本文简述天翼云边缘安全加速产品回源相关的功能和配置。 功能介绍 回源配置模块主要介绍源站地址、回源协议、源站端口、回源HOST、回源URI改写等功能及配置说明。 相关功能 功能 说明 源站配置 回源配置模块支持客户自定义源站。支持IP或域名，支持配置多个源站地址，多源站场景下，支持设置源站的主备优先级和权重，实现负载均衡。 回源协议 回源协议指边缘加速节点回源站请求资源时使用的协议。配置该功能后，边缘加速节点将根据指定的协议回源。边缘加速支持HTTP回源协议、HTTPS回源协议、跟随客户端请求使用的协议回源三种回源协议。 源站端口 源站端口，是指源站接收用户请求时所用的端口，一般http协议和https协议使用不同的源站端口。 回源HOST 当源站同时服务多个站点，且回源站点与加速域名不同时，您需要配置回源HOST，天翼云边缘加速产品在回源时会根据配置的回源HOST信息去访问对应站点。 回源SNI 如果一个源站IP地址绑定多个域名，且边缘加速使用HTTPS协议回源时，需通过配置回源SNI的方式，在SNI中指定具体的请求域名，此时源站服务器可以返回该域名对应的SSL证书，以达到多个域名共用源站的目的。 回源URI改写 回源URI改写可以实现在用户请求回源时对回源URI进行改写，配置回源URI改写功能后，边缘加速节点向源站发起回源请求时将使用改写后的URI。 回源参数改写 回源参数改写功能可改写回源请求URL中的查询参数，即问号后的参数值。可支持参数的新增、删除、修改，以及保留或忽略所有参数。 301/302跟随回源 配置301/302跟随回源功能后，边缘加速节点会代替用户去处理源站响应的301/302状态码内容，即边缘加速节点会直接跳转到源站301/302响应中的Location地址请求资源，不会把源站响应的301/302跳转地址直接返回给用户，让用户自己去请求跳转地址的资源。 回源超时时间 回源请求超时时间是指在代理服务器向上游服务器（源服务器）发起请求时，等待接收上游服务器的响应所允许的最长时间，这个超时时间的设置对于应对上游服务器响应慢、连接问题或者其他异常情况至关重要。 私有Bucket 加速域名的回源地址可以使用客户自有源站或者天翼云媒体存储【即对象存储（融合版）】,若客户使用媒体存储【即对象存储（融合版）】作为源站，在新建Bucket时选择【私有】时，需要配置私有Bucket回源功能。

本文介绍边缘接入服务IP应用加速回源配置。 功能介绍 回源配置信息，主要包括添加源站、选择合适的回源策略、配置端口信息。 回源配置涉及的相关功能如下： 源站： 配置源站IP/域名、角色（主/备）、层级（主源支持1层，备源支持5层）、权重。 回源策略： 选择【择优回源】时，优先回最快的源站，忽略权重；选择【按权重回源】时，按照配置的权重回源；选择【保持登录】时，则基于客户端IP哈希回源。 端口信息： 配置TCP请求端口和回源端口、UDP请求端口和回源端口、http复用端口和http回源端口、https复用端口和https回源端口、ftp控制端口和ftp数据端口。请求端口和回源端口均支持配置多个，不连续的端口使用逗号分隔，连续的端口间使用''号分隔，如100,10002000,2050；ftp控制端口、ftp数据端口均只能配置一个。 端口转发：可添加多组端口转发策略，实现不同请求端口转发至不同源站的效果。 配置说明 新增接入，配置域名回源配置步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 在首页列表页面，点击左上角【新增接入】。 4. 填写回源配置，包括填写源站IP/域名、选择回源策略、填写端口信息等，支持添加多组端口转发规则。 编辑配置，修改回源配置步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 在首页列表页面，点击【详情】，点击右下角【编辑配置】，编辑目标域名/实例。 4. 修改对应的回源配置，包括修改源站IP/域名、修改回源策略、修改端口信息等，支持添加多组端口转发规则。

本文介绍了云防火墙(原生版)产品的外对内防护规则的添加、编辑和删除功能。 添加入向/出向规则 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“访问控制 > 互联网边界规则”，进入互联网边界规则页面。 3. 选择“入向规则”或“出向规则”页签，单击“添加规则”，在弹出的添加规则页面中，填写防护规则信息。 规则参数说明如下： 参数名称 参数说明 名称 自定义防护规则名称。名称长度不能超过100个字符。 IP版本 支持IPv4、IPv6。 源IP地址 根据所选IP版本，输入对应的IP地址或使用已添加的地址簿： 输入IP：使用“/”隔开掩码。 注意 添加出向规则时，源IP地址配置请配置弹性IP所绑定的内网IP，切勿直接配置弹性IP地址，否则规则无法正常生效。 地址簿选择：通过下拉框选择已添加的IP地址簿，添加IP地址簿请参见添加IP地址簿。 源端口 支持输入端口号或使用已添加的地址簿： 输入端口：输入单个端口号或连续的端口号，例如10或110，0表示任意端口。 地址簿选择：通过下拉框选择已添加的端口地址簿，添加端口地址簿请参见[添加端口地址簿](

