匹配字段 适用的逻辑符 字段描述 请求参数值 包含、相等、正则匹配 请求的参数value，包括query和form，如/?p123中的123 请求参数名 包含、相等、正则匹配 请求的参数key，包括query和form，如/?p123中的p Cookie 包含、相等、正则匹配、统计次数、统计个数 请求的Cookie值 请求路径 包含、相等、正则匹配、统计次数、统计个数 请求的路径，不包含域名和参数，未解码 请求URI 包含、相等、正则匹配、统计次数、统计个数 请求的URI，带参数 请求头值 包含、相等、正则匹配 请求header的值 请求头名 包含、相等、正则匹配 请求header的名字 请求方法 包含、相等、正则匹配、统计次数、统计个数 请求方法 请求大小 大于等于、小于等于 请求的大小 请求Host 包含、相等、正则匹配、统计次数、统计个数 请求Host头的值 请求referer 头 包含、相等、正则匹配、统计次数、统计个数 请求referer头的值 请求UserAgent 包含、相等、正则匹配、统计次数、统计个数 请求UserAgent 请求体 包含、相等、正则匹配、统计次数 请求体 请求端口 相等、统计次数、统计个数 请求的端口 源IP 属于、不属于 请求来源IP

本节介绍N100管理类常见问题。 N100过期后无法配置？ N100授权过期后会锁定配置，需导入续订授权后重启恢复。如过期时间较长会影响业务正常访问。 建议：过期后还请尽快续订，如不续订，还请解绑弹性IP至业务主机，防止出现业务影响。 N100如何创建管理员用户？ 要创建管理员用户，请登录N100的Web管理页面，导航到系统设备管理选项，然后选择管理员管理。在此处，您可以新建管理员用户，分配唯一用户名和强密码，以及为其分配适当的角色和权限。 注意 创建管理员用户涉及系统权限，因此确保定期审计管理员用户，启用多因素身份验证，并使用最小权限原则来降低管理上的风险。 N100是否满足三权分离？ 三权分离用于确保权力不会集中在一个单一的实体或个人手中，以防止滥用权力、促进监督和平衡，从而维护公共机构的透明性和效力。在信息安全领域，三权分离原则通常应用于管理系统和数据的访问和操作，以保护网络安全和防止内部滥用权力。 N100提供内置的管理员、操作员和审计员权限，允许实现三权分离。您可以登录N100的Web管理页面，导航到系统设备管理选项，然后选择管理员管理并分配相应权限，以确保合适的角色和职责，但需要定期审计和管理用户权限，以最大程度地减少潜在的管理上风险。

本节介绍WAF对SQL注入、XSS等漏洞的检测原理。 WAF对SQL注入的检测原理？ SQL（Structured Query Language）注入攻击是一种常见的Web攻击方法，攻击者通过把SQL命令注入到数据库的查询字符串中，最终达到欺骗服务器执行恶意SQL命令的目的。例如，可以从数据库获取敏感信息，或者利用数据库的特性执行添加用户、导出文件等一系列恶意操作，甚至有可能获取数据库乃至系统用户最高权限。 WAF针对SQL注入攻击的检测原理是检测SQL关键字、特殊符号、运算符、操作符、注释符的相关组合特征，并进行匹配。 SQL关键字（如 union，Select，from，as，asc，desc，order by，sort，and ，or，load，delete，update，execute，count，top，between，declare，distinct，distinctrow，sleep，waitfor，delay，having，sysdate，when，dbauser，case，delay 等） 特殊符号（’”,; ()） 运算符（±/%） 操作符（，>, , 、’、”） 外部链接（href“http：//xxx/”，src"http：//xxx/attack.js"） 说明 如果业务需要上传富文本，可以用multipart方式上传，不用body方式上传，放在表单里，即使base64编码也会解码。分析业务场景，建议限制引号、尖括号输入。

本节介绍如何处理WAF误拦截了“非法请求”访问请求。 问题现象 防护网站接入WAF后，访问请求被WAF拦截，在“防护事件”页面查看防护日志，显示访问请求为“非法请求”且误报处理按钮置灰不能使用。 可能原因 当遇到以下情况时，WAF将判定该访问请求为非法请求并拦截该访问请求： POST/PUT使用“formdata”时，表单的参数个数多于8192个。 URI的参数个数多于2048个。 Header个数超过512个。 处理建议 当确认访问请求为正常请求时，请参见配置精准访问防护规则放行该访问请求。

