Web应用防火墙（边缘云版）_Web应用防火墙（边缘云版）文档介绍内容-天翼云

操作类
本文介绍了云防火墙(原生版)的操作类常见问题。未配置任何访问控制规则时,云防火墙默认规则是放行还是拦截? 云防火墙(原生版)默认阻断防护IP的所有流量,您需要将放行的流量进行访问控制规则配置,从而进行放通。未防护IP不受影响。入侵防御拦截模式什么时候开? 一般从观察告警模式切换到阻断拦截模式,业务没有变化,观察1-2天即可持续开启。入侵防御拦截模式开启后,是否会影响到云内网地址间的通信? 不会。拦截模式开启后,只会影响云上业务的互联网流量,不会影响到云内网地址间的通信。

来自：
帮助文档
云防火墙（原生版）
常见问题
C100常见问题
操作类
开启云间高速防护
本节介绍如何开启云间高速防护。前提条件当前账号下已创建云间高速实例,详细操作请参见创建并配置云间高速实例。仅“企业版”支持开启云间高速防护。一个云间高速防护将消耗1个“VPC边界防火墙配额”,在开启防护前,需确保有足够的VPC边界防护配额。开启云间高速防护登录云防火墙(原生版)控制台。在左侧导航栏,选择“防火墙开关 > VPC边界防火墙开关”。在“云间高速”页签,找到需要开启防护的VPC,单击操作列的“开启防护”。

来自：
帮助文档
云防火墙（原生版）
用户指南（C100）
防火墙开关
VPC边界防火墙
开启云间高速防护
计费类
本小节为云防火墙计费类常见问题。云防火墙如何收费和计费? 云防火墙标准版支持包年/包月(预付费)计费方式。标准版支持扩容防护公网IP数和互联网边界流量峰值。专业版支持扩容防护公网IP数、互联网边界流量峰值和防护VPC数。有关CFW详细的计费说明,请参见计费说明。有关CFW各版本差异,请参见服务版本差异。云防火墙如何变更版本规格? 云防火墙,支持标准版升级到专业版,不支持专业版变更到标准版。如需降低版本规格,需退订当前版本后再进行购买。

来自：
帮助文档
云防火墙
常见问题
计费类
SWG网关日志
SWG高阶网关是零信任内网访问与WEB应用防火墙、全站加速能力结合。使用零信任服务SWG高阶网关功能后,对应日志模块的订购限制将根据SWG高阶网关能力开通情况进行限制。具体SWG高阶网关提供的日志功能请查看对应页面详情。功能说明日志菜单日志说明安全攻击日志当SWG高阶网关检测存在安全威胁时将实时进行告警,您可通过对应防护日志进行查询处置情况。域名安全防护分析介绍安全报表模块,支持查看六个月内、最长时间跨度为一个月的已防护域名的安全报表。

来自：
帮助文档
边缘安全加速平台
公共服务
零信任网络日志
SWG网关日志
开启IPv6防护
单击页面左上角的“服务列表”,选择“安全 Web应用防火墙(独享版)”。在左侧导航树中,选择“网站设置”,进入“网站设置”页面。在“IPv6防护”所在行,单击编辑图标,在弹出的对话框中,选择“开启”并单击“确定”。

来自：
帮助文档
Web应用防火墙（独享版）
网站设置
高级设置
开启IPv6防护
威胁建模
用户初次订购时会复制所有的威胁建模模板,并开启对应的威胁建模规则(如:租户订购了Web应用防火墙原生版,集成配置开启开关,则会开启对应的威胁建模规则)。新建规则登录云安全中心控制台。在左侧导航栏选择“威胁运营 > 威胁检测 > 威胁建模”。单击“新建”。基本信息填写,带有*的为必填项。选择规则类型和规则模板后,还需要配置原始告警源、时间窗口、告警配置等。其中时间窗口需要在2小时以内。配置完成后,单击“保存”。列表中可以看到新建的规则。