本章介绍关系数据库的引擎和版本支持情况。 关系型数据库服务目前支持的数据库引擎和版本如下表所示。 新应用上线，建议您使用数据库引擎对应的最新大版本，以RDS for MySQL为例，建议您选择MySQL 8.0； 用户创建实例时，不可选择小版本，如MySQL 8.0.17，RDS会提供最优的小版本； 实例创建成功，您可在console“实例管理”页面实例列表中的“数据库引擎版本”列，查看具体的小版本号。 数据库引擎和版本请以实际环境为准。 数据库引擎和版本 数据库引擎 单机实例 主备实例 集群版实例 :::: MySQL引擎 8.0 5.7 5.6 8.0 5.7 5.6 暂不支持 MySQL引擎 8.0 5.7 5.6 8.0 5.7 5.6 暂不支持 MySQL引擎 8.0 5.7 5.6 8.0 5.7 5.6 暂不支持 PostgreSQL引擎 14 13 12 11 10 9.6 9.5 14 13 12 11 10 9.6 9.5 暂不支持 PostgreSQL引擎 14 13 12 11 10 9.6 9.5 14 13 12 11 10 9.6 9.5 暂不支持 PostgreSQL引擎 14 13 12 11 10 9.6 9.5 14 13 12 11 10 9.6 9.5 暂不支持 PostgreSQL引擎 14 13 12 11 10 9.6 9.5 14 13 12 11 10 9.6 9.5 暂不支持 PostgreSQL引擎 14 13 12 11 10 9.6 9.5 14 13 12 11 10 9.6 9.5 暂不支持 PostgreSQL引擎 14 13 12 11 10 9.6 9.5 14 13 12 11 10 9.6 9.5 暂不支持 Microsoft SQL Server引擎 2017 标准版 2017 web版 2016 企业版 2016 标准版 2016 web版 2014 企业版 2014 标准版 2014 web版 2012 企业版 2012 标准版 2012 web版 2017 标准版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 2012 企业版 2012 标准版 2017 企业版 Microsoft SQL Server引擎 2017 标准版 2017 web版 2016 企业版 2016 标准版 2016 web版 2014 企业版 2014 标准版 2014 web版 2012 企业版 2012 标准版 2012 web版 2017 标准版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 2012 企业版 2012 标准版 2017 企业版 Microsoft SQL Server引擎 2017 标准版 2017 web版 2016 企业版 2016 标准版 2016 web版 2014 企业版 2014 标准版 2014 web版 2012 企业版 2012 标准版 2012 web版 2017 标准版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 2012 企业版 2012 标准版 2017 企业版 Microsoft SQL Server引擎 2017 标准版 2017 web版 2016 企业版 2016 标准版 2016 web版 2014 企业版 2014 标准版 2014 web版 2012 企业版 2012 标准版 2012 web版 2017 标准版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 2012 企业版 2012 标准版 2017 企业版 Microsoft SQL Server引擎 2017 标准版 2017 web版 2016 企业版 2016 标准版 2016 web版 2014 企业版 2014 标准版 2014 web版 2012 企业版 2012 标准版 2012 web版 2017 标准版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 2012 企业版 2012 标准版 2017 企业版 Microsoft SQL Server引擎 2017 标准版 2017 web版 2016 企业版 2016 标准版 2016 web版 2014 企业版 2014 标准版 2014 web版 2012 企业版 2012 标准版 2012 web版 2017 标准版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 2012 企业版 2012 标准版 2017 企业版 Microsoft SQL Server引擎 2017 标准版 2017 web版 2016 企业版 2016 标准版 2016 web版 2014 企业版 2014 标准版 2014 web版 2012 企业版 2012 标准版 2012 web版 2017 标准版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 2012 企业版 2012 标准版 2017 企业版 Microsoft SQL Server引擎 2017 标准版 2017 web版 2016 企业版 2016 标准版 2016 web版 2014 企业版 2014 标准版 2014 web版 2012 企业版 2012 标准版 2012 web版 2017 标准版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 2012 企业版 2012 标准版 2017 企业版 Microsoft SQL Server引擎 2017 标准版 2017 web版 2016 企业版 2016 标准版 2016 web版 2014 企业版 2014 标准版 2014 web版 2012 企业版 2012 标准版 2012 web版 2017 标准版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 2012 企业版 2012 标准版 2017 企业版 Microsoft SQL Server引擎 2017 标准版 2017 web版 2016 企业版 2016 标准版 2016 web版 2014 企业版 2014 标准版 2014 web版 2012 企业版 2012 标准版 2012 web版 2017 标准版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 2012 企业版 2012 标准版 2017 企业版 Microsoft SQL Server引擎 2017 标准版 2017 web版 2016 企业版 2016 标准版 2016 web版 2014 企业版 2014 标准版 2014 web版 2012 企业版 2012 标准版 2012 web版 2017 标准版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 2012 企业版 2012 标准版 2017 企业版

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的Bot情报库功能。 功能介绍 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁，目前Bot虫情报库已维护接近10万条数据。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 购买Bot防护扩展服务，支持Bot防护相关功能。 背景信息 边缘安全加速平台安全团队基于天翼云积累的海量威胁情报库，并经过离线分析技术，收集国内外公开的、已知的恶意爬虫IP；另外，通过反向解析技术，收录了众多SE类别的爬虫信息，两者结合形成爬虫情报库，内置近10万条友好爬虫与已知恶意爬虫IP信息，目前仍持续更新中。 针对已知爬虫，边缘云WAF为爬虫情报进行标识与分类，例如搜索引擎类的爬虫，分为谷歌爬虫、360爬虫、百度爬虫等各类标识，您可以仅针对其中的某类搜索引擎标识进行加白的动作，则后续此类爬虫IP将不经过边缘云WAF的Bot防护策略。对于恶意爬虫，您也可以对其进行一键封禁的操作，边缘云WAF将会对其进行拦截，避免网站业务遭受已知恶意爬虫的攻击。

本章介绍天翼云关系型数据库所支持的数据库引擎和版本有哪些。 关系型数据库服务目前支持的数据库引擎和版本如下表所示。 新应用上线，建议您使用数据库引擎对应的最新大版本，以RDS for MySQL为例，建议您选择MySQL 8.0。用户创建实例时，不可选择小版本，如MySQL 8.0.17，RDS会提供最优的小版本，实例创建成功，您可在console“实例管理”页面实例列表中的“数据库引擎版本”列，查看具体的小版本号。数据库引擎和版本请以实际环境为准。 数据库引擎和版本 数据库引擎 单机实例 主备实例 集群版实例 :::: MySQL引擎 8.0 5.7 5.6 8.0 5.7 5.6 暂不支持 PostgreSQL引擎 15 14 13 12 11 10 9.6 9.5 15 14 13 12 11 10 9.6 9.5 暂不支持 Microsoft SQL Server引擎 2019 标准版 2019 web版 2017 标准版 2017 web版 2016 企业版 2016 标准版 2016 web版 2014 企业版 2014 标准版 2014 web版 2012 企业版 2012 标准版 2012 web版 2019 标准版 2017 标准版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 2012 企业版 2012 标准版 2019 企业版 2017 企业版

