服务器安全卫士（原生版）与Web应用防火墙（原生版）有什么区别？ 天翼云的服务器安全卫士（原生版）与Web应用防火墙（原生版）产品，帮助您全面从主机、业务站点等层面防御风险和威胁，提升系统安全指数，建议搭配使用。两个产品的差异见下表： 服务名称 防护对象 功能差异 服务器安全卫士（原生版） 提升服务器整体安全性。 资产管理 漏洞扫描 入侵检测 基线检测 弱口令检测 网页防篡改 Web应用防火墙（原生版） 保护业务站点的可用性、安全性。 Web基础防护 CC攻击防护 精准访问防护 服务器安全卫士（原生版）是否可以申请试用？ 服务器安全卫士（原生版）企业版、旗舰版目前暂不支持试用，基础版在您购买天翼云的服务器后，阅读并同意相关协议即可免费开通使用。 服务器安全卫士（原生版）企业版到期后不续费会对业务造成影响吗？ 不会，服务器安全卫士（原生版）企业版、旗舰版到期后会自动切换到基础版，部分高级功能无法使用，用户仍可使用基础版进行防护。 服务器安全卫士（原生版）企业版回归基础版后，是否需要重新安装Agent与配置主机防护信息？ 不需要，用户无需在控制台进行配置操作，仅对高级功能进行权限控制，同时Agent会自动切换成基础版，对用户无影响，可正常使用。

本小节介绍Web应用防火墙日志字段说明。 天翼云Web应用防火墙（Web Application Firewall，简称WAF）为用户提供详细的攻击日志列表，并支持查看日志详细信息。 查看日志详细信息 1. 登录Web应用防火墙控制台。 2. 在左侧导航栏，选择“WAF攻击日志”，进入攻击日志页面。 3. 单击操作列的“查看”，查看日志详情，包括基础信息和HTTP信息，如下图所示。日志中包含的专有字段说明请参见日志说明。 日志说明 基础信息 名称 说明 取值示例 域名 被攻击的域名 ctyun.com ID 攻击ID编号 攻击源IP 攻击源IP地址 告警等级 告警级别 低 攻击源端口 攻击源端口 16481 请求方式 HTTP请求方式 Get 攻击类型 攻击类型 预测资源位置攻击 匹配规则 攻击匹配的规则 Attack Signature Detected 请求URL 请求URL地址 攻击时间 攻击时间 处理方式 WAF对此攻击的处置方式 阻断 规则ID 攻击匹配的规则的ID 响应码 HTTP响应码 地区 攻击IP地址归属地区 国家 攻击IP地址归属国家 省份 攻击IP地址归属省份 地区 攻击IP地址归属地区 运营商 攻击IP地址归属运营商 Referer 攻击请求页面的来源页面的地址，即表示攻击是通过此来源页面里的链接进入的

本节介绍如何购买云安全中心实例。 云安全中心支持包年/包月计费方式，目前提供标准版的主资源，两种扩展资源：日志分析量、态势大屏。您可以根据业务规模选择云安全中心规格。 前提条件 已注册天翼云账号并完成实名认证。 规格限制 态势大屏只可购买一次。 日志分析量扩展资源的购买资源最小单位为50G，即购买时只能选择50G的整数倍。 约束条件 同一账号在同一个区域只能开通一个云安全中心实例，对应一个服务版本。 开通云安全中心实例，必须购买主资源，主资源生效期间，支持叠加购买扩展资源，扩展资源与主资源绑定，到期时间与主资源一致，不支持单独续订、退订。 适用场景 用户购买了天翼云上的安全服务“Web应用防火墙（原生版）、服务器安全卫士（原生版）、云等保专区、数据库审计、云堡垒机（原生版）企业版、云防火墙（原生版）”并部署在天翼云上。 操作步骤 1. 登录天翼云控制中心。 2. 在控制台列表页，选择“安全 > 云安全中心”，进入云安全中心控制台。 3. 单击“立即购买”，进入购买页面。 4. 选择版本信息、扩展资源、购买时长。 参数 说明 基本信息 版本选择 支持“标准版”。规格详情请参见产品规格。 基本信息 计费模式 支持“包年包月”。 扩展配置 购买态势大屏 默认为“现在购买”，也可以选择“暂不购买”。 说明 态势大屏只可购买一次。 扩展配置 购买日志分析量 默认为“现在购买”，也可以选择“暂不购买”。 说明 云安全中心标准版免费提供50G的日志分析额度，如果您需要额外的额度，请另外购买。 日志分析量扩展资源的购买资源最小单位为50G，即购买时只能选择50G的整数倍。 订购 购买时长 拖动时间轴设置购买时长。 订购 自动续订 开启“自动续订”后，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 按月购买，自动续费周期默认为3个月。 按年购买，自动续费周期默认为1年。 如需要修改自动续费周期，可进入天翼云“费用中心 > 订单管理 > 续订管理”页面，找到对应的资源进行修改。 5. 确认配置参数和配置费用，阅读《云安全中心服务协议》并勾选“我已阅读，理解并接受《云安全中心服务协议》”，单击“立即购买”。 6. 进入“付款”页面，完成付款。

