天翼云应用服务网格服务协议参见这里。

网络权限配置 网络隔离配置 借助虚拟私有云（VPC）构建隔离的虚拟网络环境，VPC 内可创建子网划分网段，不同 VPC 默认无法内网互通，实现网络层面的基础隔离。同时，可通过安全组、网络 ACL 等措施，进一步限制子网与云主机的出入流量，实现业务间的安全隔离。 搭建安全网络环境 在 VPC 规划上，可按业务单元或安全等级划分 VPC，规划共享服务 VPC 集中部署公共服务。合理设计 CIDR，预留地址空间，通过对等连接等方式实现必要的跨 VPC 互联。在互联网访问方面，部署 NAT 网关作为私有子网访问外网的出口，对需要公网服务的子网配置相应规则。同时，跨可用区部署关键服务与负载均衡，提升网络可用性与安全性。此外，通过安全组与网络 ACL 配置精细的访问控制规则，限制跨 VPC 访问与公网访问范围，保障网络环境安全。 应用防护安全 应用的网络流量攻击防护 使用基础DDoS防御与DDoS高防，天翼云为云主机提供免费 DDoS 基础防护能力，依托资源池网络，在公网 IP 遭受 DDoS 攻击时，能提供一定防护阈值，在阈值内保障 IP 可用。当攻击超出阈值时，为保护资源池整体稳定，IP 会进入封禁状态。若基础防护无法满足需求，用户可选择 DDoS 高防等更高级别防护产品。 应用的漏洞攻击防护 使用Web应用防火墙（原生版）为用户Web应用提供一站式安全防护，对Web业务流量进行智能全方位检测，有效识别恶意请求特征并防御，避免源站服务器被恶意入侵，保护网站核心业务安全和数据安全。

本文主要为您介绍如何开启隐私屏蔽功能，以及如何配置隐私屏蔽防护规则。 网站域名接入Web应用防火墙后，您可以选择开启隐私屏蔽功能。通过配置隐私屏蔽规则，可以避免用户的密码等隐私信息出现在事件日志中。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持隐私屏蔽功能，请升级到更高版本使用。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 选择“系统配置”页签，定位到“隐私屏蔽”模块，可以选择开启/关闭防护。 7. 单击防护规则右侧的“前去配置”，进入隐私屏蔽规则页面。 8. 单击“新建防护规则”，在弹出的对话框中，配置隐私屏蔽规则。 参数说明如下： 配置项 说明 域名 此处不可修改。可返回防护规则页面，在页面右上角进行域名切换。 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 网页地址 输入网站静态页面路径。 路径格式为：协议名://域名或IP地址[:端口号]/[路径名/…/文件名]。 例如“ 路径不支持通配符或参数，支持输入端口。 字段范围 设置屏蔽的字段。 Cookie：根据Cookie区分的Web访问者。 Header：自定义HTTP首部。 Body：请求体参数。 URI：URI参数。 屏蔽关键词 根据字段范围设置屏蔽关键词，被屏蔽的关键词将不会出现在日志中。 默认已勾选银行卡、手机、身份证等关键词，也可以单击“自定义屏蔽关键词正则表达式”手动输入正则表达式，根据正则表达式对匹配的数据进行隐私屏蔽。 规则描述 可选项。设置规则的描述信息。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本小节介绍Web应用防火墙自定义防护规则最佳实践。 网站接入云WAF防护后，您可以为其开启自定义防护策略功能，据HTTP请求头与请求内容匹配字段设置过滤条件并组合进行访问控制。 通过自定义防护规则，您可以通过对网站专有字段的识别，高精度地鉴别业务流量和攻击流量，进行精准防护。您也可以在发现0day漏洞或发生重点安全事件时依据攻击流量特征进行精准拦截，保护您的网站安全。 前提条件 已添加了防护域名并已完成了域名接入。 WAF防护已开启。 操作步骤 1. 登录Web应用防火墙控制台。 2. 在左侧导航栏，选择“WAF防护配置”。 3. 在WAF防护配置列表的操作列，单击“自定义防护配置”。 4. 在自定义防护配置界面，选择“自定义防护配置”页签。 5. 单击“新增规则”，进入新增自定义防护配置页面。

