正常工作或服务受到严重影响。 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通套餐为标准版及以上版本，支持使用CC防护功能。 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台。 2. 在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入安全配置页面。 3. 进入“CC配置”页面，可以配置CC防护策略。 配置说明 配置项 说明 CC防护 CC防护的功能开关 CC防护模式 1、【CC防护模式】设置为阈值，则域名访问达到防护条件时进行防护 2、【CC防护模式】设置为长久，则域名的每次访问都进行防护校验 阈值 即厨房防护动作的阈值，当统计频率内达到设定的阈值，将触发防护 统计频率 即设定时长内达到防护阈值，将触发防护。满足防护时长后，将重新开始计算统计频率 防护时长 即触发防护后的持续防护时间 在【统计周期】内达到【阈值】则接下来【防护时长】内符合条件的请求均进行防护校验。

本文介绍Web应用防火墙（边缘云版）的接入防护前提条件以及防护能力概览。 接入防护前提条件 您需要先在控制台新增域名并接入边缘云WAF，具体操作可见WAF接入 防护能力概览 下表将为您描述目前边缘云WAF具备的防护能力以及应用场景 模块 防护能力 说明 应用场景 Web安全 []( 支持配置Web安全的防护开关，可调整防护处理动作以及防护规则集、无需检测的静态文件后缀 为Web安全的基础配置，您需要使用任何防护能力都需要先进行基础配置 Web安全 规则防护 目前已维护6套防护规则集，基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护，能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 Web安全 网页防篡改 位于高级防护模块下，能够保护网站核心静态页面，避免因为源站页面被恶意篡改带来的负面影响 希望网站防止被恶意篡改页面内容时配置 Web安全 防护敏感信息泄露 位于高级防护模块下，支持对网站返回的内容进行脱敏展示，过滤内容包括敏感信息（如身份证、手机号、银行卡、邮箱等） 希望网站避免泄露身份证、手机号等敏感信息时配置 Web安全 []( 支持检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合的请求项进行拦截或告警 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 Web安全 cookie防护 位于高级防护模块下，采用cookie加密、cookie签名等方式对cookie字段的字进行加密或签名，防护一些使用cookie中的弱key进行权限绕过的漏洞利用，也能在一定程度上限制基于cookie修改的爬虫 可以防护cookie盗用、cookie篡改、cookie信息泄露等攻击事件。需要客户端支持携带cookie，通常小程序、APP、API可能不支持 Web安全 攻击挑战 位于高级防护模块下，支持自动阻断短时间内发起多次Web攻击的IP，快速应对恶意扫描及代理、Web 攻击威胁等行为，可提升攻防对抗效率 攻防演练、恶意扫描及代理、Web攻击行为等 Web安全 CSRF防护 位于高级防护模块下，支持防护跨站请求伪造（英语：Crosssite request forgery，简称CSRF）攻击 针对发起CSRF攻击进行防护 Web安全 广告防护 位于高级防护模块下，支持解析源站响应页面代码，在body中插入广告检测js代码，实现广告防护和监测功能 针对网站出现的恶意广告（网站中出现未将网站所有者允许的广告内容）进行防护 Web安全 设置账户安全防护 从撞库、暴力破解两个攻击角度进行防护，保障用户的账户安全 针对账户安全的场景进行防护 Bot管理 Bot防护策略 通过cookie挑战、跳转挑战、人机挑战、爬虫阈值限制、爬虫陷阱等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫 针对支持携带cookie的客户端请求，小程序、APP、API可能不支持 对于无法正常执行跳转的请求，可以设置跳转挑战 Bot管理 爬虫情报规则 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁，目前爬虫情报库已维护接近10万条数据 对已知搜索引擎IP放行处理，不经过Bot防护策略，提升网站SEO权重； 对已知恶意Bot请求IP拦截处理 Bot管理 IP情报规则 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据 对已知IDC IP进行封禁处理；拦截傀儡机、漏洞利用等已知恶意IP 访问控制/限流 []( 支持根据请求的URL，频率、行为等访问特征，迅速识别CC攻击并进行拦截 防护大规模CC攻击，避免源站资源耗尽，保证企业网站的正常访问 访问控制/限流 IP黑名单 支持针对指定IP以及指定地域IP进行封禁处理 封禁来自国外访问的IP 访问控制/限流 扫描防护 支持识别常见的扫描器类型，也支持自定义扫描器识别规则，做到精准拦截 拦截常见的扫描器类型，避免网站受到外部扫描 防护白名单 网站白名单 支持在访问控制中，针对特定请求设置为白名单，则不经过全局防护策略的检测 对于可信任流量可以设置为白名单，将不经过任务防护策略 防护白名单 Web规则白名单 支持针对防护规则集中的具体规则设置白名单，则指定请求不经过该规则的检测 某条域名规则出现误拦截时，可以将误拦截的请求设置为白名单 防护白名单 []( 支持针对Bot防护策略设置白名单，则指定请求将不经过Bot防护策略的检测 明确不需要经过Bot防护策略的请求，可以在Bot功能模块中设置为白名单 开启IPv6防护 开启IPv6防护 提供IPv4/IPv6双栈服务，能够解决网站“天窗”问题，并可以有效提升网站IPv6链接支持率 政策驱动，各地市对于当地企业网站的IPv6浓度有一定指标