本文将介绍爬虫情报规则，从背景信息、相关配置项、相关操作帮助您更好地理解爬虫情报规则。 功能介绍 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁，目前爬虫情报库已维护接近10万条数据 注意 目前控制台尚未开放爬虫情报规则功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通Web应用防火墙（边缘云版）扩展服务Bot管理，支持使用Bot防护策略，具体请见套餐和版本说明 背景信息 边缘云WAF安全团队基于天翼云积累的海量威胁情报库，并经过离线分析技术，收集国内外公开的、已知的恶意爬虫IP；另外，通过反向解析技术，收录了众多SE类别的爬虫信息，两者结合形成爬虫情报库，内置近10万条友好爬虫与已知恶意爬虫IP信息，目前仍持续更新中。 针对已知爬虫，边缘云WAF为爬虫情报进行标识与分类，例如搜索引擎类的爬虫，分为谷歌爬虫、360爬虫、百度爬虫等各类标识，您可以仅针对其中的某类搜索引擎标识进行加白的动作，则后续此类爬虫IP将不经过边缘云WAF的Bot防护策略。对于恶意爬虫，您也可以对其进行一键封禁的操作，边缘云WAF将会对其进行拦截，避免网站业务遭受已知恶意爬虫的攻击。

本节为您介绍Web应用防火墙（独享版）功能说明类常见问题。 Web应用防火墙是否能防护IP？ WAF可以对IP进行防护。在WAF中配置的源站IP支持私网IP或者内网IP。 有关域名接入WAF的流程说明，请参见网站接入WAF。 Web应用防火墙支持对哪些对象进行防护？ WAF支持对域名或IP进行防护。 Web应用防火墙支持哪些操作系统？ Web应用防火墙部署在云端，即与操作系统没有关系。故Web应用防火墙支持任意操作系统，任意操作系统上的域名服务器都可以接入WAF做防护。 Web应用防火墙提供的是几层防护？ Web应用防火墙提供的是七层（物理层、数据链路层、网络层、传输层、会话层、表示层和应用层）防护。 Web应用防火墙是否支持文件缓存？ WAF只缓存配置了网页防篡改的静态网页，用于将缓存的未被篡改的网页返回给Web访问者，以达到防篡改的目的。

本文介绍为什么在域名列表中查询不到已接入Web应用防火墙（边缘云版）防护的网站。 网站未备案或备案已过期，导致域名不符合接入规范，域名有可能被Web应用防火墙（边缘云版）自动清除。您需要为网站域名完成ICP备案后，重新将网站接入Web应用防火墙（边缘云版）防护。如果备案信息已经完整、准确，但仍然出现备案阻断的情况，或者发现您的域名被列入备案黑名单或被封禁。建议您及时联系工信部进行申诉，并配合相关部门进行处理，以尽快恢复域名的正常使用。 相关概念 根据《非经营性互联网信息服务备案管理办法（中华人民共和国信息产业部令第33号）》和《互联网信息服务管理办法（中华人民共和国国务院令第292号）》规定，国家对经营性互联网信息服务实行许可制度，对非经营性互联网信息服务实行备案制度。未获取许可或者未履行备案手续的，不得从事互联网信息服务，否则属于违法行为。 在中国大陆地区注册的域名需要在工信部备案，备案完成后才能正常访问。如果域名未备案或备案信息不完整，可能会出现备案阻断的情况，即无法在中国大陆地区正常访问该域名对应的网站。 更多相关法律法规请参阅工业和信息化部：ICP/IP地址/域名信息备案管理系统。

本文为您介绍WAF接入配置的最佳实践。 将网站域名接入Web应用防火墙（原生版），能够帮助您的网站防御OWASP常见Web攻击和恶意CC攻击流量等，避免网站遭到入侵导致数据泄露，全面保障您网站的安全性和可用性。您可以参考接入配置最佳实践，在各类场景中使用WAF更好地保护您的网站。 说明 域名接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。当前云WAF提供CNAME接入模式，可以防护通过域名访问的Web应用/网站，包括Web业务服务器部署在天翼云上、非天翼云或线下的域名。 网站接入WAF准备工作 在将网站业务接入WAF前，您需要完成以下准备工作： 所需接入的网站域名清单，包含网站的源站服务器IP、端口信息等。 所接入的网站域名必须已完成备案。 如果您的网站支持HTTPS协议访问，您需要准备相应的证书和私钥信息，一般包含扩展名为PEM/CRT/CER的证书文件、扩展名为PEM/KEY的私钥文件，文件内容均需为PEM编码格式。 具有网站DNS域名解析管理员的账号，用于修改DNS解析记录将网站流量切换至WAF。 推荐在将网站业务接入前，完成压力测试。 检查网站业务是否已有信任的访问客户端（例如，监控系统、通过内部固定IP或IP段调用的API接口、固定的程序客户端请求等）。在将业务接入后，需要将这些信任的客户端IP加入白名单。