本小节介绍如何购买第三方证书部署服务。 操作场景 已上传的第三方证书支持一键部署到天翼云上弹性负载均衡 、Web应用防火墙（原生版） 、CDN加速相关产品，提升业务便捷性。 操作步骤 1. 登录证书管理服务控制台。 2. 单击“购买证书”，进入到证书管理服务产品购买页面。 3. 服务类型选择“第三方证书部署服务”。 4. 选择第三方证书部署服务的购买数量，单次最多可购买200个。 5. 阅读并同意天翼云证书管理服务的服务协议和服务等级协议后，单击“立即购买”下单。 6. 单击“提交订单”，在弹出的“订单详情”页确认订单信息。 7. 单击“立即支付”，完成第三方证书部署服务的购买。

本节介绍Web应用防火墙（独享版）的扩容方式。 独享模式规格： WI100：最高支持100M带宽。 WI500：最高支持500M带宽。 Web应用防火墙（独享版）不支持扩容，若您想从WI100升级至WI500，还请退订后重新订购。

本小节介绍Web应用防火墙术语解释。 域名解析 域名解析（Domain Name Resolution）指互联网上服务器相互间通过IP地址来建立通信，但是为了方便记忆，采用域名代替IP地址标识站点地址，让人们通过注册的域名可以方便地访问到业务的一种服务。域名解析就是域名到IP地址的转换过程。 常用域名解析类型： A记录：用来指定域名的IPv4地址。 AAAA记录：用来指定域名的IPv6地址。 CNAM记录：将域名指向另一个域名，再由另一个域名来提供IP地址。最常用CNAME的场景包括使用CDN、云WAF、企业邮箱与高防DDoS等。 MX记录：用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。 TXT记录：用于对域名进行标识和说明，进行SPF反垃圾邮件。 Web应用 Web应用（Web Application）指通过浏览器即可访问的应用程序。 源站 源站（Source Application Server）指实际业务所处的站点，通常也代指源站公网IP及后端到达真实应用服务器间的整个网络拓扑环境。 回源IP 回源IP（Return Source IP Address）指开启云WAF防护后，云WAF用来与源站服务器建立网络连接的公网IP地址。 CC攻击 CC攻击（Challenge Collapsar Attack）指攻击者借助自动化工具脚本模拟多个用户持续向网站发送大量合法请求，造成服务器资源耗尽直至业务不可用。 SSL 证书 SSL 证书（Secure Sockets Layer）及其继任者 TLS（Transport Layer Security）是网络通信的一种安全协议，具有服务器身份验证和数据传输加密功能，为互联网间的数据传输提供安全性与完整性保障。SSL证书遵循SSL协议，可安装在服务器上，实现数据传输加密。

本节介绍如何手动续订WAF独享型实例。 购买独享型实例后，在实例到期被删除前，您可以随时在WAF控制台进行续费。 操作步骤 1. 登录Web应用防火墙（原生版）控制台。 2. 在左侧导航栏，选择“系统管理 > 查看产品信息”，选择“独享型”页签。 3. 单击目标实例操作列的“查看产品详情”。 4. 单击“续订”，进入续订页面。 5. 在“续订”操作界面，根据使用需要调整续订周期。 续订“二类节点”区域的独享版实例时，实例绑定的云主机默认需要一起续订。 6. 续订时长设置完成后，在页面下方确认支付费用，阅读《天翼云Web应用防火墙（原生版）服务协议》，并勾选“我已阅读，理解并接受《天翼云Web应用防火墙（原生版）服务协议》“，单击“立即购买”。