本文介绍边缘接入服务IP应用加速配置模块的相应功能。 功能介绍 在IP应用加速配置模块，您可以进行域名/实例的新增、查看、编辑及其相应域名状态查询。 新增接入 登录边缘安全加速控制台，进入【边缘接入】控制台，选择【域名】【IP应用加速配置】，这个页面您可以查看已添加的域名/实例的基础信息、回源配置、访问控制、传递用户IP回源等信息。基础信息包括加速域名、实例名称、CNAME、加速区域、产品类型、创建时间等信息。点击左上角【新增接入】。 选择接入方式，填写加速域名/实例名称，选择加速区域（中国内地、全球（不含中国内地）、全球），是否启用IPv6。 域名接入方式： 无域名接入方式： 根据您的需要，配置您加速域名的【回源配置】、【访问控制】、【传递用户IP回源】等相关功能。 完成加速配置后，点击右下角的下一步，进入安全防护配置页面，按需开启DDoS防护后提交。 完成新增接入操作后，可通过【域名】【IP应用加速接入】 查看该域名/实例所处状态。 域名/实例配置完成，生成CNAME，状态变更为【已启用】，即可以在【IP应用加速接入】首页列表中，查看对应域名的详情，进行停用/启用/删除等操作，也可以开启IPv6解析开关，修改加速配置或安全防护配置等。 域名/实例新增过程中涉及的主要配置项说明如下：

本节介绍如何配置API自动发现任务，并将发现的API资产添加到API资产列表中。 API自动发现主要用于帮助用户自动或半自动发现API资产。 当API资产规模较小时（不超过100条），可选择开启“确认为API资产”，自动将发现的API确认为API资产。 当API资产规模校大时（超过100条），API自动发现任务可发现API资产，用户需进行人工识别和确认后，添加为API资产。 前提条件 已开通Web应用防火墙（原生版）实例企业版或旗舰版。 已完成防护域名接入，并正常防护。 配置API自动发现任务 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“API安全 > API管理”，进入API管理页面。 5. 选择“API资产发现”页签，单击“API自动发现”，进入API自动发现任务页面。 6. 在弹出的API自动发现任务页面中，配置任务参数。 任务参数说明如下： 参数 说明 识别范围 通过设置识别范围可限定API的发现范围。单次识别API资产不超过10000个。 支持输入长度为1256字符，支持通配符，最多可输入10个条件，多个条件之间是或关系。 排除条件 通过设置排除条件排除在识别范围内不属于API的其他路径，从而提升API识别的准确性。 支持输入长度为1256 字符，支持通配符，最多可输入10个条件，多个条件之间是或关系。 执行周期过期时间 通过设置执行周期过期时间可设置单次任务的运行周期，任务运行最长支持30天，最短支持5分钟。 任务到期或发现API接口超过10000后将自动结束任务。 业务用途识别 开启“业务用途识别”，可基于API接口的路径特征和参数名特征，与自定义的业务用途字段进行匹配，自动判断识别到的API接口业务用途。自定义业务用途请参见[新增业务用途规则](

本章节介绍如何部署C100版本云防火墙（原生版）。 本最佳实践基于天翼云云防火墙C100 典型部署方案，旨在通过标准化的规划、部署、管控及运维流程，确保云防火墙高效落地，实现对互联网入访、内网出访、VPC 间互访、VPC 与云专线互访的全流量安全防护，同时规避网络架构冲突、流量绕开防护等风险，保障业务稳定运行。 前期规划 前期规划重点明确VPC架构与子网划分，避免后续部署冲突。 VPC 规划 规划原则：按功能隔离，减少干扰。 某场景下，网络部门根据业务属性与防护需求，划分独立VPC，各VPC功能如下，避免跨功能混用： VPC 名称 核心功能 关联组件 vpc1/vpc2 业务承载 业务子网、私网ELB、后端 ECS（无EIP，通过 NAT出访） vpccfw 仅用于云间高速流量的引流，不是防火墙所在VPC GWLBE子网、IPv4网关（仅部署防火墙相关引流与转发组件，不承载业务） （可选）vpcnat NAT网关专属 NAT网关子网（若需进一步隔离NAT功能，可单独创建，小型场景可复用vpc1/vpc2） （可选）vpcsec 安全产品专属 云等保专区、WAF等安全组件（安全产品独立VPC更易管控）

本文为您介绍地域访问控制功能说明，以及如何配置地域访问控制策略。 地域访问控制支持针对地理位置的黑名单封禁，可指定需要封禁的国家、地区，阻断该区域的来源IP的访问。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持地域访问控制功能，请升级到更高版本使用。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“地域访问控制”模块，可以选择开启/关闭防护状态，并查看当前已封禁的地域。点击“前去配置”。 7. 进入地域访问控制规则列表页，列表会展示已创建规则的相关信息，包括规则状态、规则名称/规则ID、封禁区域、过期时间、更新时间、规则描述等。 8. 点击列表上方“新建防护规则”，进入规则配置页面，完成以下信息配置。 配置项 说明 规则名称 设置规则的名称。规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 防护目标 需输入完整防护的网页路径或端口。 例如 为路径地址。 路径不支持通配符(例如 / )或参数(例如 /abc?xxxyyy 中，xxxyyy 为参数部分)。 支持输入端口，如 或 地理位置 IP访问来源的地理范围，可以选择“境内”和“境外”区域。支持多选。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 规则描述 可选参数，设置该规则的备注信息。 9. 点击“确认”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本小节介绍微隔离防火墙的术语解释。 微隔离 微隔离（IdentityBased Segmentation），亦称为微分段、软件定义分段、基于身份的分段、零信任分段、逻辑分段等；其基于工作负载身份，通过访问控制策略或加密规则，对位于本地或云端数据中心的工作负载（物理机/虚拟机/容器等）、应用、程序进行细粒度隔离和精细化访控，从而实现缩减暴露面、阻止攻击横向侧移的安全目的。 南北向流量 进出互联网边界的流量称为南北向流量。 东西向流量 数据中心中不同服务器之间的流量称为东西向流量。 授权码 指安装客户端时所验证匹配的校验码。 工作负载 泛指承载业务的主机，包含物理机、虚拟机、容器等一系列计算主机的统称。 工作组 通过“位置”、“应用”、“环境”三维标签来确定一个工作负载的集合。 连接线 工作负载之间互相访问的路径，通过计算引擎计算后显示在Web界面的线。 策略 针对工作负载之间，工作组之间的访问流量设置白名单的方法。 策略状态 指创建策略应用至工作负载或工作组的状态，分别为建设状态、测试状态、防护状态。 建设状态 只在管理中心生效的策略状态，用于策略制定，该状态下策略不会应用至工作负载。 测试状态 策略下发至工作负载，但不生效，会记录所创建的策略，不对业务产生影响，该状态下适用于测试策略是否正常的情况。 防护状态 在工作负载上应用，且只允许创建的策略通过，未指定策略的访问流量将无法通过。