本节介绍了云容器引擎的最佳实践:某量子云平台迁移项目。 项目概述 某量子云平台对外提供量子计算机实验/实操服务，其应用架构由他云迁移到天翼云，通过天翼云实现应用组件化和容器化，通过K8S统一部署和管理业务。 该平台包括官网、博客网站、web管理后台等系统。 容器支撑方案 迁移使用的容器架构图如下： 研发迭代更高效：使用crs镜像服务一键部署应用 便于扩容快弹性高：使用HPA弹缩pod 解决内外网互连互通：使用Nginx+Spring GateWay实现内外网流量隔离和路由转发 底层资源占用少：使用csi插件动态挂载sfs存储 助力运维更便捷：使用云日志插件采集容器日志 最终效果 2023年6月迁移至天翼云试运行，12月已付费容器并运营至今，现业务稳定运行。

本文为您介绍将网站域名接入Web应用防火墙（原生版）实例时，如何修改域名DNS解析。 在添加网站域名后，您必须使用WAF的CNAME地址（或IP地址）修改域名的DNS解析设置，将网站的Web请求解析到WAF进行安全防护。 前提条件 已通过CNAME接入模式手动添加网站域名。 可选：已在源站服务器上放行WAF回源IP地址。 可选：已通过本地验证确保转发配置生效。通过本地验证确保WAF的网站转发配置正常，防止因配置错误导致业务中断。 注意 如果在WAF网站转发配置未生效时修改域名DNS，可能导致业务中断。建议先通过本地验证，再修改域名DNS。 拥有在域名的DNS服务商处修改域名解析设置的权限。 获取WAF CNAME地址 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏选择“接入管理”，，默认进入“域名接入”页签。 5. 定位到已添加的防护对象，在操作列点击进入“详情”进入防护对象详情页。 6. 在“防护对象详情”页Web应用防火墙信息栏中，复制该域名对应的WAF CNAME地址。

天翼云微服务云应用平台服务等级协议（SLA），详情请参见这里。

天翼云微服务云应用平台服务等级协议（SLA），详情请参见这里。

本节介绍什么是Web应用防火墙以及其防护原理。 什么是Web应用防火墙 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 开通Web应用防火墙后，在WAF管理控制台将网站添加并接入WAF，即可启用Web应用防火墙。启用之后，您网站所有的公网流量都会先经过Web应用防火墙，恶意攻击流量在Web应用防火墙上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。 防护原理 申请WAF后，在WAF管理控制台将网站添加并接入WAF。网站成功接入WAF后，网站所有访问请求将先流转到WAF，WAF检测过滤恶意攻击流量后，将正常流量返回给源站，从而确保源站安全、稳定、可用。 网站接入WAF防护原理 流量经WAF返回源站的过程称为回源。WAF通过回源IP代替客户端发送请求到源站服务器，接入WAF后，在客户端看来，所有的目标IP都是WAF的IP，从而隐藏源站IP。 回源IP

本小节介绍Web应用防火墙产品简介。 Web应用防火墙（以下简称“WAF”），基于云安全大数据实现，对客户网站提供一整套的47层应用安全防护方案，核心能力包括各类Web应用安全防护、CC攻击防护、0day漏洞和未知威胁防护、BOT行为管理和业务安全可视化分析等，能有效阻拦网站系统被篡改、被挂马、漏洞攻击，恶意扫描等黑客行为，充分保障用户网站安全。