本文通过图文说明新增证书的操作步骤。 功能介绍 Web应用防火墙（边缘云版）基于边缘云底座，HTTPS为边缘云网络内容传输提供了更好的保障，客户端在极速访问内容的同时，可以更安全有效地浏览网站内容。本文主要指导客户如何新增证书。 配置说明 新增证书时，客户需要填写证书备注名、证书公钥以及证书私钥。其中公钥和私钥支持PEM格式。具体操作步骤如下： 1. 登录Web应用防火墙（边缘云版）控制台。 2. 在【证书管理】页面，找到右上角的添加证书按键。 3. 单击【添加证书】。 4. 输入证书备注名、证书公钥和证书私钥。 您需要提前准备好域名的证书文件和私钥文件。 需要准备的证书相关内容如下（上传时请确保证书有完整的证书链）： .crt（公钥文件）或.pem（证书文件） .key（私钥文件） 备注： 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便在域名配置关联证书选择时，选定正确的证书与域名进行关联。 注意事项 请确保上传的证书还在有效期范围内。 目前只支持PEM格式，如果是其他格式，请自行转换为正确格式。

本文将介绍如何使用边缘安全加速平台安全与加速服务的漏洞扫描功能。 功能介绍 通过天翼云监测系统平台，在无需用户采购任何Web应用扫描产品前提下，即可获得网站的漏洞态势，以及每个漏洞的详情介绍和修补建议，方便及时作出处置。 支持远程扫描Web漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞，全面覆盖OWASP Top 10 Web应用风险。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 开通套餐为免费版及以上版本。 说明 默认脱敏显示您的联系方式等敏感信息，点击明文显示时，请您注意保护数据安全！ 新增漏洞扫描任务 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【网站风险监测】菜单，并在左侧域名列表选择您要扫描的域名。 3. 支持两种配置扫描任务方式。 4. 如果您需要快速复制其他域名的扫描任务，可单击【域名资产概况】中的【快速配置监测任务】。 5. 如果您需要新增扫描任务，单击【新增】按钮。 配置项说明： 配置项 说明 任务名称 用户可自定义任务名称，支持中文、英文、数字、下划线，最长30个字符。 任务开关 用户开启或者关闭任务。 监测任务等级 扫描漏洞范围： 高危:监测站点是否有命令执行，SQL注入，XML注入，目录遍历与目录穿越，跨站脚本漏洞，反序列化漏洞等。 中危：监测站点是否有敏感数据泄漏，用户凭证明文传输，错误的安全配置等。 低危：监测站点有无TLS传输防护，cookie未受httponly保护等。 监测URL 扫描任务开始扫描的url，从该url开始访问，逐层扫描。 比如：起始url： 则: 一级链接表示： 等； 二级链接表示： 等； 三级链接表示： 等。 监测排除URL 设置不需要扫描的URL，如 http(s)://www.ctyun.cn/xxx 不进行漏洞检测。 定义HTTP头部 如果扫描域名需要登录，需要设置可获取登录凭证Header以自定义设置登录凭据。 接口扫描 如果包含API接口需要上传扫描对应的api接口文件。 监测计划 立即检测：任务创建完立即进行漏洞检测，不再重复执行检测 ； 单次：任务创建完在指定时间进行漏洞检测，检测完成即任务结束，不再重复执行检测 每天：任务创建完任务在每天指定时间进行检测 每周：任务创建完任务在指定周几的指定时间进行检测 每月：任务创建完任务在指定日期的指定时间进行检测 通知方式 支持邮件和短信通知。