本节介绍如何处理域名/IP接入状态显示“未接入”问题。 故障现象 添加防护域名或IP后，域名或IP接入WAF失败，即防护网站“域名接入进度”未显示“已接入”。 WAF每隔一小时就会自动检测防护网站的“接入状态”，当WAF统计防护网站在5分钟内达到20次访问请求时，将认定该防护网站已成功接入WAF。 排查思路和处理建议 防护网站的“部署模式”为“独享模式”时，请参考图进行排查处理。 独享模式接入WAF失败问题处理 可能原因 处理建议 原因一：域名 /IP “接入状态”未刷新 在防护网站“接入状态”栏，单击刷新按钮刷新状态。 原因二：访问流量未达到WAF统计要求 说明 防护网站接入WAF后，当WAF统计防护网站在5分钟内有20次请求时，将认定该防护网站已接入WAF。 1. 在1分钟内多次访问防护网站。 2. 在防护网站“接入状态”栏，单击刷新按钮刷新状态。 原因三：域名 /IP参数配置错误 检查域名/IP参数是否正确。 如果域名/IP配置错误，删除该域名/IP后重新添加防护网站。 原因四：没有为独享模式实例配置负载均衡，配置的负载均衡未绑定弹性公网IP 1. 为独享引擎实例配置负载均衡。 2. 为弹性负载均衡绑定弹性公网IP。 原因五：独享模式实例负载均衡配置错误或负载均衡绑定弹性公网IP错误 配置负载均衡后，当WAF独享引擎实例的“健康检查结果”为“正常”时，说明弹性负载均衡配置成功。 为弹性负载均衡绑定弹性公网IP后，可以查看绑定的弹性公网IP，说明绑定成功。

本节介绍通过业务Cookie和HWWAFSESID联合配置限制恶意抢购、下载等的最佳实践。 业务场景 场景一： 限制同一个账号切换IP、终端的恶意请求（抢购、下载等）。 防护措施：使用业务 Cookie（或者用户id）基于路径配置CC限速。 场景二： 限制恶意人员在同一个PC多个账号不停切换的恶意请求（抢购、下载等）。 防护措施：使用HWWAFSESID基于路径配置CC限速。 使用业务Cookie（或者用户id）基于路径配置CC限速 步骤 1 登录管理控制台，将您的网站成功接入到WAF。独享模式添加域名的方法：网站接入WAF。 步骤 2 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。 步骤 3 在“CC攻击防护”配置框中，确认“CC攻击防护”的“状态”为“开启”，单击“自定义CC攻击防护规则”，进入CC防护规则配置页面。 步骤 4 在“CC攻击防护”规则配置页面左上角，单击“添加规则”。 步骤 5 根据业务情况，使用业务Cookie（或者用户id）基于路径配置CC限速。根据实际情况配置参数。 步骤 6 单击“确认”，完成配置。 使用HWWAFSESID基于路径配置CC限速 步骤 1 登录管理控制台，将您的网站成功接入到WAF。独享模式添加域名的方法：网站接入WAF。 步骤 2 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。 步骤 3 在“CC攻击防护”配置框中，确认“CC攻击防护”的“状态”为“开启”，单击“自定义CC攻击防护规则”，进入CC防护规则配置页面。 步骤 4 在“CC攻击防护”规则配置页面左上角，单击“添加规则”。 步骤 5 根据业务情况，使用HWWAFSESID基于路径配置CC限速。 “用户标识”：选择“Cookie”，配置为“HWWAFSESID”。 其他参数根据业务实际情况进行配置。 步骤 6 单击“确认”，完成配置。

开源组件Fastjson拒绝服务漏洞，攻击者可以利用该漏洞，构造恶意请求发给使用了Fastjson的服务器，使其内存和CPU耗尽，最终崩溃，造成用户业务瘫痪。本章节介绍开源组件Fastjson拒绝服务漏洞的最佳实践。 漏洞简介 攻击者可以利用该漏洞，构造恶意请求发给使用了Fastjson的服务器，使其内存和CPU耗尽，最终崩溃，造成用户业务瘫痪。 影响的版本范围 漏洞影响的产品版本包括：Fastjson 1.2.60以下版本，不包括Fastjson 1.2.60版本。 安全版本 Fastjson 1.2.60版本。 官方解决方案 建议用户将开源组件Fastjson升级到1.2.60版本。 防护建议 WAF支持对该漏洞的检测和防护，步骤如下： 步骤 1 申请WAF独享引擎。 步骤 2 将网站域名添加到WAF中并完成域名接入，详细操作请参见网站接入WAF。 步骤 3 将Web基础防护的状态设置为“拦截”模式，详细操作请参见配置Web基础防护规则。