通过Web应用防火墙，轻松应对各种Web安全风险，本节介绍Web应用防火墙支持功能。 功能类别 功能说明 业务配置 域名（泛域名、一级域名、二级域名等各级域名）/IP防护 WAF支持的防护对象：域名或IP，云上或云下的Web业务。 业务配置 HTTP/HTTPS业务防护 WAF可以防护HTTP/HTTPS业务，通过对HTTP/HTTPS请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 业务配置 支持WebSocket/WebSockets协议 WAF支持WebSocket/WebSockets协议，且默认为开启状态。 业务配置 非标端口防护 Web应用防火墙除了可以防护标准的80，443端口外，还支持非标准端口的防护。 Web应用安全防护 Web基础防护 覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对恶意扫描器、IP、网马等威胁进行检测和拦截。 全面的攻击防护：支持SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、目录（路径）遍历、敏感文件访问、命令/代码注入、网页木马上传、后门隔离保护、非法HTTP协议请求、第三方漏洞攻击等威胁检测和拦截。 Webshell检测防护：通过上传接口植入网页木马。 识别精准： 内置语义分析+正则双引擎，黑白名单配置，误报率更低。 支持防逃逸，自动还原常见编码，识别变形攻击能力更强。默认支持的编码还原类型：urlencode、Unicode、xml、OCT（八进制）、HEX（十六进制）、html转义、base64、大小写混淆、javascript/shell/php等拼接混淆。 深度检测：深度反逃逸识别（支持同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等的防护）。 header全检测：支持对请求里header中所有字段进行攻击检测。 Web应用安全防护 CC攻击防护规则 可以自定义CC防护规则，限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，WAF会根据您配置的规则，精准识别CC攻击以及有效缓解CC攻击。 Web应用安全防护 精准访问防护规则 精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合，定制化防护策略，为您的网站带来更精准的防护。 Web应用安全防护 黑白名单规则 配置黑白名单规则，阻断、仅记录或放行指定IP的访问请求，即设置IP黑/白名单。 Web应用安全防护 地理位置访问控制规则 针对指定国家、地区的来源IP自定义访问控制。 Web应用安全防护 网页防篡改规则 当用户需要防护静态页面被篡改时，可配置网页防篡改规则。 Web应用安全防护 网站反爬虫规则 动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为。 Web应用安全防护 防敏感信息泄露规则 该规则可添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 Web应用安全防护 全局白名单规则 针对特定请求忽略某些攻击检测规则，用于处理误报事件。 Web应用安全防护 隐私屏蔽规则 隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。 高级设置 PCI DSS/PCI 3DS合规认证和TLS TLS支持TLS v1.0、TLS v1.1和TLS v1.2三个版本和七种加密套件，可以满足各种行业客户的安全需求。 WAF支持PCI DSS和PCI 3DS合规认证功能。 高级设置 连接保护 当502/504请求数量或读等待URL请求数量以及占比阈值达到您设置的值时，将触发WAF熔断功能开关，实现宕机保护和读等待URL请求保护。 高级设置 手动设置网站连接超时时间 浏览器到WAF引擎的连接超时时长默认是120秒，该值取决于浏览器的配置，该值在WAF界面不可以手动设置。 WAF到客户源站的连接超时时长默认为30秒，该值可以在WAF界面手动设置。 高级设置 配置攻击惩罚的流量标识 WAF根据配置的流量标识识别客户端IP、Session或User标记，以分别实现IP、Cookie或Params恶意请求的攻击惩罚功能。 高阶功能 内容安全检测服务 基于丰富的违规样例库和内容审核专家经验，通过机器审核加人工审核结合的方式，帮助您准确检测出Web网站和新媒体平台上的关于涉黄、涉赌、涉毒、暴恐、违禁等敏感违规内容，并提供文本内容纠错审校，助您降低内容违规风险。 防护事件管理 当Web应用防火墙拦截或者仅记录的攻击事件为误报时，用户可通过Web应用防火墙处理误报事件、查看事件详情。 用户可以通过Web应用防火墙服务下载5天内的全量防护事件数据 告警通知 用户可以通过Web应用防火墙服务对攻击日志进行通知设置。开启告警通知后，Web应用防火墙将仅记录和拦截的攻击日志通过用户设置的接收通知方式发送给用户。 安全可视化 提供简洁友好的控制界面，实时查看攻击信息和事件日志。 策略事件集中配置：在Web应用防火墙服务的控制台集中配置适用于多个防护域名的策略，快速下发，快速生效。 流量及事件统计信息：实时查看访问次数、安全事件的数量与类型、详细的日志信息 灵活性、可靠性 多区域多集群部署，支持负载均衡，可在线平滑扩容，没有单点故障，最大限度保护业务运行稳定。

Web防护支持的QPS上限是多少？ 边缘安全加速平台提供的Web防护基于边缘节点，并且结合智能调度，支持动态调整边缘节点，无缝扩展QPS 防护能力，可达亿级别规模。 并依托天翼云的云安全节点形成云安全网络，结合云端大数据分析平台，为用户提供应对 Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及 Web 业务安全防护问题，从而保障网站安全。区别于传统WAF需要在源站前端部署，Web应用防火墙把安全能力赋能在所有边缘节点。 利用分布式节点部署使计算能力更强，有效降低源站计算压力，提升了用户访问质量的同时保护了源站数据的安全。 CC防护支持的QPS上限是多少？ 边缘安全加速平台提供的CC防护能力不限制QPS上限。

本章节为您介绍如何配置PCI DSS/3DS合规。 安全传输层协议（Transport Layer Security，TLS）在两个通信应用程序之间提供保密性和数据完整性。HTTPS协议是由TLS+HTTP协议构建的可进行加密传输、身份认证的网络协议。当防护网站的接入模式为“域名接入” 且“服务器配置”的协议端口仅为“HTTPS”时，您可以通过WAF为网站设置最低TLS版本和加密套件（多种加密算法的集合），对于低于最低TLS版本的请求，将无法正常访问网站，以满足行业客户的安全需求。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 仅域名接入方式的防护对象支持配置PCI DSS/3DS合规。 仅协议端口为HTTPS的防护对象支持配置PCI DSS/3DS合规。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 进入到云WAF控制台，在左侧导航栏选择“接入管理”，默认进入“域名接入”页签。 5. 选择需要配置防护域名，单击“操作”列的“编辑”按钮，跳转至编辑页面。 6. 选择“合规认证”模块，根据业务需求开启PCI DSS、PCI 3DS认证。 7. 配置完成后，单击“保存设置”，则可开启PCD DSS/PCI 3DS认证。