本文为您介绍Web应用防火墙（原生版）支持防护的端口以及不同服务版本支持防护的端口个数限制。 Web应用防火墙除了可以防护标准端口外，还支持非标准端口的防护。不同版本的云WAF实例支持添加的端口数量不同，具体支持的端口可见下表所示。 注意 非标端口可提工单申请开通，预计需要3个工作日。 服务版本 端口分类 HTTP协议端口范围 HTTPS协议端口范围 端口防护限制数 基础版 标准端口 80 443 2个 标准版 标准端口 80、8080 443、8443 20个 标准版 非标准端口 1936, 1937, 1985, 2001, 3333, 3501, 3601, 4050, 5000, 5100, 5106, 5107, 5110, 5222, 5601, 5666, 5667, 5668, 5901, 6001, 6640, 6666, 6868, 7000, 7002, 7003, 7004, 7005, 7006, 7009, 7010, 7011, 7012, 7013, 7014, 7015, 7016, 7018, 7019, 7020, 7021, 7022, 7023, 7024, 7025, 7026, 7070, 7071, 7081, 7082, 7083, 7088, 7097, 7510, 7744, 7777, 7800, 8000, 8001, 8002, 8003, 8008, 8009, 8012, 8020, 8021, 8022, 8025, 8026, 8070, 8077, 8078, 8081, 8082, 8083, 8084, 8085, 8086, 8087, 8088, 8089, 8090, 8091, 8095, 8096, 8097, 8098, 8099, 8106, 8181, 8334, 8336, 8443, 8686, 8765, 8780, 8800, 8880, 8888, 8889, 8980, 9000, 9001, 9002, 9003, 9011, 9021, 9023, 9027, 9037, 9040, 9080, 9081, 9082, 9100, 9200, 9201, 9205, 9207, 9208, 9209, 9210, 9211, 9212, 9213, 9898, 9908, 9916, 9918, 9919, 9928, 9929, 9939, 9999, 10000, 10001, 10040, 10080, 11033, 12601, 13201, 15080, 18080, 19090, 20080, 20202, 20203, 20204, 20205, 20443, 28080, 33702, 48800, 50751, 50761, 50776, 50780, 51654 4443, 5000, 5100, 5443, 5601, 5680, 6443, 6646, 6648, 6649, 6918, 7201, 7443, 7741, 7745, 7746, 7748, 7749, 7753, 7763, 7786, 8000, 8002, 8020, 8081, 8082, 8096, 8100, 8445, 8553, 8663, 8860, 8868, 8883, 8887, 8999, 9000, 9010, 9020, 9060, 9070, 9090, 9180, 9181, 9182, 9443, 9553, 9663, 10002, 10101, 10211, 10443, 10809, 12000, 12002, 12004, 12006, 13000, 13001, 13202, 13203, 18072, 18073, 18702, 18703, 18980, 30080, 30223, 30443, 33005 20个 企业版 标准端口 80、8080 443、8443 30个 企业版 非标准端口 1936, 1937, 1985, 2001, 3333, 3501, 3601, 4050, 5000, 5100, 5106, 5107, 5110, 5222, 5601, 5666, 5667, 5668, 5901, 6001, 6640, 6666, 6868, 7000, 7002, 7003, 7004, 7005, 7006, 7009, 7010, 7011, 7012, 7013, 7014, 7015, 7016, 7018, 7019, 7020, 7021, 7022, 7023, 7024, 7025, 7026, 7070, 7071, 7081, 7082, 7083, 7088, 7097, 7510, 7744, 7777, 7800, 8000, 8001, 8002, 8003, 8008, 8009, 8012, 8020, 8021, 8022, 8025, 8026, 8070, 8077, 8078, 8081, 8082, 8083, 8084, 8085, 8086, 8087, 8088, 8089, 8090, 8091, 8095, 8096, 8097, 8098, 8099, 8106, 8181, 8334, 8336, 8443, 8686, 8765, 8780, 8800, 8880, 8888, 8889, 8980, 9000, 9001, 9002, 9003, 9011, 9021, 9023, 9027, 9037, 9040, 9080, 9081, 9082, 9100, 9200, 9201, 9205, 9207, 9208, 9209, 9210, 9211, 9212, 9213, 9898, 9908, 9916, 9918, 9919, 9928, 9929, 9939, 9999, 10000, 10001, 10040, 10080, 11033, 12601, 13201, 15080, 18080, 19090, 20080, 20202, 20203, 20204, 20205, 20443, 28080, 33702, 48800, 50751, 50761, 50776, 50780, 51654 4443, 5000, 5100, 5443, 5601, 5680, 6443, 6646, 6648, 6649, 6918, 7201, 7443, 7741, 7745, 7746, 7748, 7749, 7753, 7763, 7786, 8000, 8002, 8020, 8081, 8082, 8096, 8100, 8445, 8553, 8663, 8860, 8868, 8883, 8887, 8999, 9000, 9010, 9020, 9060, 9070, 9090, 9180, 9181, 9182, 9443, 9553, 9663, 10002, 10101, 10211, 10443, 10809, 12000, 12002, 12004, 12006, 13000, 13001, 13202, 13203, 18072, 18073, 18702, 18703, 18980, 30080, 30223, 30443, 33005 30个 旗舰版 标准端口 80、8080 443、8443 60个 旗舰版 非标准端口 1936, 1937, 1985, 2001, 3333, 3501, 3601, 4050, 5000, 5100, 5106, 5107, 5110, 5222, 5601, 5666, 5667, 5668, 5901, 6001, 6640, 6666, 6868, 7000, 7002, 7003, 7004, 7005, 7006, 7009, 7010, 7011, 7012, 7013, 7014, 7015, 7016, 7018, 7019, 7020, 7021, 7022, 7023, 7024, 7025, 7026, 7070, 7071, 7081, 7082, 7083, 7088, 7097, 7510, 7744, 7777, 7800, 8000, 8001, 8002, 8003, 8008, 8009, 8012, 8020, 8021, 8022, 8025, 8026, 8070, 8077, 8078, 8081, 8082, 8083, 8084, 8085, 8086, 8087, 8088, 8089, 8090, 8091, 8095, 8096, 8097, 8098, 8099, 8106, 8181, 8334, 8336, 8443, 8686, 8765, 8780, 8800, 8880, 8888, 8889, 8980, 9000, 9001, 9002, 9003, 9011, 9021, 9023, 9027, 9037, 9040, 9080, 9081, 9082, 9100, 9200, 9201, 9205, 9207, 9208, 9209, 9210, 9211, 9212, 9213, 9898, 9908, 9916, 9918, 9919, 9928, 9929, 9939, 9999, 10000, 10001, 10040, 10080, 11033, 12601, 13201, 15080, 18080, 19090, 20080, 20202, 20203, 20204, 20205, 20443, 28080, 33702, 48800, 50751, 50761, 50776, 50780, 51654 4443, 5000, 5100, 5443, 5601, 5680, 6443, 6646, 6648, 6649, 6918, 7201, 7443, 7741, 7745, 7746, 7748, 7749, 7753, 7763, 7786, 8000, 8002, 8020, 8081, 8082, 8096, 8100, 8445, 8553, 8663, 8860, 8868, 8883, 8887, 8999, 9000, 9010, 9020, 9060, 9070, 9090, 9180, 9181, 9182, 9443, 9553, 9663, 10002, 10101, 10211, 10443, 10809, 12000, 12002, 12004, 12006, 13000, 13001, 13202, 13203, 18072, 18073, 18702, 18703, 18980, 30080, 30223, 30443, 33005 60个