来自：
帮助文档
云安全中心
用户指南
威胁运营
威胁检测
威胁建模
购买企业版
托管检测与响应服务(原生版)企业版购买须知、服务内容及操作步骤说明。购买须知企业版提供安全托管服务,当前针对开通云等保专区、安全专区及托管服务组件的用户提供,请您提前配置相关安全产品。购买服务后,我们的安全服务工程师将会联系您,并在整个服务周期内与您保持沟通。一个账号仅支持购买一个企业版实例。服务内容持续监控安全产品(WAF、云防火墙、主机安全)事件。提供漏洞感知,监控云主机、应用、服务脆弱性。提供威胁情报,持续检测恶意IP、恶意域名、APT攻击等。提供应急响应支撑,应对突发安全事件。

来自：
帮助文档
托管检测与响应服务（原生版）
用户指南
企业版
购买企业版
设置规则防护
若为免费版,仅支持使用告警能力。操作步骤登录边缘安全加速平台控制台。在左侧导航栏中选择【安全能力】,进入【Web应用防火墙】菜单,并在左侧域名列表选择您要防护的域名。进入防护能力-基础安全防护-【防护规则引擎】详细设置页。配置说明防护模式防护模式支持选择关闭、告警、拦截,免费版默认仅提供告警能力。选择防护规则模板您可以根据您的网站业务场景选择适合的防护规则集全量防护规则集:适用于重保等级高,且允许一定程度误报的业务场景。

来自：
帮助文档
边缘安全加速平台
安全与加速
安全
Web防护
设置规则防护
DDoS高防（边缘云版）服务协议
本节介绍了DDoS高防(边缘云版)服务协议。 DDoS高防(边缘云版)服务协议,详情请参见这里。

来自：
帮助文档
DDoS高防（边缘云版）
相关协议
DDoS高防（边缘云版）服务协议
配置访问控制策略最佳实践
本文介绍了云防火墙(原生版)互联网边界防火墙配置访问控制策略最佳实践。原理:在互联网到所有云上资产的公网出入路径进行统一访问控制。默认策略:默认全部放行。推荐配置步骤登录云防火墙(原生版)控制台。在左侧导航栏,选择“访问控制 >互联网边界规则”。在互联网边界规则页面,配置互联网入向流量。放行所有在互联网开放的必要端口,比如http(80)、https(443)服务等。有限放行运维或高安全风险的端口,比如ssh(22)、mysql(3306)等端口。

来自：
帮助文档
云防火墙（原生版）
最佳实践
C100最佳实践
配置访问控制策略最佳实践
与其他服务的关系
Anti-DDoS可以为弹性云主机、弹性负载均衡、Web应用防火墙、弹性IP等服务的公网IP资源提供防护能力。此外,与其他云服务之间还存在以下关系:服务名称与其他服务的关系主要交互功能云审计服务开通云审计服务后,云审计服务会记录Anti-DDoS相关的操作事件,方便用户日后的查询、审计和回溯。查看云审计日志消息通知服务消息通知服务(Simple Message Notification,简称SMN)提供消息通知功能。

来自：
帮助文档
Anti-DDoS流量清洗
产品介绍
与其他服务的关系
配置引导
WAF引擎检测机制 Web应用防火墙内置的防护规则,可帮助您防范常见的Web应用攻击,包括XSS攻击、SQL注入、爬虫检测、Webshell检测等。同时,您也可以根据自己网站防护的需要,灵活配置防护规则,Web应用防火墙根据您配置的防护规则更好的防护您的网站业务。WAF引擎内置防护规则的检测流程如图所示。自定义防护规则的检测顺序: 白名单规则地理位置访问控制规则精准访问防护规则 CC攻击防护规则响应动作 : pass:命中规则后无条件放行当前请求。

来自：
帮助文档
Web应用防火墙（独享版）
配置防护策略
配置引导
配置IP黑白名单规则
步骤 5 返回Web应用防火墙管理控制台,在左侧导航树中,单击“防护事件”,进入“防护事件”页面,您可以查看该防护事件。