Web应用防火墙可以拦截Web页面调用其他接口的请求数据吗？ 当Web页面调用其他接口的请求数据在WAF防护域名内时，该请求数据将经过WAF，WAF会检测并阻断该请求数据。 如果Web页面调用其他接口的请求数据不在WAF防护域名内，则该请求数据不经过WAF，WAF不会拦截该请求数据。 Web应用防火墙可以设置域名限制访问吗？ WAF不能直接通过域名限制访问。WAF支持配置黑白名单规则（即设置IP黑/白名单），阻断、仅记录或放行指定IP或IP段的访问请求。 您可以通过配置黑白名单规则，阻断、仅记录或放行域名对应的IP或IP段的访问请求。 Web应用防火墙有IPS入侵防御系统模块吗？ Web应用防火墙没有传统防火墙的IPS模块，不支持IPS入侵防御，仅支持对HTTP/HTTPS协议的入侵检测。 WAF会缓存网站数据吗？ WAF的网页防篡改功能，可以为用户提供应用层的防护，只对网站的静态网页进行缓存，当用户访问网站时返回给用户缓存的正常页面，并随机检测网页是否被篡改。 独享版WAF是否支持跨VPC防护？ WAF独享引擎不支持跨VPC防护的场景。如果WAF独享引擎实例与源站不在同一个VPC中，建议您重新申请与源站在同一VPC下的WAF独享引擎实例进行防护。 Web应用防火墙是硬防火墙还是软防火墙？ Web应用防火墙是软防火墙。 有关域名接入WAF的详细操作，请参见接入WAF。

本文为您介绍Web应用防火墙（原生版）的产品优势。 WAF对网站业务流量进行多维度检测和防护，产品优势如下： 先进的检测技术 基于专家经验的三大引擎（安全模型检测引擎+智能语义检测引擎+机器学习检测引擎），结合设备指纹、无感验证码、动态人机挑战、动态环境验证、随机化混淆策略、AI驱动的实时决策等关键技术，支持多种常见编码自动还原能力，提供深度攻击防逃逸功能，构建完整的动态防御闭环，有效检测 SQL 注入、XSS 等基于形式语言的攻击类型，有效应对自动化工具、0day漏洞攻击等高风险威胁。打造专业的Web安全防护能力。 多样化环境的防护场景覆盖 基于“中心化管理，去中心化部署”的理念，支持云、管、端混合部署，支持对天翼云、异云、云下多样化环境全场景覆盖，满足用户“云边协同”的一体化防护要求。 灵活的可运营能力 具备事前自定义安全监测、事中安全动态防护封禁、事后上下文溯源分析全面面向攻防实战的产品能力。 高质量的规则集：持续优化的高质量攻击检测规则集，兼顾性能与效果且配置简单，对OWASP常见攻击类型进行了良好覆盖。 精细化的策略配置：支持自定义防护规则，基于会话特征灵活配置攻击识别、对抗策略，精准拦截，降低误报。

本章节介绍了源站服务器部署在天翼云弹性云服务器（以下简称ECS）或天翼云弹性负载均衡（以下简称ELB）时，如何判断源站存在泄漏风险，以及如何配置访问控制策略保护源站安全。 网站已接入Web应用防火墙（Web Application Firewall，简称WAF）进行安全防护后，您可以通过设置源站服务器的访问控制策略，只放行WAF回源IP段，防止黑客获取您的源站IP后绕过WAF直接攻击源站。 说明 网站已接入WAF进行安全防护后，无论您是否配置源站保护，都不影响正常业务的转发。没有配置源站保护可能导致攻击者在源站IP暴露的情况下，绕过WAF直接攻击您的源站。 如果在ECS前使用了NAT网关做转发，也需要设置ECS入方向规则在ECS的安全组配置只允许放行WAF的回源IP地址段，保护源站安全。 操作须知 在配置源站保护前，请确保该ECS或ELB实例上的所有网站域名都已经接入WAF，保证网站能正常访问。 配置安全组存在一定风险，避免出现以下问题： 您的网站设置了Bypass回源，但未取消安全组和网络ACL等配置，这种情况下，可能会导致源站无法从公网访问。 当WAF有新增的回源网段时，如果源站已配置安全组防护，可能会导致频繁出现5xx错误。 如何判断源站存在泄露风险 您可以在非天翼云环境直接使用Telnet工具连接源站公网IP地址的业务端口（或者直接在浏览器中输入访问Web应用的IP），查看是否建立连接成功。 如果可以连通：表示源站存在泄露风险，一旦黑客获取到源站公网IP就可以绕过WAF直接访问。 如果无法连通：表示当前不存在源站泄露风险。

本文为您介绍如何快速配置CC防护策略。 网站域名接入云WAF后，您可以选择开启CC防护功能，为网站拦截针对页面请求的CC攻击。您也可以根据实际需求自定义CC安全防护的防护策略。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持CC防护，请升级到更高版本使用。 CC防护模式配置 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“CC防护”区域，可以选择开启/关闭防护状态；同时可以直接选择防护模式。 配置项说明如下： 配置项 说明 状态 开启或关闭CC安全防护功能。 防护模式 要应用的防护模式。可选值： 常规：只针对特别异常的请求进行拦截，误杀较少。建议您在网站无明显流量异常时应用此模式，避免误杀。 紧急：高效拦截CC攻击，可能造成较多误杀。当您发现有防护模式无法拦截的CC攻击，并出现网站响应缓慢，流量、CPU、内存等指标异常时，可以应用此模式。 自定义：自定义CC防护可以通过精确匹配条件过滤访问请求，基于用户访问源IP或者SESSION频率定义访问频率限制条件，对于超过频率限制的访问进行拦截。 策略配置方法，请参见设置[自定义CC防护策略](