本文介绍了云防火墙（原生版）的系统类常见问题。 云防火墙（原生版）在天翼云网络中的位置是什么？ 如下图所示，云防火墙一般和DDoS防护系统、Web应用防火墙、数据中心网络、日志服务、SOC等一起组合使用，但也可以独立部署。DDoS防护系统、Web应用防火墙和云防火墙组成从外到内的三道屏障，云防火墙重点防护用户VPC的网络边界。云防火墙产生的日志通过日志服务来收集和对外展示，通过SOC整合汇聚（包括云防火墙在内的）各安全设备的日志和安全告警等，并结合外部威胁情报，可以提高安全数据利用率并挖掘潜在威胁，对抗愈发复杂的攻击手段与高级可持续威胁。 云防火墙（原生版）是否可以防护非天翼云上的资产？ 防火墙仅能防护天翼云账号下的 IP 资产，不支持非天翼云的资产。 云防火墙（原生版）支持防护哪些资产类型？ 目前只支持VPC内云主机资产所绑定公网IP的防护。 云防火墙互联网边界带宽会限制流量吗？ 云防火墙不会限制流量。 业务带宽超峰值带宽限制，会对我有业务影响么？ 如果公网流量大于购买的云防火墙边界带宽，则云防火墙不承诺对超出带宽的流量进行防护。对超出部分的流量，我们会做放行处理。

如何强制客户端使用HTTPS请求访问网站？ 当您想要提高网站访问的安全性，可以开启HTTPS强制跳转功能，此时所有客户端的HTTP请求都将强制转换为HTTPS请求，并默认跳转至443端口，详情请参见将网站接入WAF防护（域名接入）、将网站接入WAF防护（ 独享型接入）。 WAF原生版是否支持HTTP 3.0协议？ WAF原生版暂不支持HTTP 3.0协议，目前仅支持HTTP 1.0/2.0协议。 网站接入WAF防护时，源站IP可以填写云主机的内网IP吗？ 域名接入 源站IP不可以填写云主机的内网IP。 域名接入采用CNAME的方式将原本去向网站的请求转向的WAF，从而实现对网站访问的安全防护，这些用户请求将在WAF进行安全检测和过滤后，发送回源站。当前WAF提供的CNAME为公网解析的CNAME，只能解析到公网IP地址，无法解析到内网IP，所以源站IP地址不能填写云主机的内网IP。 注意 在网站接入WAF后，您应确保源站服务器已将WAF的全部回源IP放行（即加入白名单），否则可能会出现网站无法打开或打开极其缓慢等情况。 独享型接入 独享型实例与业务主机部署在同一VPC，源站IP可以填写云主机的内网IP。