来自：
帮助文档
Web应用防火墙（独享版）
配置防护策略
配置IP黑白名单规则
双向访问控制
配置出向路由和平台默认路由登录云防火墙:【网络→路由→源路由】,单击“新建”。参数说明源IP需要访问互联网的地址或网段。下一跳需要使用访问互联网的防火墙网卡接口。网关防火墙网卡的网关地址。登录云平台控制台,虚拟私有云→VPC→路由表→新建,下一跳地址输入云防火墙(原生版)N100型实例网卡地址即可。

来自：
帮助文档
云防火墙（原生版）
最佳实践
N100最佳实践
双向访问控制
产品定义
本文介绍了云防火墙(原生版)的产品定义和产品架构。云防火墙(原生版)(CT-CFW,Cloud Firewall)是一款云原生的云上边界网络安全防护产品,可提供统一的互联网边界管控与安全防护,并提供业务整体情况可视化、日志审计和分析等功能,帮助您完成网络边界防护与等保合规。产品功能访问控制:可统一管理互联网访问控制策略(南北向),提供流量可视、访问控制、入侵防御等功能,全面保护用户的网络安全。

来自：
帮助文档
云防火墙（原生版）
产品介绍
产品定义
自动续订
本文介绍了云防火墙(原生版)产品的自动续订流程。开通自动续订方法一:云防火墙支持在购买实例时,同步开通“自动续订”。详细操作请参见购买配额。方法二:若开通实例时未开启自动续订,用户也可在开通后,通过天翼云“费用中心 > 订单管理 > 续订管理”页面,开通自动续订。详细操作请参见开通自动续订。

来自：
帮助文档
云防火墙（原生版）
用户指南（C100）
购买相关
自动续订
防护策略如何设置优先级
配置步骤登录Web应用防火墙(原生版)控制台。在左侧导航栏,选择“防护配置 > 对象防护配置”进入防护配置页面。在“安全防护”页签定位到需要设置优先级的模块,单击“前去配置”。说明CC防护、BOT防护、精准访问控制这三个防护模块支持设置规则优先级。新建/编辑防护规则。设置优先级,单击“保存”,完成设置。

来自：
帮助文档
Web应用防火墙（原生版）
常见问题
防护配置类
防护策略如何设置优先级
开启告警通知
单击页面左上角的“服务列表”,选择“安全 Web应用防火墙(独享版)”。在左侧导航树中,选择“系统管理 > 告警通知”,进入“告警通知”页面。单击“添加通知”,配置告警通知参数。参数参数说明通知类型选择告警通知的类型:防护事件:WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式(例如邮件或短信)发送给用户。通知名称自定义该条告警的名称。通知描述可选参数,备注该条告警的用途。企业项目在下拉框中选择企业项目,该通知在选择的企业项目下生效。

来自：
帮助文档
Web应用防火墙（独享版）
系统管理
开启告警通知
修改拦截返回页面
步骤3 单击页面左上方的,选择“安全 Web应用防火墙(独享版)”。步骤4 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。步骤5 在目标网站所在行的“域名”列中,单击目标网站,进入网站基本信息页面。步骤6 在“告警页面”所在行的页面模板名称后,单击编辑按钮,在弹出的“告警页面”对话框中,选择“页面模板”进行配置。 “页面模板”选择“系统默认”时,默认返回WAF内置的HTTP返回码为418的拦截页面。 “页面模板”选择“自定义”时,如图所示。

来自：
帮助文档
Web应用防火墙（独享版）
网站设置
高级设置
修改拦截返回页面
查看预定义服务组
云防火墙为您提供预定义服务组,包括“常用Web服务”、“常用数据库”和“常用远程登录和ping”,适用于防护Web、数据库和服务器。预定义服务组仅支持查看,不支持添加、修改、删除操作。查看预定义服务组登录管理控制台。在左侧导航栏中,单击左上方的,选择“安全> 云防火墙”,进入云防火墙的总览页面。(可选)当前账号下仅存在单个防火墙实例时,自动进入防火墙详情页面,存在多个防火墙实例时,单击防火墙列表“操作”列的“查看”,进入防火墙详情页面。