本小节介绍云下一代防火墙设置接口IP地址和安全域配置以及开启防护操作方法。 设置接口IP地址和安全域配置 登录云下一代防火墙web界面，打开【网络→安全域】，查看安全域下接口数量和开启的防护模块。 开启安全域的功能策略模板 网络接口附属在安全域，同步调用安全域防护策略，需启用安全域中的威胁防护和对应的防护侧。 开启全局网络参数为入侵防御 全局网络参数的防护模式是基于系统的，可影响整体的安全防护引擎运行机制，开启防护后可依据策略动作对攻击进行拦截。 关闭防护功能 关闭防护功能仅需要针对全局网络参数做修改，关闭【防护】后会从系统层面进入仅监测模式，威胁日志全部显示为仅检测，无法做拦截。 注意 该功能请谨慎操作。

本文进行了云防火墙（原生版）产品的术语说明。 VPC 虚拟私有云（Virtual Private Cloud，VPC），为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。 互联网边界防火墙 互联网边界防火墙主要用于检测互联网和云上资产间的通信流量，也称为南北向流量。 访问控制 是流量过滤规则的集合，通过防火墙的访问控制功能可以对内网的计算机进行访问限制，比如限制访问的Internet网站、限制使用的端口号，这样可以保证局域网的安全性。 黑名单规则 访问控制规则的一种。配置成功后，可对配置地址的入或出通信流量进行阻断。 白名单规则 访问控制规则的一种。配置成功后，可对配置地址的入或出通信流量进行放行。 五元组 包括源IP地址、目的IP地址、协议号、源端口、目的端口。 入侵防御 主动发现外部入侵与恶意外联等未知风险，在检测到可疑事件时，提供实时的防护与告警。如果检测到攻击，入侵防御会在攻击扩散到网络的其他地方之前阻止该恶意通信。 主动外联访问 主动外联访问是指云主机主动访问外部IP的行为，通过对主动外联访问防护，可以帮助您有效管理和控制主机外联行为。

微隔离防火墙以镜像方式承载,订购前需要开通一台云主机承载业务,然后再购买授权。本小节介绍微隔离防火墙的订购模式。 目前下单的两种模式： 1. bcp下单模式，客户经理可通过此模式下单； 2. 官网下单模式，客户经理以外的人员可通过此方式下单。 官网下单模式 1、进入天翼云官网，点击右上角【控制中心】，然后登录。 2、点击【弹性云主机】。 3、点击【创建弹性云主机】。 4、按需选择相应的云主机规格，需注意：在选择公共镜像时，选择安全产品中的微隔离防火墙。 5、云主机需开放端口：10443、6443、8000、60001、60011、60021、60031端口。6443为WEB控制台访问端口，10443端口为后台管理使用的端口，8000安装agent的访问端口，60001、600011、60021、60031为agent接入自适应微隔离管理中心的使用端口。 开放端口操作： 1）点击上图的【下一步：网络配置】进行配置。 2）进入【配置安全规则】。 3）点击【创建安全组】 6、在创建完成云主机后，在【控制中心】中选择安全项中的【微隔离防火墙】。点击小购物车“”进入订购页面。 7、设置实例名称，选择需要微隔离防护的云主机数量，上传识别文件，选择订购时长，勾选服务协议，即可提交订购。本产品的授权过程需要12个工作日的时间完成，完成授权后会生成对应的实例项，授权文件可以在console页面的实例信息中下载，我们也会邮件通知授权文件。

本文简述传递用户IP回源功能的原理和配置方法。 功能介绍 使用边缘接入服务IP应用加速后，源站获取到的客户端IP会变为应用加速回源节点的IP。如果源站需要获取真实的客户端IP地址，有两种方式： proxyprotocol（简称PP），对内核无要求，需要源站进行修改，解析对应的文本字符串以获取真实的客户端IP。目前，Nginx和HAProxy已经支持，因此Nginx和HAProxy源站推荐使用该方式获取客户端IP。proxyprotocol的v1版本仅支持TCP协议，v2版本同时支持TCP和UDP协议。 tcpoption传递用户IP回源的方式，该方式仅适用于TCP协议。选择该方式时，Linux系统源站需要安装我们提供的toa内核模块来获取真实客户端地址，该方式无需源站进行修改即可获取到真实的客户端IP；Windows系统源站不支持tcpoption传递用户IP回源方式。 配置说明 新增域名，配置传递用户IP回源步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 点击左上角【新增接入】。 4. 找到传递用户IP回源模块，打开开关。 5. 选择传递用户IP回源方式，选择proxyprotocol方式时，还需要选择协议版本号；选择tcpoption时，您需要下载适配源站系统版本的toa模块，并安装到源站后才可正常使用该功能。 编辑域名，配置传递用户IP回源步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 在首页列表页面，点击详情，点击右下角编辑配置，编辑目标域名/实例。 4. 找到传递用户IP回源模块，打开或者关闭开关；打开时需选择传递用户IP回源方式，选择proxyprotocol方式时，还需要选择协议版本号；选择tcpoption时，您需要下载适配源站系统版本的toa模块，并安装到源站后才可正常使用该功能。