此小节介绍如何修改服务器配置信息，当您需要修改防护网站的服务器信息或者需要添加服务器信息时，可参考本章节进行操作。 本章节可对以下场景提供指导： 修改服务器信息，即修改对外协议、源站协议、VPC、源站地址、源站端口。 添加服务器配置。 更新证书，关于证书更新的详细内容可参见：更新证书。 前提条件 已添加防护网站。 系统影响 修改服务器配置信息对业务无影响。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤5 在目标网站所在行的“域名”列中，单击目标网站，进入网站基本信息页面。 步骤6 在“服务器信息”栏中，单击编辑按钮，如图所示。 步骤7 在“修改服务器信息”页面，根据需要修改服务器的各项配置以及已绑定的证书。 关于证书更新的详细内容可参见：更新证书。 WAF支持配置多个后端服务器，如果需要增加后端服务器，可单击“添加”，增加服务器。 步骤8 单击“确定”，完成服务器信息修改。

本文介绍WAF针对DeepSeek安全防护场景提供的Web防护方案。 背景介绍 随着人工智能技术的快速发展，很多企业选择在GPU云主机或GPU裸金属上搭建DeepSeek私有化服务，在这个过程中，用户不仅享受到了强大的AI算力资源，同时也面临着复杂的网络威胁，如DDoS攻击、SQL注入、跨站脚本（XSS）等。 为了保障AI算力资源、训练数据及服务API链路的安全性，部署Web应用防火墙成了必不可少的安全举措。Web应用防火墙支持多种定制化的安全防护策略，帮助企业有效应对各种网络威胁，确保DeepSeek服务的稳定运行，保障DeepSeeK安全性。 DeepSeek安全防护场景示意图 在DeepSeek Web安全防护场景中，用户的DeepSeeK服务部署在GPU云主机或GPU裸金属上，WAF作为前端的安全网关，负责过滤所有进入的流量。通过WAF的定制化规则和先进的内容检测引擎，恶意流量被有效拦截，确保AI算力资源和训练数据的安全。 安全风险及应对方案 风险名称 风险描述 WAF应对方案 相关文档 Web UI漏洞 Open WebUI 0.1.105版本存在文件上传漏洞，ComfyUI多个插件存在安全漏洞。部署大模型过程中，通常会使用大模型自带的WebUI组件，开源的Web UI组件以及老旧的版本，为大模型的部署和应用带来了巨大的入侵风险。 开启WAF的Web攻击防护功能，为Web UI提供必要的安全防护能力。 Web基础防护 企业敏感信息泄露 企业利用私有数据进行数据训练时，私有数据可能包含商业敏感信息，存在数据泄露风险。 根据企业机密信息内容，通过WAF精准访问控制功能，对敏感信息进行检测拦截，保障企业数据安全。 精准访问控制 大模型输入输出内容违规 私有化大模型输入输出内容可能涉及政治、赌博、色情、违法犯罪等违规内容，影响企业声誉。 通过WAF敏感信息防泄漏功能，自动屏蔽违规内容，保障企业声誉安全。 防敏感信息泄露 应用层CC攻击及API互联网暴露风险 由于多用户同时使用或单用户对大模型API接口的频繁调度导致大模型token被大量占用，服务器繁忙无法为用户提供正常服务；大模型API接口的暴露，会为用户的API接口带来安全风险。 采用WAF的CC防护限速功能，保证大模型连续可用性；建设API安全监测与分析能力，降低因API漏洞造成的安全风险。 CC防护 API安全

本文介绍网页防篡改功能。 功能介绍 网页防篡改功能用于保护网站核心静态页面，通过对比源站响应与媒体存储中心缓存的响应，保护网站因为源站页面被恶意篡改带来的负面影响，同时您可以根据需要配置防篡改规则。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通套餐为基础版及以上版本，支持使用网页防篡改功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入高级防护页面； 3. 进入“网页防篡改”页面，可以配置网页防篡改策略； 配置说明 配置项 说明 防护状态 可以选择开启或者关闭策略 规则名称 支持设置规则名称 URI 填写需要防篡改防护的完整URL地址，例如 处理动作 支持拦截/告警/返回WAF缓存页面 拦截：对命中防篡改策略的请求进行拦截 告警：对命中防篡改策略的请求生成攻击日志，并返回被篡改后的页面 返回WAF缓存页面：命中防篡改策略后会返回边缘云WAF缓存的页面，即用户侧展示为被篡改前的页面，并且攻击日志将记录此次命中信息 域名是否有CDN加速 您的域名如果有CDN加速，则需要填写请求协议、源站IP、回源端口、回源HOST 注意 填写的URL必须是静态文件，ContentType: text/html、ContentType: text/html; charsetxxx格式。 自动获取的静态资源，目前只有js, css, jpg, jpeg, png, gif, bmp, svg后缀文件。