Oracle WebLogic wls9async反序列化远程命令执行漏洞（CNVDC201948814），Oracle WebLogic wls9async组件在反序列化处理输入信息时存在缺陷，攻击者可以发送精心构造的恶意HTTP请求获取目标服务器权限，在未授权的情况下远程执行命令，CNVD对该漏洞的综合评级为“高危”。本章节介绍该漏洞的最佳实践。 漏洞名称 Oracle WebLogic wls9async反序列化远程命令执行漏洞 漏洞编号 CNVDC201948814 漏洞描述 WebLogic wls9async组件存在缺陷，通过WebLogic Server构建的网站存在安全隐患。攻击者可以构造HTTP请求获取目标服务器的权限，在未授权的情况下远程执行命令。 影响范围 Oracle WebLogic Server 10.X Oracle WebLogic Server 12.1.3 官方解决方案 官方暂未发布针对此漏洞的修复补丁。 防护建议 通过WAF的精准访问防护功能，拦截利用该漏洞发起的远程命令执行攻击请求。精准访问防护规则的具体配置方法请参见配置精准访问防护规则。

本章节主要介绍WAF自定义策略。 如果系统预置的WAF权限，不满足您的授权要求，可以创建自定义策略。 目前云服务平台支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 WAF自定义策略样例 示例1：授权用户查询防护域名列表 "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "waf:instance:list" ] } ] 示例2：拒绝用户删除网页防篡改规则 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。 如果您给用户授予“WAF FullAccess”的系统策略，但不希望用户拥有“WAF FullAccess”中定义的删除网页防篡改规则的权限（waf:antiTamperRule:delete），您可以创建一条相同Action的自定义策略，并将自定义策略的Effect设置为“Deny”，然后同时将“WAF FullAccess”和拒绝策略授予用户，根据Deny优先原则用户可以对WAF执行除了删除网页防篡改规则的所有操作。以下策略样例表示：拒绝用户删除网页防篡改规则。 { { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "waf:instance:list" ] } ] } 多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "waf:antiTamperRule:delete" ] }, ] }

本文介绍如何删除WAF接入的域名。 域名还未完全接入WAF 如果要删除的防护域名没有完全接入WAF，可直接在域名列表删除防护域名。 域名已接入WAF进行防护 域名接入防护后，用户请求链路如下。如果要删除的防护域名已经接入WAF，请先到DNS服务商处，将该域名重新解析，指向源站服务器地址，然后再删除WAF上接入的域名，从而保证用户业务不中断，否则，如果直接删除WAF上接入的域名，将会导致用户业务不可用。

本文为您介绍如何将对WAF实例进行升级扩容。 开通了云WAF实例后，支持从较低版本的主套餐升级至任一更高版本，可支持根据实际使用需求购买资源扩展包。 系统影响 升级扩容时，原已启用的防护服务不会暂停，对已防护的网站业务无任何影响。 计费说明 计费场景 某用户于2024/04/30购买一套1个月的WAF云SaaS模式标准版，默认规格配置如下： 防护域名数：20个（含2个1级域名） 业务QPS峰值：3000QPS 使用一段时间后，用户发现当前规格无法满足业务需要，于2024/5/15进行升级，升级后规格配置如下： 防护域名数：30个（含3个1级域名），购买了1个域名扩展包 防护带宽：6000QPS，购买了3个业务扩展包 那么在4~5月份，共计花费了多少钱呢？5~6月份，预计会花费多少钱呢？ 计费构成 4~5月实际费用 WAF SaaS模式标准版本费用：3880元/月，实际费用为3880元。 域名扩展包费用：600元/月，因购买时间为5月15日，实际费用为15/30 600300元。 业务扩展费用：1000元/月3个，因购买时间为5月15日，实际费用为15/30 30001500元。 本月实际总计费用为：3880+300+15005680元。 5~6月预期费用 WAF SaaS模式标准版本费用：3880元/月，实际费用为3880元。 域名扩展包费用：600元/月，因购买时间为5月15日，实际费用为600元。 业务扩展费用：1000元/月3个，因购买时间为5月15日，实际费用为3000元。 本月实际总计费用为：3880+600+30007480元。 注意 因资源扩展包需要在主套餐的基础上进行购买，当主套餐停止使用后，资源扩展包也无法使用，故资源扩展包计费时间与主套餐计费时间保持一致。 示例中计算的价格为按月购买的价格，当按年购买时，实际价格以购买详情页具体的折扣价格为准。 因扩容、升配等业务具体购买价格与所购买规格的时长和使用时间有相关性，不同的购买时长和使用时长涉及不同的折扣，故以上示例不完全等同于实际计算价格，详细价格以购买页面显示价格为准。