操作步骤 停用边缘接入服务 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 选择对应域名，找到【操作】列的【停用】按钮。 4. 单击【停用】按钮，单击【确定】。 如您需要删除已停用域名，请等待停用域名工单完成后继续按如下删除边缘接入域名的流程进行操作。 删除边缘接入域名 1. 域名停用后，单击【操作】列的【删除】按钮。 2. 单击【删除】后，跳出【删除确认】框，输入需删除的域名，单击【确定】，即可删除域名。

本文将介绍如何导出CC攻击事件。 使用场景 业务接入DDoS高防（边缘云版）后，您可以在控制台查询已产生的CC攻击事件并将事件导出为.xls文件。 前提条件 已开通DDoS高防（边缘云版）。 开启CC防护配置，并触发产生CC攻击事件。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【安全分析】【攻击事件】【CC攻击事件】页面。 3.指定要导出的CC攻击事件的域名及时间范围，点击【查询】按钮。 4.点击【导出】按钮，会将查询结果导出为.xls文件。

本文说明安全加速产品升级情况。 尊敬的天翼云客户： 因业务调整，从2024年12月1日起，天翼云安全加速产品将并入边缘安全加速平台，边缘安全加速平台安全与加速服务可提供提供动静态加速、DDoS防护、Web防护、Bot管理和API安全能力，相比于安全加速的应用场景更丰富。 新购客户：2024年12月1日起，将无法订购安全加速产品。如需订购，请订购其升级产品边缘安全加速平台安全与加速服务。 存量客户：安全产品将持续提供服务至您当前订单周期结束，但从2024年12月1日起，将无法进行续订和变更。如需续订，请订购其升级产品边缘安全加速平台安全与加速服务；如需变更，请先退订安全加速产品，再通过订购边缘安全加速平台的安全与加速服务服务来满足您的需求。 如有任何问题，请您随时通过在线客服或服务热线4008109889联系我们，我们将竭诚为您服务。 感谢您对天翼云的支持！ 天翼云服务团队

云防火墙的应用场景及限制。 约束限制 CFW ALG标签功能受限。 CFW默认不开启网络层流量类型DDoS攻击与IP欺骗防御功能。 域名防护依赖于用户配置的域名服务器。默认域名服务器可能存在域名解析对应的IP地址不全，建议优先使用自定义域名服务器。 CFW长连接业务场景限制，配置策略的时候需要同时开启双向放通的安全策略，如果只开启单向策略，部分场景（开启和关闭防护、扩容引擎）需要客户端重新发起连接。 外部入侵防御 通过云防火墙，对已开放公网访问的服务资产进行安全盘点，可一键开启入侵检测与防御。 主动外联管控 云防火墙支持基于域名的访问控制，可对主动外联行为进行精准管控。 VPC间互访控制 云防火墙支持VPC间流量的访问控制，实现内部业务互访活动的可视化与安全防护。 等保合规 云防火墙可满足《网络安全等级保护2.0》中对区域边界防护、网络入侵防范、网络访问控制、安全日志审计等检查要求。

本文介绍若同时具备加速及安全防护需求,该如何选择开通安全与加速服务还是开通边缘接入服务。 当客户存在加速需求时，可以参见：边缘接入服务里的应用加速与安全与加速服务里的加速的区别是什么来选择开通合适的服务。 当客户存在安全防护需求时，可以参见：边缘接入服务里的DDoS与安全与加速服务里的DDoS高防的区别是什么来选择开通合适的服务。

DMS客户端版与DMS Web控制台功能对比 功能类别 功能项 客户端版 Web控制台 说明 实例管理 云上数据库管理 ✅ ✅ 两者均支持 本地数据库管理 ✅ ❌ 客户端独有，可直接连接本地数据库 开发空间 SQL查询编辑 ✅ ✅ 两者均支持 数据导入导出 ✅ ✅ 两者均支持 结构/数据对比 ✅ ✅ 客户端独有 可视化编辑 ✅ ✅ 两者均支持 安全协作 团队与成员管理 ✅ ✅ 两者均支持 SQL审计 ✅ ✅ 两者均支持 操作审计 ✅ ✅ 两者均支持 AI智能 DMS助手（问答/生成/纠错） ✅ ✅ 两者均支持 SQL智能补全 ✅ ✅ 两者均支持 自定义大模型 ✅ ❌ 客户端独有，可接入私有模型 生态对接 dmscli命令行 ✅ ❌ 客户端独有 dms skill接口 ✅ ❌ 客户端独有 使用体验 离线可用 ✅ ❌ 客户端可离线使用部分功能 低延迟响应 ✅ ❌ 本地客户端响应更快 无需浏览器 ✅ ❌ 独立应用，不依赖浏览器 客户端版优势：支持本地数据库直连、离线可用、更灵活的AI生态对接能力。适合的场景有： 需要纳管访问本地数据库部署，或者需要本地特定网络环境才能访问的数据库部署，并且希望具备企业级的安全与协作能力。 作为AI产品（如OpenClaw、Claude Code等）访问数据库的入口，让AI操作数据库安全可控、可审计、可观测。 Web控制台优势：无需安装、跨平台访问、版本自动更新、功能丰富成熟，适合云数据库用户。