Web安全 相关Web应用层面的安全问题与事件,包括各种Web组件、协议、应用等。 正则防护 经验规则集，自动为网站防御SQL注入、XSS跨站、Webshell上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的Web攻击。 网站白名单 通过设置网站白名单，可以让满足条件的请求不经过任何Web应用防火墙防护模块的检测，直接访问源站服务器。 IP黑名单 支持一键阻断来自指定IP地址、IP地址段以及指定地理区域的IP地址的访问请求。 0day漏洞 0day是指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。 CC安全防护 根据访问者的URL，频率、行为等访问特征，智能识别CC攻击，迅速识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 防敏感信息泄露 帮助网站过滤服务器返回内容（异常页面或关键字）中的敏感信息（例如身份证号、银行卡号、电话号码和敏感词汇），脱敏展示敏感信息或返回默认异常响应页面。 网络爬虫 又称为网页蜘蛛，网络机器人，是一种按照一定的规则，自动地抓取万维网信息的程序或者脚本。 挖矿 借助大量计算能力来计算产生虚拟货币。

尊敬的天翼云用户： 您好！ 天翼云于2025年1月4日更新《天翼云Web应用防火墙（边缘云版）服务等级协议》，新版协议将于2026年1月19日正式生效。请您尽快阅读更新后的协议内容：《天翼云Web应用防火墙（边缘云版）服务等级协议》，此次更新内容主要包括：第二条服务承诺2.2.3，您可以点击协议链接访问最新协议。 您在本次更新生效后继续使用服务将被视为您接受修改后的条款。如您不同意遵守新服务等级协议，您可在2026年1月19日前退订并停止使用天翼云产品及服务。 感谢您对天翼云一直以来的支持，如有任何问题可随时通过服务热线（4008109889）与我们联系，给您带来不便，敬请谅解。 天翼云服务团队

本文介绍了Web应用防火墙（边缘云版）控制台如何启用域名。 使用场景 如果您需要启用针对某个域名的防护，您可以在控制台进行启用操作。域名启用后，请求流量将会解析到边缘节点进行攻击防御，并进行相关费用统计。 前提条件 域名状态为“已停止”。 使用说明 1.登录Web应用防火墙（边缘云版）控制台。 2.进入管理域名接入域名管理页面。 3.选择需要启用的域名，在操作栏点击【启用】按钮后，会进行弹窗提示，再次确认后，域名会进入启用流程，域名状态变成“配置中”。 4.进入后台自动化配置流程（正常情况15分钟以内），流程结束后会自动变成“已启用”状态。若“配置中”状态持续时间过长，可创建工单获取支持。