本文为您介绍CC防护功能说明，以及如何配置系统默认、自定义防护策略。 网站域名接入云WAF后，您可以选择开启CC防护功能，为网站拦截针对页面请求的CC攻击。您也可以根据实际需求自定义CC安全防护的防护策略。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持CC防护，请升级到更高版本使用。 配置CC防护模式 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“CC防护”模块，可以选择开启/关闭防护状态；同时可以直接选择防护模式，配置信息如下。 配置项 说明 状态 开启或关闭CC安全防护功能。 防护模式 要应用的防护模式。可选值： 常规：只针对特别异常的请求进行拦截，误杀较少。建议您在网站无明显流量异常时应用此模式，避免误杀。 紧急：高效拦截CC攻击，可能造成较多误杀。当您发现有防护模式无法拦截的CC攻击，并出现网站响应缓慢，流量、CPU、内存等指标异常时，可以应用此模式。 自定义：自定义CC防护可以通过精确匹配条件过滤访问请求的基础上，基于用户访问源IP或者SESSION频率定义访问频率限制条件，对于超过频率限制的访问进行拦截。 策略配置方法，请参见下文[配置自定义CC防护策略](

本节介绍Web应用防火墙（原生版）计费类常见问题。 同一个账号是否可以购买多个WAF原生版实例？ WAF原生版实例到期后，还能防护域名吗？ WAF可以降低版本和规格吗？ WAF是否支持自动续订？ WAF是如何计算并限制域名个数的？ 若当前版本包含的域名个数不够用时，如何处理？ 续费时是否可同时变更WAF版本或规格？ 资源扩展包购买上限是什么？ WAF是否支持按需计费？ WAF有促销折扣吗？ 基础版是否支持购买资源扩展包？ 在使用期间购买了资源扩展包，资源到期时间是何时？ 购买的资源扩展包，支持单独退订吗？ 退订重购后，原实例的配置数据可以保留吗？ 如何选择业务扩展包？ 不同版本的WAF规格差异是什么？ 同一个账号是否可以购买多个WAF原生版实例？ 天翼云WAF云SaaS型实例是全球级服务，从产品防护原理上来说，一个WAF实例就可以防护所有区域的Web业务。 购买WAF云SaaS型实例后，如果Web业务防护需求因业务发展超出所购买实例的性能上线，您可以在业务需要的时候，按需升级版本或购买资源扩展包对实例的防护性能进行扩展，从而满足业务发展的需求。

自2021年11月11日起，新版天翼云微服务云应用平台服务协议生效。详情请参见这里。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的IP情报规则功能。 功能介绍 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据。 注意 目前控制台尚未开放IP情报规则功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通Web应用防火墙（边缘云版）扩展服务Bot管理，支持使用Bot防护策略，具体请见套餐和版本说明 背景信息 目前天翼云WAF通过大数据分析技术，并基于内置的评分机制对历史攻击数据进行威胁评定，生成IP信誉库，其中恶意IP包含了漏洞利用、扫描机、傀儡机、垃圾邮件、可疑、失陷主机、暴力破解、代理、远控、僵尸网络、劫持、钓鱼、恶意软件13种威胁类型，统计IP数量接近120万。 设置IP情报规则 支持通过威胁类型维度针对恶意IP进行监控或拦截的操作，支持配置多条防护规则 配置项 说明 开关 控制规则为开启/关闭状态 处理动作 支持配置拦截或监控 拦截：对IP访问请求进行拦截处理； 监控：不对请求拦截，但是会生成攻击日志 规则名称 支持设置规则名称 防护范围 将通过选择IP可信度、严重级别、威胁类型来配置IP情报防护规则，对同时满足三个配置的IP处理 可信度：即情报的可信度，针对已收录的IP情报，边缘云WAF安全团队将基于内置评分机制进一步验证，根据验证结果评定可信程度为高中低； 严重级别：恶意IP的严重级别，有严重、高、中、低； 威胁类型：漏洞利用、扫描机、傀儡机、垃圾邮件、可疑、失陷主机、暴力破解、代理、远控、僵尸网络、劫持、钓鱼、恶意软件，支持多选

本文介绍如何通过Web应用防火墙（边缘云版）对HTTPS业务进行防护。 Web应用防火墙（边缘云版）所有套餐版本均支持防护HTTPS业务，详情可参考套餐和版本说明。 如您有防护HTTPS业务的需求，需要您在Web应用防火墙（边缘云版）控制台上传对应的证书，并在域名配置页面里面开启HTTPS并关联相关证书，详细操作步骤如下： 1、上传HTTPS证书 （1）在WAF控制台里面选择证书管理，并点击添加证书。 （2）在弹出的页面里面将证书的公钥私钥字符粘贴进相应的文本框，并设置证书备注名。 2、在新建域名配置的时候关联证书 （1）点击域名管理域名列表，在左上角点击 新增域名。 （2）新增域名配置的时候，勾选上HTTPS协议，并在下方关联域名证书。