合营池新订购下单（云防火墙（原生版） + 云主机 + 云硬盘 + 已有未绑定弹性IP） { "orders": [ { "instanceCnt": 1, "cycleCnt": 1, "cycleType": 3, "items": [ { "master": true, "resourceType": "CFWVERSION", "serviceTag": "CFW", "itemValue": 1, "itemConfig": { "regionId": "资源池id", "regionName": "资源池名称", "firewallName": "防火墙实例名称", "firewallEdition": "standard", "elasticIP1": "xxx.xxx.xxx.xxx", "ismain": "single", "vpcId": "vpc id", "vpcIp": "vpc 网段", "vpcName": "vpc 名称", "subnetId": "子网id", "subnetIp": "子网网段" } } ] }, { "instanceCnt": 1, "cycleCnt": 1, "cycleType": 3, "items": [ { "master": true, "resourceType": "VMC", "serviceTag": "HWS", "itemConfig": { "regionId": "资源池id", "vpcId": "vpcId", "subnetId": "子网gid", "zoneId": "资源池id", "zoneType": "2", "azName": "可用区名称", "cpuNum": "2", "memSize": "4", "flavorType": "规格类型", "flavorRef":"规格名称", "securityGroups": [ { "id":"安全组id" } ], "vmName": "CFWa4f0", "cpuArch":"x86", "adminPass": "xxxxxxxxx", "publicIp": "xxx.xxx.xxx.xxx, 对应防火墙的elasticIP1", "networkCards": [ { "ipv6Enable": false, "subnetId": "subnetq3e02mxcnh" } ] }, "itemValue": 1 }, { "master": false, "resourceType": "EBSC", "serviceTag": "HWS", "isSystemVolume": true, "itemConfig": { "volumeType": "SATA" }, "itemValue": 40 } ] } ] }

本小节介绍HSS与WAF区别。 云平台提供的HSS、WAF服务，帮助您全面从主机、网站、Web应用等层面防御风险和威胁，提升系统安全指数。建议搭配使用。 服务名称 所属分类 防护对象 功能差异 企业主机安全（HSS） 基础安全 提升主机整体安全性。 资产管理 漏洞管理 入侵检测 基线检查 网页防篡改 Web应用防火墙（WAF） 应用安全 保护Web应用程序的可用性、安全性。 Web基础防护 CC攻击防护 精准访问防护

合营池新订购下单（云防火墙（原生版） + 云主机 + 云硬盘 + 已有未绑定弹性IP） { "orders": [ { "instanceCnt": 1, "cycleCnt": 1, "cycleType": 3, "items": [ { "master": true, "resourceType": "CFWVERSION", "serviceTag": "CFW", "itemValue": 1, "itemConfig": { "regionId": "资源池id", "regionName": "资源池名称", "firewallName": "防火墙实例名称", "firewallEdition": "standard", "elasticIP1": "xxx.xxx.xxx.xxx", "ismain": "single", "vpcId": "vpc id", "vpcIp": "vpc 网段", "vpcName": "vpc 名称", "subnetId": "子网id", "subnetIp": "子网网段" } } ] }, { "instanceCnt": 1, "cycleCnt": 1, "cycleType": 3, "items": [ { "master": true, "resourceType": "VMC", "serviceTag": "HWS", "itemConfig": { "regionId": "资源池id", "vpcId": "vpcId", "subnetId": "子网gid", "zoneId": "资源池id", "zoneType": "2", "azName": "可用区名称", "cpuNum": "2", "memSize": "4", "flavorType": "规格类型", "flavorRef":"规格名称", "securityGroups": [ { "id":"安全组id" } ], "vmName": "CFWa4f0", "cpuArch":"x86", "adminPass": "xxxxxxxxx", "publicIp": "xxx.xxx.xxx.xxx, 对应防火墙的elasticIP1", "networkCards": [ { "ipv6Enable": false, "subnetId": "subnetq3e02mxcnh" } ] }, "itemValue": 1 }, { "master": false, "resourceType": "EBSC", "serviceTag": "HWS", "isSystemVolume": true, "itemConfig": { "volumeType": "SATA" }, "itemValue": 40 } ] } ] }

DMS客户端版与DMS Web控制台功能对比 功能类别 功能项 客户端版 Web控制台 说明 实例管理 云上数据库管理 ✅ ✅ 两者均支持 本地数据库管理 ✅ ❌ 客户端独有，可直接连接本地数据库 开发空间 SQL查询编辑 ✅ ✅ 两者均支持 数据导入导出 ✅ ✅ 两者均支持 结构/数据对比 ✅ ✅ 客户端独有 可视化编辑 ✅ ✅ 两者均支持 安全协作 团队与成员管理 ✅ ✅ 两者均支持 SQL审计 ✅ ✅ 两者均支持 操作审计 ✅ ✅ 两者均支持 AI智能 DMS助手（问答/生成/纠错） ✅ ✅ 两者均支持 SQL智能补全 ✅ ✅ 两者均支持 自定义大模型 ✅ ❌ 客户端独有，可接入私有模型 生态对接 dmscli命令行 ✅ ❌ 客户端独有 dms skill接口 ✅ ❌ 客户端独有 使用体验 离线可用 ✅ ❌ 客户端可离线使用部分功能 低延迟响应 ✅ ❌ 本地客户端响应更快 无需浏览器 ✅ ❌ 独立应用，不依赖浏览器 客户端版优势：支持本地数据库直连、离线可用、更灵活的AI生态对接能力。适合的场景有： 需要纳管访问本地数据库部署，或者需要本地特定网络环境才能访问的数据库部署，并且希望具备企业级的安全与协作能力。 作为AI产品（如OpenClaw、Claude Code等）访问数据库的入口，让AI操作数据库安全可控、可审计、可观测。 Web控制台优势：无需安装、跨平台访问、版本自动更新、功能丰富成熟，适合云数据库用户。