本文为您介绍通过WAF实现源站容灾备份/主备切换。 在WAF接入域名时，针对权重回源、健康检查两项配置进行精细化配置，您可以完成WAF回源节点的灾备切换以保障业务的正常运行。 基本操作 在WAF配置多个源站服务器地址。 为每个源站设置不同的权重值。 WAF按照权重比例将请求分发到不同源站。 配置健康检查规则。 配置权重回源 1. 登录WAF控制台，参考添加防护对象步骤开启域名接入配置。 2. 在服务器配置模块进行配置回源地址。 说明 可以把主备权重配置成100 和0，这样100%的请求会到主，0%的请求到备（权重为0的回源节点默认不参与回源，但当所有健康回源节点中，仅剩权重为0的节点时，会默认回到配置第一个为0的节点）。当WAF主动健康检查到主节点无法访问，会自动把主节点剔除，然后所有请求切到备节点。从而实现灾备切换。 例如下图：主机地址为192.168.0.1，设置权重为100，备机地址为192.100.0.1，设置权重为0，如果当主动健康检查能力开启后，检查到主机地址无法访问，这样会根据规则会回源至备机地址。 配置健康检查 1. 登录WAF控制台，参考添加防护对象步骤开启域名接入配置。 2. 开启健康检查功能，设置检查间隔、响应超时时间、请求失败失效阈值、失效后恢复健康阈值。 说明 如下图所示配置的话，WAF每30秒检查一次源站的健康情况，当针对源站健康检查失败3次时，WAF会主动将失效的源站剔除回源列表，并将请求按照剩余站点权重比例/轮询转发至剩余健康站点，以此可以得到若较高权重源站出现响应超时，WAF会在（30s + 10s）× 3次 120秒后切换至权重较低且健康的源站。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 源站响应超时切换时间公式：（检查间隔 + 响应超时时间） × 请求失败失效阈值。 源站恢复切换时间公式：（检查间隔 + 响应超时时间） × 失效后恢复健康阈值。

本文指导您如何自定义网站响应页面。 当访问者触发WAF拦截时，系统默认会显示WAF内置的响应页面。 若您需要自定义响应页面的内容和样式，可以参照本文准备自定义页面的内容，然后提交工单联系技术支持进行配置。 前提条件 网站已接入WAF进行防护。 准备工作 您需要准备自定义页面的如下信息： 响应码：自定义页面的返回码。 页面类型：支持text/html、text/xml、application/json类型。 页面内容：根据页面类型准备对应的页面内容。 操作步骤 1. 进入提交工单页面。 2. 在工单页面填写已准备好的自定义页面内容，并提交工单。 3. 等待工单审核，工单审核通过后，技术支持会联系您确认并配置自定义响应页面。 4. 配置完成后，您可以参考以下步骤验证修改效果。 1. 配置Web基础防护规则，将处置动作配置为“拦截”。 2. 模拟攻击者访问防护网站，若攻击被拦截后的返回页面为自定义响应页面的内容，则表示配置成功。

本文介绍当证书链不完整，HTTPS中间证书配置错误时该如何处理。 中间证书是根证书颁发机构CA对中间证书颁发机构的公钥进行数字签名得到的证书。其作用是通过中间证书的私钥来签署最终用户的SSL证书，通过中间根对另一个中间根进行签名，然后CA使用它来对证书进行签名。主流浏览器如Firefox或者Chrome对未安装中间证书的网站可能会作出此链接不受信任的提示，或者安装了安全证书的网站，用手机访问时还是会出现不安全的提示，这些情况都很可能是中间证书链不完整导致的。在WAF控制台上传证书时在证书公钥（PEM格式）输入框输入域名证书拼接中间证书即可，具体拼接格式如下： BEGIN CERTIFICATE 域名证书 END CERTIFICATE BEGIN CERTIFICATE 中间证书 END CERTIFICATE