本文为您介绍Web基础防护规则引擎配置的最佳实践。 Web基础防护基于内置的防护规则集，自动为网站防御SQL注入、XSS、文件包含、远程命令执行、目录穿越、文件上传、CSRF、SSRF、命令注入、模板注入、XML实体注入攻击等通用的Web攻击。 规则防护引擎 云WAF的Web基础防护规则引擎默认开启，所有接入云WAF防护的网站业务，默认都受到Web基础防护规则引擎的检测和防护。 Web基础防护规则引擎基于天翼云持续优化的高质量攻击检测规则集，帮助网站防御各种常见的Web应用攻击。您可以根据业务防护需要，在防护规则组的维度，设置规则引擎采用哪些防护规则。WAF按照防护严格程度，内置了三套规则组供选用： 正常规则组：默认选用该规则组。 宽松规则组：如需减少误拦截，可选用该规则组。 严格规则组：如需提高攻击检测命中率，可选用该规则组。 您也可以自定义防护规则组，相关操作，请参见自定义防护规则组。 防护模式 检测发现攻击请求时，对攻击请求执行的操作。可选以下两种模式： 拦截：检测到攻击行为后，直接阻断攻击请求，并记录攻击日志。 观察：检测到攻击行为后，不阻断攻击，仅记录攻击日志。