检查项分类安全控制点风险等级 等保合规检查项 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络网络架构中 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 云防火墙提供访问控制机制和入侵防护能力，开启防护后能够自动阻断互联网与VPC之间的威胁访问，为用户提供自动的边界防护能力。 入侵防护 访问控制 安全区域边界边界防护高 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界边界防护中 应能够对非授权设备私自连到内部网络的行为进行限制或检查。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界边界防护中 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界入侵防范高 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 入侵防护 安全区域边界入侵防范高 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 入侵防护 安全区域边界入侵防范中 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 入侵防护 安全区域边界访问控制高 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 云防火墙提供默认拒绝所有通信的访问控制策略，只允许通行策略相关会话通信。 访问控制 安全区域边界访问控制中 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 云防火墙提供流量记录功能，能够记录所有防火墙的通信会话行为，可通过对防火墙网络通信判断访问规则的有效性，从而实现访问控制规则最小化。 访问控制 安全区域边界访问控制高 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 访问控制 安全区域边界访问控制中 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 支持根据FTP等会话的状态信息设置对会话的允许/拒绝访问能力，控制粒度为端口级。 访问控制 安全区域边界访问控制中 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 支持DNS等应用协议和下载等应用内容进行访问控制。 访问控制 安全区域边界安全审计高 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 云防火墙提供日志审计功能，可以记录所有流量日志、访问控制日志、入侵防护日志和操作日志。 日志审计 安全区域边界安全审计中 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 云防火墙提供日志记录事件功能，包括：时间、告警名称、攻击类型、源/目IP字段、等级等。 日志审计 安全区域边界安全审计中 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 云防火墙提供日志分析功能，默认保存7天的数据，同时还支持修改存储时长至180天。 日志审计 安全区域边界安全审计中 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 云防火墙提供日志分析功能，记录所有流量访问日志，默认保存7天的数据，同时还支持修改存储时长至180天。 日志审计

本节介绍如何购买云安全中心实例。 云安全中心支持包年/包月计费方式，目前提供标准版的主资源，两种扩展资源：日志分析量、态势大屏。您可以根据业务规模选择云安全中心规格。 前提条件 已注册天翼云账号并完成实名认证。 规格限制 态势大屏只可购买一次。 日志分析量扩展资源的购买资源最小单位为50G，即购买时只能选择50G的整数倍。 约束条件 同一账号在同一个区域只能开通一个云安全中心实例，对应一个服务版本。 开通云安全中心实例，必须购买主资源，主资源生效期间，支持叠加购买扩展资源，扩展资源与主资源绑定，到期时间与主资源一致，不支持单独续订、退订。 适用场景 用户购买了天翼云上的安全服务“Web应用防火墙（原生版）、服务器安全卫士（原生版）、云等保专区、数据库审计、云堡垒机（原生版）企业版、云防火墙（原生版）”并部署在天翼云上。 操作步骤 1. 登录天翼云控制中心。 2. 在控制台列表页，选择“安全 > 云安全中心”，进入云安全中心控制台。 3. 单击“立即购买”，进入购买页面。 4. 选择版本信息、扩展资源、购买时长。 参数 说明 基本信息 版本选择 支持“标准版”。规格详情请参见产品规格。 基本信息 计费模式 支持“包年包月”。 扩展配置 购买态势大屏 默认为“现在购买”，也可以选择“暂不购买”。 说明 态势大屏只可购买一次。 扩展配置 购买日志分析量 默认为“现在购买”，也可以选择“暂不购买”。 说明 云安全中心标准版免费提供50G的日志分析额度，如果您需要额外的额度，请另外购买。 日志分析量扩展资源的购买资源最小单位为50G，即购买时只能选择50G的整数倍。 订购 购买时长 拖动时间轴设置购买时长。 订购 自动续订 开启“自动续订”后，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 按月购买，自动续费周期默认为3个月。 按年购买，自动续费周期默认为1年。 如需要修改自动续费周期，可进入天翼云“费用中心 > 订单管理 > 续订管理”页面，找到对应的资源进行修改。 5. 确认配置参数和配置费用，阅读《云安全中心服务协议》并勾选“我已阅读，理解并接受《云安全中心服务协议》”，单击“立即购买”。 6. 进入“付款”页面，完成付款。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的CC防护功能。 功能介绍 CC防护根据访问者的URL，频率、行为等访问特征，智能识别CC攻击，迅速识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 什么是CC攻击？ CC攻击是一种恶意网络攻击，旨在通过向目标服务器发送大量的请求，超过其处理能力，从而使其无法正常工作或服务受到严重影响。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通免费版或基础版，支持使用CC防护默认策略；开通高级版及以上版本，支持使用自定义CC防护策略。 操作步骤 1. 登录边缘安全加速平台控制台，进入【安全与加速】工作台。 2. 在左侧导航栏中选择【安全能力】，进入【访问控制/限流】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【CC防护】详细设置。 配置说明 基础设置 配置项 说明 CC防护开关 CC防护的功能开关 CC防护模式 【CC防护模式】设置为阈值，则域名访问达到防护条件时进行防护 【CC防护模式】设置为长久，则域名的每次访问都进行防护校验，适合有长期防护的需求场景 阈值 即触发防护动作的阈值，当统计频率内达到设定的阈值，将触发防护 周期 即设定时长内达到防护阈值，将触发防护。新的时间周期将重新开始计算统计频率 防护时长 即触发防护后的持续防护时间 跨域请求防护 支持开启或关闭跨域请求防护功能。若您所防护的域名存在跨域访问场景（即被其他域名网站引用访问），建议关闭跨域请求防护，以免被CC防护算法拦截 注意 当CC防护模式选择阈值，为避免单位时间内阈值配置过低，导致频繁触发CC攻击，限制阈值与周期的比值不得小于100。