来自：
帮助文档
云防火墙
用户指南
配置访问控制策略
服务组管理
查看预定义服务组
术语说明
本文进行了云防火墙(原生版)产品的术语说明。 VPC 虚拟私有云(Virtual Private Cloud,VPC),为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。您可以完全掌控自己的专有网络,VPC丰富的功能帮助您灵活管理云上网络,包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。互联网边界防火墙互联网边界防火墙主要用于检测互联网和云上资产间的通信流量,也称为南北向流量。

来自：
帮助文档
云防火墙（原生版）
产品介绍
术语说明
多账号管理
多账号管理是云防火墙(原生版)为企业级用户打造的功能,支持通过可信服务统一管理多个账号的网络资产(含弹性IP、公网NAT、弹性负载均衡等)实现企业网络安全的集中化、规范化运维,适用于多部门协作、多业务线独立运营的企业场景,有效降低跨账号管理复杂度,提升安全防护效率。前提条件拥有云防火墙(原生版)的账号为组织管理员或者委托管理员。已在云防火墙控制台启用“多账号管理”功能(路径:云防火墙(原生版)> 设置中心 > 多账号管理 > 启用)。

来自：
帮助文档
云防火墙（原生版）
用户指南（C100）
设置中心
多账号管理
快速构建FTP站点（Windows）
配置FTP防火墙支持。如果需要使用FTP服务器的被动模式,则需要配置FTP防火墙支持。如果天翼云上的服务器需要通过公网IP地址访问天翼云上的实例搭建的FTP服务器时,需要配置FTP服务器的被动模式。双击“FTP防火墙支持”,打开FTP防火墙支持的配置界面。配置相关参数,数据通道端口范围:指定用于被动连接的端口范围。可指定的有效端口范围为1025-65535,请根据实际需求进行设置,此处配置5000-6000,防火墙的外部IP地址:输入该弹性云主机的公网IP地址,并单击“应用”。

来自：
帮助文档
弹性云主机
最佳实践
搭建网站/应用最佳实践
快速构建FTP站点（Windows）
网络安全
内部安全基础设施(包括网络防火墙、入侵检测和防护系统)可以监视通过IPsec虚拟专用网络连接进入或退出虚拟私有云的所有网络流量。

来自：
帮助文档
文档数据库服务
常见问题
管理类
网络安全
安全违规处罚等级说明
DNS包括但不限于:通知整改、锁定解析记录、域名暂停解析、冻结违规资源智能边缘云包括但不限于:通知限期整改、阻断url/域名、节点实例关停、冻结违规资源DDoS 防护包括但不限于:通知限期整改、停止防护域名的流量转发、停止防护实例的流量转发、冻结违规资源Web应用防火墙包括但不限于:通知限期整改、阻断url/域名、冻结违规资源其他产品包括但不限于:冻结违规资源违规行为类违规类型对应的违规管控一般违规行为包括但不限于:封禁端口、封禁网络、冻结违规资源严重违规行为封禁违规客户账号及账号下的全部资源

来自：
帮助文档
法律声明
安全管控规则
安全管控规则
安全违规处罚等级说明
扫描任务的得分是如何计算的？
如果得分偏低,请根据实际情况对漏洞进行忽略标记,或根据修复建议修复漏洞,或使用Web应用防火墙服务为您的网站保驾护航。漏洞修复后,建议重新扫描一次查看修复效果。

来自：
帮助文档
漏洞扫描（专业版）
常见问题
产品咨询类
扫描任务的得分是如何计算的？
购买配额
本文介绍如何购买云防火墙。前提条件已注册天翼云账号并完成实名认证。操作步骤在天翼云官网首页选择“产品 > 安全及管理 > 网络安全 > 云防火墙”,进入云防火墙产品详情页,单击“立即开通”,进入云防火墙产品购买页面。或登录天翼云控制中心,在产品服务列表页选择“网络安全 > 云防火墙”,进入云防火墙概览页面,单击“购买云防火墙”,进入云防火墙产品购买页面。配置购买相关参数。参数名称参数说明扩展防护公网IP数选择需扩展的防护公网IP数,可选择范围:0~2000个。