购买Web应用防火墙实例成功后，需要进行实例配置，添加防护域名实例，本小节介绍域名实例管理。 防护配置管理为用户提供域名防护的配置操作功能，包括添加防护域名实例，以及防护配置管理等操作。 添加防护域名实例 1. 登录Web应用防火墙控制台。 2. 在左侧导航栏，选择“WAF防护配置”，进入防护配置页面。 3. 在Web应用防火墙配置菜单下，点击“新增”，弹出新增WAF防护配置对话框。 4. 配置防护参数。 参数名称 参数说明 实例ID 选择实例 ID；实例即为默认开通资源，直接进行勾选即可。 数据中心 选择数据中心；目前默认数据中心为内蒙，上海，广州，其中主选一个，备选一个，建议用户选择靠近自身资源部署地区的节点。 防护域名 输入防护域名。 输入格式示例： 防护网站域名：如ctyun.cn。 防护网站域名：如www.ctyun.cn。 IP代理 选择IP代理。 IP代理分为NAT44，NAT66，NAT64。 如果网站仅支持IPv4访问：则单选NAT44，并且填写域名对应的公网IPv4地址至源站IP一栏。 如果网站同时支持IPv4以及IPv6访问：则需要同时勾选NAT44与NAT66。 在网站不支持IPv6的场景下，WAF可以协助网站支持IPv6访问，WAF接收到IPv6请求后将流量转换成IPv4的形式发送给客户源站，需要同时勾选NAT44与NAT64，源站IP侧应填写IPv4地址。 源站IP 填写网站的公网IP地址。 协议类型 支持HTTP和HTTPS协议。选择HTTPS协议，还需要上传证书。 协议端口 根据选择的协议，添加对应的端口。 HTTP和HTTPS合在一起最多填入10个端口，多个端口之间用英文逗号（;）分隔。 防护等级 支持高、中、低级别。 Https证书 协议类型选择“https”时，需要上传证书。 上传证书步骤如下： 点击“Https证书”右侧的“新增证书”，在弹出的“新增证书”对话框中配置如下参数，然后点击“确定”，完成证书上传。 证书名称：证书名称可自定义添加。 证书公钥：一般情况下HTTPS证书需要从网站本身服务器上进行导出或联系域名服务商获取，公钥一般以pem或crt结尾，用文本形式打开后全量粘贴即可。 证书私钥：私钥一般以key结尾，用文本形式打开后粘贴即可。 开启防护 默认开启防护，如果开启防护按钮为“关闭”，该防护配置不会生效，业务不会下发至Web应用防火墙设备进行防护。 5. 点击“确定”，正式下发防护配置。 6. 添加完成后，显示应为下图。

本文为您介绍Web应用防火墙相关名词的主要含义。 CC攻击 CC攻击是针对Web服务器或应用程序的攻击，利用获取信息的标准的GET/POST请求，如请求涉及数据库操作的URI（Universal Resource Identifier）或其他消耗系统资源的URI，造成服务器资源耗尽，无法响应正常请求。 跨站请求伪造 跨站请求伪造攻击是一种常见的WEB攻击手法。攻击者通过伪造非受害者意愿的请求数据，诱导受害者访问，如果受害者浏览器保持目标站点的认证会话，则受害者在访问攻击者构造的页面或URL的同时，携带自己的认证身份向目标站点发起了攻击者伪造的请求。 扫描器 扫描器是一类自动检测本地或远程主机安全弱点的程序，它能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。 网页防篡改 网页防篡改为用户的文件提供保护功能，避免指定目录中的网页、电子文档、图片、数据库等类型的文件被黑客、病毒等非法篡改和破坏。 跨站脚本攻击 一种网站应用程序的安全漏洞攻击，攻击者将恶意代码注入到网页上，用户在浏览网页时恶意代码会被执行，从而达到恶意盗取用户信息的目的。 SQL注入 SQL注入攻击是一种常见的Web攻击方法，攻击者通过把SQL命令注入到Web后台数据库的查询字符串中，最终达到欺骗服务器执行恶意SQL命令的目的。例如可以从数据库获取敏感信息，或者利用数据库的特性执行添加用户、导出文件等一系列恶意操作，甚至有可能获取数据库乃至系统用户最高权限。

本文将向您介绍如何配置网站白名单，让完全信任的请求不经过边缘云WAF配置的防护策略。 功能介绍 若存在您完全信任的请求，支持在边缘云WAF控制台配置网站白名单策略，符合条件的请求将不经过边缘云WAF任意的防护策略。 背景信息 您的域名接入边缘云WAF后，配置防护策略将默认作用于所有符合策略的请求，若您希望某类请求不经过某个防护策略，可以分别配置对应的白名单功能。 若您希望请求针对任意防护策略加白，可以配置网站白名单，配置详情可见下文； 若防护规则集中的某条规则出现误报情况，可以配置规则白名单，配置详情可见设置Web规则白名单； 若您希望请求针对Bot防护策略加白，可以配置Bot策略白名单，配置详情可见Bot策略白名单 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通基础版级以上版本，支持配置访问控制功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】； 2. 进入“访问控制”页面，单击【新增】按钮，新增网站白名单策略。