本文介绍如何将网站域名接入Web应用防火墙（边缘云版），保障您网站的安全性和可用性。 步骤1：网站业务梳理 在将网站接入Web应用防火墙（边缘云版，简称WAF）前，建议您先梳理网站的业务信息以及历史受攻击的情况，便于使用WAF制定合适的防护策略。 梳理网站的基础信息 梳理网站的基础信息，有利于您在域名接入WAF时，填写正确的域名配置。 网站支持哪些访问协议，如果需要支持HTTPS，那需要提前准备对应的HTTPS证书。 网站有使用了哪些业务端口，判断WAF是否能支持该网站的所有业务端口。 源站的IP有哪些，源站是否有iptables之类的访问限制，如果有需要加白WAF防护集群的回源IP。 梳理网站的业务情况 了解自身网站业务有利于WAF防护策略的配置，也有助于在订购WAF套餐时能选择合适的套餐规格属性。 网站当前的业务流量情况，包括流量峰值的Mbps、QPS情况。 网站访问者的主要来源，访问者的客户端环境有哪些，是否有APP客户端。 网站有多少用户活跃度，主要的用户群体有哪些，有助于分析访问行为特征并制定防护策略。 梳理网站的历史访问与攻击情况 单用户的访问频率一般有多少，有助于后续制定合适的频率控制策略。 是否遭受过大流量网络层攻击，判断是否需要开通DDoS服务以及开通多少防护规格。 是否遭受过大量高频的CC攻击，有助于提前配置对应的CC防护策略。

天翼云应用服务网格服务等级协议详情请参见这里

本文介绍了WAF的Web攻击防护最佳实践，主要从应用场景、防护策略、防护效果三个方面进行介绍。 应用场景 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域或项目。 步骤 3 选择“安全 > Web应用防火墙（独享版）”。 步骤 4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤 5 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。 步骤6 在“Web基础防护”配置框中，查看Web应用攻击防护的防护状态。 Web基础防护功能默认为开启状态，并使用“仅记录”模式的防护规则策略。 状态 ：表示WAF的Web基础防护的防护模块已开启。 ：表示该防护模块处理关闭状态。 模式：分为拦截和仅记录两种模式。 “拦截”模式表示当遭受Web攻击时，WAF立即拦截攻击请求，并在后台记录攻击日志。 “仅记录”模式表示当遭受Web攻击时，WAF不会拦截攻击请求，仅在后台记录攻击日志。 步骤 7 单击“高级设置”，进入“Web基础防护”界面。 “防护等级”：分为宽松、中等、严格三种模式，默认为“中等”防护模式。 防护等级说明 防护等级 说明 宽松 防护粒度较粗，只拦截攻击特征比较明显的请求。 当误报情况较多的场景下，建议选择“宽松”模式。 中等 默认为“中等”防护模式，满足大多数场景下的Web防护需求。 严格 防护粒度最精细，可以拦截具有复杂的绕过特征的攻击请求。 当需要更严格地防护SQL注入、跨站脚本、命令注入等攻击行为时，建议使用“严格”模式。 灵活设置防护检测类型。 WAF默认开启“常规检测”防护检测，用户可根据业务需要，开启其他需要防护的检测类型。

在开始 API 接入前，请确保已完成以下准备工作： 1. 开通产品：已在天翼云控制中心成功开通大模型安全护栏服务。 2. 创建应用：在控制台“应用管理”中创建至少一个应用，并从应用的编辑页面获取以下鉴权凭证： 凭证名称 说明 获取位置 accountid 租户 ID 天翼云控制台账号信息页 XAPPCODE（即AK） 应用编码，作为 AK 使用 应用管理 > 操作 > 复制APP鉴权信息 publicKey 公钥 应用管理 > 操作 > 复制APP鉴权信息 privateKey 私钥（SK） 应用管理 > 操作 > 复制APP鉴权信息 （请妥善保管，勿泄露） 获取服务地址 ：请通过工单或者服务热线（4008109889）获取服务地址。

在开始 API 接入前，请确保已完成以下准备工作： 1. 开通产品：已在天翼云控制中心成功开通大模型安全护栏服务。 2. 创建应用：在控制台“应用管理”中创建至少一个应用，并从应用的编辑页面获取以下鉴权凭证： 凭证名称 说明 获取位置 accountid 租户 ID 天翼云控制台账号信息页 XAPPCODE（即AK） 应用编码，作为 AK 使用 应用管理 > 操作 > 复制APP鉴权信息 publicKey 公钥 应用管理 > 操作 > 复制APP鉴权信息 privateKey 私钥（SK） 应用管理 > 操作 > 复制APP鉴权信息 （请妥善保管，勿泄露） 获取服务地址 ：请通过工单或者服务热线（4008109889）获取服务地址。