来自：
帮助文档
云防火墙
快速入门
购买配额
DDoS高防（边缘云版）服务等级协议
本节介绍了DDoS高防(边缘云版)服务等级协议。 DDoS高防(边缘云版)服务等级协议,详情请参见这里。

来自：
帮助文档
DDoS高防（边缘云版）
相关协议
DDoS高防（边缘云版）服务等级协议
身份认证与访问控制
角色:权限控制针对所有天翼云用户,IAM需要识别访问者的角色身份并赋予相应的委托权限策略。委托:包括用户和用户之间的委托等操作用户的资源属于委托的范畴。策略:是描述一组权限集的语言,它可以精确地描述被授权的资源集和操作集,通过策略,用户可以自由搭配需要授予的权限集。通过给用户组授予策略,用户组中的用户就能获得策略中定义的权限。云防火墙的身份认证与访问控制天翼云云防火墙(原生版)已经对接了统一身份认证服务(Identity and Access Management,IAM)服务。

来自：
帮助文档
云防火墙（原生版）
产品介绍
安全
身份认证与访问控制
使用相关
前提条件已购买云防火墙(原生版)N100型实例,具体操作请参见购买N100实例。登录N100实例控制台登录云防火墙(原生版)控制台。在左侧导航选择“实例监控”或“云防火墙 - N100型”,进入云防火墙(原生版)N100型实例列表页面。单击目标实例操作列的“配置”,跳转到N100实例的控制台,默认进入控制台首页。使用N100实例登录N100实例控制台后,即可使用N100实例,请参见云防火墙(原生版)N100 用户指南。

来自：
帮助文档
云防火墙（原生版）
用户指南（N100）
使用相关
功能介绍
云防火墙应用访问控制包括但不限于4-7层访问控制、入侵防御、病毒过滤等安全功能。 Web应用防御包括防跨站、防SQL注入、防篡改、防木马、防黑客攻击等。网页防篡改集成网页防篡改功能,Web服务器安装防篡改客户端后由防火墙进行管理。威胁情报能够对新爆发的流行高危漏洞进行预警和自动检测,发现问题后支持一键生成防护规则。恶意代码检测支持远程控制木马或者病毒等恶意软件检测,能对检测到的恶意软件行为进行深入的分析,展示外部命令控制服务的交互行为和其他可疑行为。

来自：
帮助文档
安全专区
产品介绍
功能介绍
查看监控指标
在左侧导航树栏,选择“云服务监控 Web应用防火墙”,进入“云服务监控”页面。在目标独享引起实例或防护域名所在行的“操作”列中,单击“查看监控指标”,查看对象的指标详情。说明在“网站设置”列表中,目标域名所在行的“操作”列,单击“云监控”,可直接查看单个网站的监控信息。

来自：
帮助文档
Web应用防火墙（独享版）
监控与审计
监控
查看监控指标

天翼云最新活动

12.12年度钜惠

爆款云主机2核2G仅需28.8元/年，X实例35.1元/半年起！ 8代机+XSSD新客专享2.5折！

免费体验DeepSeek，上天翼云息壤

新老用户均可免费体验2500万Tokens，限时两周

云上钜惠

爆款云主机全场特惠，更有万元锦鲤券等你来领！

算力套餐

让算力触手可及

天翼云AI产品特惠

人脸识别+文字识别焕新，新用户免费试用

中小企业服务商合作专区

国家云助力中小企业腾飞，高额上云补贴重磅上线

出海产品促销专区

爆款云主机低至2折，高性价比，不限新老速来抢购！

天翼云电脑专场

移动办公新选择，爆款4核8G畅享1年3.5折起，快来抢购！

息壤智算

应用商城

定价

合作伙伴

开发者

支持与服务

了解天翼云

天翼云最新活动

产品推荐

GPU云主机

镜像服务

轻量型云主机

弹性伸缩服务

弹性高性能计算

AI Store

应用托管

科研助手

知识库问答

推荐文档

产品功能

产品优势

安装网页防篡改集中管理中心

如何选择云主机？