云主机放通互联网访问，首先设置应用控制策略。本小节介绍安全专区访问策略配置方法。 配置方法： 在【策略】→【访问控制】→【应用控制策略】→【策略汇总】→【新增】： 源 区域：选择“L3untrustA”。 地址：选择网络对象，勾选需要访问互联网的业务云主机对象。 目的 区域：选择“L3untrustA”。 地址：勾选网络对象，选择全部。 服务/应用：勾选服务，需访问的互联网服务端口可选择any全端口。

本节介绍应用托管快速入门。 关于如何订购应用托管，详见应用托管快速入门

本节介绍应用托管常见问题。 您在使用应用托管时，可根据以下问题分类匹配问题场景和解决方案。 分类 帮助文档 计费类 计费类 操作类 操作类

本文为您介绍科研助手最佳实践。 关于如何通过科研助手使用科研服务、快速生成应用、搭建知识库、进行图像生成等，请参考帮助中心>>科研助手>>最佳实践。

本节介绍科研助手的使用指南。 产品功能 功能介绍 相关链接 开发机 创建开发机 科研服务 科研服务 数据存储 数据存储

本文为您介绍训推服务最佳实践。 关于如何通过训推服务定制模型、部署服务、管理数据集等，请参考帮助中心>>训推服务>>最佳实践。

本文为您介绍应用托管最佳实践。 关于如何应用托管构建知识库、部署服务等，请参考帮助中心>>应用托管>>最佳实践。

本节介绍公共算力服务常见问题。 您在使用公共算力服务时，可根据以下问题分类匹配场景和解决方案。 分类 帮助文档 产品咨询类 产品咨询类常见问题 操作类 操作类常见问题

本节介绍公共算力服务快速入门。 关于如何订购公共算力服务，详见公共算力服务快速入门

本文为您介绍公共算力服务相关协议。 天翼云为您提供公共算力服务服务协议，请您点击查看。 天翼云为您提供公共算力服务服务等级协议，请您点击查看。

本节介绍训推服务的使用指南。 产品功能 功能介绍 相关链接 训练任务 训练任务 在线服务 在线服务 数据集 数据集 开发机 开发机

镜像类型 说明 公共镜像 常见的标准操作系统镜像，所有用户可见，包括操作系统以及预装的公共应用或服务。 私有镜像 包含操作系统、预装的公共应用以及用户的私有应用，仅用户个人可见。选择私有镜像创建物理机服务器，可以节省您重复配置物理机服务器的时间。（用户可以提工单，让运维后台协助您快速完成私有镜像的制作。） 共享镜像 由其他用户共享的私有镜像。

序号 节点主机名称 操作系统 虚机规格 1 p19c01 CentOS 7.964位 s7.2xlarge.2 2 p19c02 CentOS 7.964位 s7.2xlarge.2

物理机服务器兼容性列表（V6） 类型 CentOS Red Hat SUSE Ubuntu Oracle Linux :::::: 通用型规格s6/c6 physical.s6.xlarge physical.c6s.xlarge physical.c6s.3xlarge physical.c6sd.3xlarge CentOS 7.6/8.2 Red Hat 7.6 SUSE Linux Enterprise 15.SP2 Ubuntu 18.04.3 LTS Oracle Linux7.6 高性能计算型规格h6 physical.h6.large CentOS 7.6 本地存储型规格d6 physical.d6.xlarge CentOS 7.6 Red Hat 7.6 SUSE Linux Enterprise 15.SP2 Ubuntu 18.04.3 LTS Oracle Linux7.6 GPU加速型规格pi6 physical.pi6.3xlarge.6 CentOS 7.6

天翼云为您提供弹性负载服务协议。 弹性负载均衡服务协议生效，详情请参见这里。

天翼云为您提供弹性负载服务等级协议。 弹性负载均衡等级协议（SLA）生效。详情请参见这里。

返回DeepSeek专题导航。

返回DeepSeek专题导航。