本文介绍CDN加速应对攻击的处理机制及策略建议。 详细说明 天翼云CDN加速产品提供公共开放的加速能力，默认不提供防攻击服务。如果您的CDN加速域名受到攻击（例如DDOS攻击或CC攻击），导致CDN节点带宽或请求QPS大幅上涨，影响正常用户请求时，天翼云CDN将基于域名业务情况、攻击影响程度等综合评估，必要情况下有权将您的加速域名流量导入“隔离节点”，进入“隔离节点”的用户请求将不再保障服务质量。 如您的域名存在潜在被攻击风险，不希望在上述场景下被切换至“隔离节点”，请在CDN加速基础上，叠加购买Web应用防火墙（边缘云版），或切换至安全类加速产品、边缘安全加速平台。详情请见：边缘安全加速平台。 相关概念 DDoS：分布式拒绝服务攻击（Distributed Denial of Service，简称DDoS）是指攻击的发出点是分布在不同地方，且所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务。 CC攻击：攻击者借助代理服务器生成指向受害主机的合法请求，实现DDoS和伪装就叫：CC(Challenge Collapsar)，CC主要是攻击页面，属于应用层攻击。

本小节介绍Web应用防火墙产品优势。 灵活的部署与应用方式 通过DNS解析方式接入，不需要安装任何软件，更不需要修改网站的任何代码，光速生效，一键启停，方便快捷。 灵活回源支持 WAF可以在云防护节点将HTTPS业务流量转化为HTTP业务流量回源，降低源站负载消耗，优化业务性能。 实时更新、智能学习的安全资料库 中国电信每天都在主动收集来自全世界的网站攻击手段、最新漏洞、补丁信息等安全资料，会比用户网站更早发现各类安全问题和攻击手段。一旦被认定为未知的安全问题和新型攻击手段，云防护平台将会自动更新所有安全节点的防护规则和监测范围，使所有加入云防护的网站免受未知攻击、漏洞等的危害。另外还会定期学习用户网站访问日志，不断细化为每一个网站量身定制的安全规则，无需用户人工干预，完善用户网站安全。 服务应急响应指标 网站安全防护服务为您提供7×24小时的专家团队技术支持，具备完善的故障监控、自动告警、快速响应等一系列应急响应机制。 专家级定制化安全报告 权威规则库，覆盖各类主流Web入侵类型，专业攻防团队实时更新防护系统。 特殊行为防护主动激励 主动识别绕过标准检测方法的恶意程序，在它们造成破坏之前减轻威胁。

本小节介绍Web应用防火墙管理类常见问题。 什么情况下产品会误拦截？ CNAME记录多长时间可以生效？ CNAME解析变更提示冲突怎么办？ 修改CNAME后发现界面有拦截信息 修改CNAME后发现访问变慢 修改CNAME后发现网站无法访问 源站服务器侧响应异常怎么办？ Web应用防火墙是否可以防御自动化工具发起的攻击？ 如何知道我的域名解析服务商是谁？ 云WAF更换证书长连接会话是否会断开？ 更改云WAF配置后需要多久生效？ 云WAF高级访问控制是否支持填写网段？ 什么情况下产品会误拦截？ 网站代码不规范导致拦截 当网站代码不规范时，可能会因为触发防护策略而产生被拦截情况，云WAF启用了实时更新的恶意威胁规则集，针对Webshell上传、SQL注入、XSS等常见的 Web攻击行为特征（如iniset(、javascript:）进行检测。同时会将请求中部分直接传递的原始SQL语句、JAVASCRIPT代码判定为潜在的安全风险，进行封禁。此外，URL中含有敏感路径（如/root、/temp、/admin），以及可能导致路径遍历的特殊字符（如../、.%5c../）也会被判定为高危访问进行封禁，因此，规范的网站代码编写会大幅减少被拦截的概率。 网站接口数据传输规则导致拦截 网站存在接口的情况下，当产生调用时，因该行为非人工访问行为，可能会被云WAF判定为非浏览器或程序化访问，从而产生拦截，此情况下需要将发起接口调用的源地址加白名单解决。 用户端行为疑似人工 DDoS攻击导致拦截 用户频繁点击某一个URL，或者频繁下载同一个文件等行为，均可能会被判定为DDoS攻击，进而会产生拦截。此种情况下，须由用户确认是否正常操作后，加入 CC防护白名单。 国际流量整体拦截 云WAF支持针对IP地址的国家地理位置限制，当开启该限制后，国际流量将被阻断，只有国内流量才能通过。该策略主要用于客户的网站使用对象全部为国内的情况下，可以避免来自国际的各类攻击、渗透行为。