本小节介绍云堡垒机使用限制。 网络访问限制 系统资源所属安全组必须允许实例私有IP访问，需要在实例的安全组添加“入方向”的访问规则。 注意 云堡垒机Docker0的网卡地址为：172.17.0.1，请勿占用此网桥网卡地址，否则会导致云堡垒机无法正常使用。 支持纳管的服务器限制 支持SSH、TELNET、RDP、VNC、FTP、SFTP协议类型的Windows或Linux主机。 Windows服务器版本：Windows Server 2012、2016。 支持的数据库类型及版本限制 数据库引擎 引擎版本 Mysql 5.5、5.6、5.7、8.0 PostgreSQL 10、11、12、13 Oracle 10g、11g、12c DB2 10.5、11.5、12 达梦 V8 SQL Server 2016企业版 天翼云分布式关系型数据库（DRDS） 1.0 说明 建议关联MySQL5.7和8.0版本 支持的运维终端操作系统限制 终端类型 系统版本 芯片 Windows windows7及以上版本 Intel芯片 Mac MacOS 10.15及以上版本 Apple silicon或Intel芯片 支持的运维客户端软件限制 登录方式 支持的客户端 版本 Web浏览器登录 Edge 95及以上版本 Web浏览器登录 Chrome 91.0及以上版本 Web浏览器登录 Safari 13及以上版本 Web浏览器登录 Firefox 50.0及以上版本 ssh/telnet协议运维登录 SecureCRT 8.0及以上版本 ssh/telnet协议运维登录 Xshell 6及以上版本 ssh/telnet协议运维登录 putty 堡垒机客户端自带 ssh/telnet协议运维登录 Mac Terminal 2.0及以上版本 Sftp/Ftp协议运维登录 Winscp 5及以上版本 Sftp/Ftp协议运维登录 Filezila 3及以上版本 数据库运维 Navicat 11、12、15、16、17 数据库运维 DBeaver 22、23、24 数据库运维 HeidiSQL 说明 需要自行下载客户端并使用。 10.0及以上版本 数据库运维 PL/SQL Developer 说明 需要自行下载客户端并使用。 14.0.2 图形运维 Vncviewer 堡垒机客户端自带 图形运维 MSTSC 6.0及以上版本

WAF原生版是否支持HTTPS双向认证？ HTTPS双向认证是相较于HTTPS单向认证而言的，HTTPS单向认证是指客户端在请求服务器数据时，需要验证服务器的身份。而双向认证是在此基础上，服务器端验证客户端的身份，从而实现双向认证。 双向认证主要应用场景是部分重要业务需要验证客户端身份时，需要使用双向验证。而使用WAF防护的业务，一般为对公众提供的Web服务，其原始业务不会有双向验证的要求，故当前WAF原生版不支持HTTPS双向认证。 WAF原生版是否支持WebSocket协议？ WebSocket是HTML5引入的一项技术，用于在Web应用程序中实现实时双向通信。与传统的HTTP请求响应模型不同，WebSocket允许服务器主动向客户端推送数据，而不需要客户端发起请求。WebSocket连接保持打开状态，允许客户端和服务器之间进行双向通信，这为实时应用程序提供了更高效和实时的通信方式。当前WAF支持WebSocket进行用户业务的转发，实现WebSocket通信。 若一个IP同时配置了白名单和黑名单，优先级是什么？ IP白名单的优先级高于黑名单，若同时配置了白名单和黑名单，则优先以白名单为准，详情请参见IP黑白名单。 WAF支持设置单条防护规则的防护状态吗？ 支持。 WAF原生版提供具体防护规则的防护开关。您可以根据业务需要选择开启或关闭规则的防护。 WAF支持针对地理位置配置禁止访问策略吗？ 支持。 地域访问控制支持针对地理位置的黑名单封禁，可指定需要封禁的国家、地区，阻断该区域的来源IP的访问。通过地域访问控制模块，可以满足针对地理位置的黑名单封禁。支持封禁的地域请参见地域访问控制。 注意 WAF云SaaS模式的基础版不支持地域访问控制功能，请升级到更高版本使用。

本文主要介绍云防火墙的功能特性。 为满足不同场景下的防护需求，云防火墙提供了“标准版”、“专业版”供您使用，包括访问控制、攻击防御、流量分析以及日志审计等功能。 总览 总览呈现云上资产的整体防护和安全策略配置情况，助您全面了解资产的安全状态。 功能名称 功能描述 标准版 专业版（包周期） 总览 实时展示云上资产的安全防护状态，帮助您全面了解攻击事件和异常流量等安全风险。 ✓ ✓ 资产管理 云防火墙提供对云上资产的安全防护，有效降低安全风险。 资源名称 功能描述 标准版 专业版（包周期） IPv4 支持对IPv4资产的防护 ✓ ✓ IPv6 支持对IPv6资产的防护 ✓ ✓ EIP 云防火墙通过对弹性公网IP（EIP）的防护实现互联网边界流量的防护。 ✓ ✓ VPC（私网IP） 云防火墙通过对虚拟私有云（VPC）的防护实现VPC和VPC之间、本地数据中心（IDC）和云上VPC之间流量的防护。 × ✓ 云上资产的防护规格： 功能名称 标准版 专业版（包周期） 防护的公网IP（EIP）数量 20个（可扩容，最大扩容至2000个） 50个（可扩容，最大扩容至2000个） 防护的VPC数量 × 2个（可扩容，最大扩容至100个） 互联网边界防护带宽 10Mbps（可扩容，最大扩容至5,000Mbps） 50Mbps（可扩容，最大扩容至5,000Mbps） VPC边界防护带宽 × 200Mbps（随VPC数量扩容）

功能解释 应用识别 全新一代基于应用特征、行为和关联信息的应用识别 支持应用类别、风险等级、应用技术等多维度的应用定义 支持多达几千种的应用特征库 应用特征库支持网络实时更新 监控统计 支持URL日志、NAT日志、会话日志、威胁日志等 支持实时流量统计和分析功能 支持安全事件统计功能 支持iQoS管道策略实际流量情况监控，支持子管道叠加情况监控 支持应用的多维度统计监控，包括应用风险、类别、特征、所用技术等 支持报表功能，报表可自定义 支持日志本地存储 支持设备、接口的流量统计将IPv6和IPv4分开统计呈现 用户认证 本地用户支持Web认证 支持外部服务器用户认证（RADIUS、LDAP、MS AD） 支持AD/LDAP用户/组织结构同步 支持MS AD用户组同步 支持Web认证后的SSO 支持导入本地用户名密码列表 访问控制与隔离 基于深度应用识别的访问控制 基于应用/角色/国家地理IP的安全策略 丰富的路由特性 强大的NAT及ALG 安全策略支持导入、导出 攻击防护 多种畸形报文攻击防护，SYN Flood、DNS Query Flood等多种DoS/DDoS攻击防护 支持ARP攻击防护 支持缓冲区溢出、SQL注入和跨站脚本攻击的检测和防护