天翼云支持基于SAML 2.0的SSO(Single Sign On,单点登录),本文为您介绍企业如何运用身份提供商能力,实现企业内部账号单点登录到天翼云的联邦身份认证流程。 基本概念 概念 说明 身份提供商（Identity Provider，IdP） 存储企业内部用户数据，能够提供身份管理能力的服务。在企业完成与天翼云的联邦身份认证流程中，身份提供商指企业内部用户管理身份系统。常见的企业IdP有Microsoft Active Directory Federation Service （AD FS）、Shibboleth等。 服务提供商（Service Provider，SP） 服务提供商指在建立与身份提供商的互信关系后，使用身份提供商的用户数据，为用户提供具体服务的实体。在企业完成与天翼云的联邦身份认证流程中，服务提供商指天翼云。 SAML 2.0 SAML即安全断言标记语言，英文全称是Security Assertion Markup Language。它是一个基于XML的标准，用于在不同的安全域之间交换认证和授权数据，例如IdP和SP之间，SAML 2.0是目前实现企业SSO的一套开放标准。 SSO方式 天翼云目前提供用户SSO方式，支持浏览器页面单点登录。（Web SSO） 用户SSO 天翼云通过IdP传输的SAML断言确定企业用户与天翼云用户的对应关系，以实现企业IdP用户登录天翼云后，自动匹配为一个有效的天翼云用户，并拥有该天翼云用户所拥有的权限。 注意 一个账户下，只能创建一个用户SSO的身份提供商。

此小节介绍Web应用防火墙的应用场景，覆盖企业所需的典型防护场景。 常规防护 帮助用户防护常见的Web安全问题，比如命令注入、敏感文件访问等高危攻击。 电商抢购秒杀防护 当业务举办定时抢购秒杀活动时，业务接口可能在短时间承担大量的恶意请求。Web应用防火墙可以灵活设置CC攻击防护的限速策略，能够保证业务服务不会因大量的并发访问而崩溃，同时尽可能地给正常用户提供业务服务。 0Day漏洞爆发防范 当第三方Web框架、插件爆出高危漏洞，业务无法快速升级修复，Web应用防火墙确认后会第一时间升级预置防护规则，保障业务安全稳定。WAF相当于第三方网络架构加了一层保护膜，和直接修复第三方架构的漏洞相比，WAF创建的规则能更快的遏制住风险。 防数据泄露 恶意访问者通过SQL注入，网页木马等攻击手段，入侵网站数据库，窃取业务数据或其他敏感信息。用户可通过Web应用防火墙配置防数据泄露规则，以实现： 精准识别 采用语义分析+正则表达式双引擎，对流量进行多维度精确检测，精准识别攻击流量。 变形攻击检测 支持7种编码还原，可识别更多变形攻击，降低Web应用防火墙被绕过的风险。

本文为您介绍如何管理防护事件，以及防护事件日志中包含的字段含义。 云WAF将攻击防护的事件详情记录在事件报表中，用户可在事件列表中查看攻击时间、攻击IP、攻击类型、攻击URL、地理位置、处置动作、命中规则ID、攻击详情等。具体功能如下： 支持查看所选时间范围内的防护事件，查询时间支持选择昨天、今天、近3天、近7天、近30天或自定义时间。 提供防护事件多级查询，筛选条件包括域名、攻击类型、攻击IP、防护模块、处置动作、规则ID、请求UUID等。 支持将列表数据下载到本地。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入并正常防护。 查询防护事件 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护事件 > 查询防护事件”，进入防护事件页面。 5. 在防护事件列表上方，可以设置筛选条件，支持设置多项匹配条件。 查询条件字段参数说明： 参数名称 参数说明 防护对象 选择想要查看的防护对象，支持选择各防护模式下的所有防护对象或某个防护对象。 时间选择 可查看“昨天”、“今天”、“近3天”、“近7天”、“近30天”或者自定义时间范围内的防护日志。 攻击类型 发生的攻击类型。默认为全部攻击类型，也可以根据需要，选择攻击类型查看攻击日志信息。 攻击IP Web访问者的公网IP地址，默认为全部，也可以根据需要输入攻击者IP地址查看攻击日志信息。 防护模块 按防护模块进行筛选。 处置动作 防护配置中设置的防护动作，包含：观察、拦截、放行、验证码、JS验证、重定向、重置连接、全部脱敏、动态拦截、限速。 规则ID 攻击触发的防护规则ID。 UUID关键字 请求对应的唯一标识。 6. 筛选条件设置完成后，点击“查询”，筛选后的结果将在列表中展示，可通过右侧的“事件列表显示设置”按钮对攻击事件的字段进行自定义展示。 说明 CC攻击事件页签分别展示CC攻击事件数 和CC攻击次数，例如：页签显示CC攻击事件（1/3），实际含义为出现总计1次CC攻击事件数，一共有3次CC攻击。 事件显示字段支持自定义设置和重新排序，同时可以控制是否在新标签页中查看攻击事件详情。