分类 云产品 支持审计的关键操作列表 安全及管理 Web应用防火墙（原生版） 安全及管理 密钥管理 安全及管理 数据库审计 安全及管理 云堡垒机（原生版） 安全及管理 云审计 安全及管理 云安全中心 安全及管理 云等保专区 安全及管理 服务器安全卫士（原生版） 安全及管理 云防火墙（原生版）

应用场景 客户端IP指的是访问者（用户设备）的IP地址。在Web应用开发中，通常需要获取客户端真实的IP地址。例如，投票系统为了防止刷票，需要通过获取客户端真实IP地址，限制每个客户端IP地址只能投票一次。 当您的网站已接入Web应用防火墙（Web Application Firewall，简称WAF）进行安全防护后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。此时，您可直接通过WAF获取客户端的真实IP，也可以通过配置网站服务器获取客户端的真实IP。 本章节介绍了通过WAF直接获取真实IP的方法，以及不同类型的Web应用服务器（包括Tomcat、Apache、Nginx、IIS 6和IIS 7）如何进行相关设置，以获取客户端的真实IP。 方案架构 通常情况下，网站访问并不是简单地从用户的浏览器直达服务器，中间可能部署有CDN、WAF、高防等代理服务器（架构为“用户> CDN/WAF/高防等代理服务 > 源站服务器”）。 说明 当网站没有接入到WAF前，DNS直接解析到源站的IP，用户直接访问服务器。 当网站接入WAF后，需要把DNS解析到WAF的CNAME，这样流量才会先经过WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。 在这种情况下，访问请求到达源站服务器之前可能经过了多层安全代理转发或加速代理转发，服务器如何获取发起请求的真实客户端IP呢？ 一个透明的代理服务器在把用户的HTTP请求转到下一环节的服务器时，会在HTTP的头部中加入一条“XForwardedFor”记录，用来记录用户的真实IP，其形式为“XForwardedFor：客户端的真实IP，代理服务器1IP， 代理服务器2IP，代理服务器3IP，……”。 因此，您可以通过获取“XForwardedFor”对应的第一个IP来得到客户端的真实IP。

本章节为您介绍堡垒机应用资产相关内容 在一台支持远程桌面的Windows系统服务器上部署浏览器应用（Web应用），通过云堡垒机的应用发布功能，将浏览器应用纳入云堡垒机进行管理。 用户获取应用资产访问权限后，通过应用发布服务器访问Web应用，并以视频方式全程记录用户运维操作，实现对远程应用账户的安全管理和用户远程访问应用的操作审计。 约束限制 添加的主机和应用资源数量总和不能超过资产数。 Windows应用服务器仅支持2016版本。 添加应用发布前，需已添加应用服务器。 添加应用服务器 1.使用“管理角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“资产管理 > 应用资产”，并且在左上方选择“应用服务器”，进入“应用服务器”页面。 3.单击“新增”按钮，弹出“新增应用服务器”对话框，并填写相关内容。 参数 填写说明 服务器名称 自定义服务器名称，在同一堡垒机内应用服务器名称不得重复。 服务器类型 选择服务器类型，当前版本仅支持Windows。 服务器IP地址 填写访问应用的服务器真实IP地址或域名。 端口 填写访问应用发布服务器的端口，Windows服务器默认为5901。 服务器描述 填写应用服务器的简要描述。 服务器账户 填写访问应用的服务器账户。 密码 填写访问应用的服务器账户的密码。 app类型和路径 填写限制应用资源访问应用服务器上的具体应用的程序路径。 每种程序类型有一个默认启动路径，也可自定义启动路径。 例如：限制只能访问应用设备的Chrome浏览器，默认启动路径为“C:DevOpsToolsChromechrome.exe”。 注意 路径中请勿输入Administrator，否则程序可能无法启动。 4.填写完成后，单击“提交”即可完成新增应用服务器。

此小节介绍Web应用防火墙的用户权限。 系统默认提供两种权限策略：系统策略和自定义策略。系统策略是IAM预置的策略，用户只能使用不能修改。若系统策略不满足授权要求，用户可以创建自定义策略，自由搭配需要授予的权限集。 用户组配置权限策略后，将用户加入用户组中，可以使该用户获得权限策略中定义的操作权限。