本文介绍了Web应用防火墙（边缘云版）控制台如何启用域名。 使用场景 如果您需要启用针对某个域名的防护，您可以在控制台进行启用操作。域名启用后，请求流量将会解析到边缘节点进行攻击防御，并进行相关费用统计。 前提条件 域名状态为“已停止”。 使用说明 1.登录Web应用防火墙（边缘云版）控制台。 2.进入管理域名接入域名管理页面。 3.选择需要启用的域名，在操作栏点击【启用】按钮后，会进行弹窗提示，再次确认后，域名会进入启用流程，域名状态变成“配置中”。 4.进入后台自动化配置流程（正常情况15分钟以内），流程结束后会自动变成“已启用”状态。若“配置中”状态持续时间过长，可创建工单获取支持。

支持安全设备型号 设备子类 设备型号 防火墙 迪普防火墙、东软NetEye防火墙、H3C防火墙、Fortigatet防火墙、hillstone防火墙、Checkpoint防火墙等 IDS&IPS&IDP 启明星辰天阗IDS、安氏领信IDS、绿盟冰之眼IDS、SnortIDS、juniperIDP、启明IDS、华为IDS、网神IDS等 异常流量分析 Arbor异常流量分析系统、NTGGenie流量分析系统或攻击溯源、绿盟异常流量分析系统NTA等 数据库审计 imperva数据库审计系统、网御数据库审计系统、中安新云数据库审计、天融信数据加密系统、安华金和数据库审计系统等 企业网关 NeTrust企业网关、启明星辰天清汉马UTM、联想网御UTM等 异常流量清洗 迪普DDOS、绿盟黑洞DDOS网关等 VPN NeTrustSSLVPN、Array VPN系统、Juniper SSL VPN、F5 SSL VPN、天融信VPN等 网页防篡改系统 中创InforGuard、安恒网页防篡改 网络安全操作审计系统 UMAP堡垒机、福富4A、启明星辰网络安全审计系统等 安全扫描系统 安恒应用系统漏洞扫描、安恒应用系统数据库漏洞扫描、安恒操作系统漏洞扫描等 一次性口令审计 联创亚信一次性口令、上海众人一次性口令 其他安全设备 logdbftp、logdbdb 上网行为管理 深信服有线上网行为管理设备、黑盾无线上网行为管理设备、云讯通综合网管平台、5GSA核心网系统 深度威胁发现设备 亚信深度威胁设备TDA、360天眼、启明APT威胁检测、启明CS检测探针等 虚拟化安全设备 亚信虚拟化安全设备、朗维dlp、优炫dlp等 防病毒 网神防毒墙、瑞星、卡巴斯基反病毒、亚信防病毒、赛门铁克防病毒、趋势防病毒等 网闸 国保金泰网闸、网御星云网闸、天行网安网闸、南瑞网闸、天融信网闸等 终端安全 360、瑞星、金山、北信源、冠群金辰、Symantec等 AntiDDoS 绿盟DDoS、金盾DDoS、启明星辰DDoS、天融信DDoS、华为DDoS、H3CDDoS、网神DDoS等 网络运维审计系统 启明星辰、齐治、谐润、福富4A等 WAF 绿盟WAF、安信华WAF、知道创宇WAF、黑盾web应用防火墙等 蜜罐 魅影蜜罐、君立华域蜜罐、谛听蜜罐等 僵木蠕 恒安嘉兴僵木蠕

本节介绍如何手动续订WAF云SaaS型实例。 购买WAF云SaaS型实例后，在实例到期被删除前，您可以随时在WAF控制台为实例续费。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 查看产品信息”，选择“云SAAS型”页签。 5. 单击“续订”，进入续订页面。 6. 在“续订”操作界面，根据使用需要调整续订周期。 7. 续订周期设置完成后，在页面下方确认支付费用，阅读《天翼云Web应用防火墙（原生版）服务协议》，并勾选“我已阅读，理解并接受《天翼云Web应用防火墙（原生版）服务协议》“，单击“立即购买”。

本文为您介绍接入域名至Web应用防火墙（原生版）实例时，如何进行本地验证。 已在Web应用防火墙（WAF）中添加域名，但还未修改域名的DNS解析（将网站域名解析到WAF）时，建议您通过修改本地计算机的DNS解析，在本地计算机上验证WAF的域名接入设置正确有效。本文以Windows操作系统为例，介绍了在本地计算机验证域名接入设置的操作步骤。 前提条件 已通过CNAME接入模式手动添加网站域名。 背景信息 通过修改本地计算机的hosts文件，可以设置本地计算机的域名寻址映射，即仅对本地计算机生效的DNS解析记录。本地验证需要您在本地计算机上将网站域名的解析指向WAF的IP地址。这样就可以通过本地计算机访问被防护的域名，验证WAF中添加的域名接入设置是否正确有效，避免域名接入配置异常导致网站访问异常。 获取WAF IP 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏选择“接入管理”，默认进入“域名接入”页签。 5. 定位到已添加的防护对象，在操作列点击进入“详情”进入防护对象详情页。 6. 在“防护对象详情”页中，复制该域名对应的WAF CNAME地址。 7. 在Windows操作系统中，打开cmd命令行工具。 8. 执行命令：ping 。 9. 在ping命令的返回结果中，记录域名对应的WAF IP地址。