本节介绍IPv6防护相关常见问题。 哪些版本支持IPv6防护？ Web应用防火墙支持IPv6/IPv4双栈，针对同一域名可以同时提供IPv6和IPv4的流量防护。 针对仍然使用IPv4协议栈的Web业务，Web应用防火墙支持NAT64机制（NAT64是一种通过网络地址转换（NAT）形式促成IPv6与IPv4主机间通信的IPv6转换机制），即WAF可以将外部IPv6访问流量转化成对内的IPv4流量。 如何测试在WAF中配置的源站IP是IPv6地址？ 执行此操作前，请确认已在WAF中添加了域名并完成了域名接入。 假如已在WAF中添加域名www.example.com。通过以下方法可以测试配置的源站IP是否是IPv6地址： 1. 在Windows中打开cmd命令行工具。 2. 执行dig AAAA www.example.com命令。 如果返回的结果里有IPv6格式的IP地址，如下图所示，则证明配置的源站IP是IPv6地址。 业务使用了IPv6，WAF中的源站地址如何配置？ 如果域名已接入了WAF（源站地址配置为IPv4地址）进行防护，当业务开启了IPv6时，WAF中配置的源站地址可以保持原IPv4地址，也可以修改为IPv6地址。 WAF支持IPv6/IPv4双栈模式和NAT64机制，详细说明如下： Web应用防火墙支持IPv6/IPv4双栈，针对同一域名可以同时提供IPv6和IPv4的流量防护。 针对仍然使用IPv4协议栈的Web业务，Web应用防火墙支持NAT64机制（NAT64是一种通过网络地址转换（NAT）形式促成IPv6与IPv4主机间通信的IPv6转换机制），即WAF可以将外部IPv6访问流量转化成对内的IPv4流量。

4、检测端口情况 可能连接器占用端口和应用端口冲突：零信任连接器占用UDP端口（从控制台可以获取），如果应用必要端口与连接器占用端口重复，请联系天翼云技术支持修改零信任连接器端口号。

本节介绍订购WAF独享引擎实例的操作步骤。 前提条件 已获取管理控制台的登录账号（配置WAF Administrator或WAF FullAccess权限策略）与密码。 已成功申请虚拟私有云VPC。 已创建了资源集。 操作须知 申请成功后，独享引擎实例规格不能修改。 创建实例大约需要10分钟。当实例的运行状态为“运行中”时，说明实例已经创建成功。 操作步骤 步骤1 登录天翼云账号，在服务列表中找到Web应用防火墙（独享版）。 步骤2 在产品详情页点击立即开通，点击进入订购页面，补充购买信息。 步骤3 确认订单详情无误，单击“立即申请”。 步骤4 单击“返回独享引擎列表”，在独享引擎实例列表界面，可以查看实例的创建情况。实例创建需一定的时间，可在控制台查看运行状态。 WAF独享引擎订购参数说明 参数名称 说明 计费模式 WAF独享引擎实例支持按需和包年包月计费，实例从创建成功开始计费到删除实例时结束计费，按实际使用时长（精确到秒）计费。 区域 原则上，在任何一个区域申请的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率，建议您在申请WAF时，根据防护业务的所在区域就近选择申请的WAF区域。 可用区 选择区域中的可用区。 WAF实例名称前缀 设置WAF实例名称前缀，申请多个实例时，实例前缀名称相同。 WAF实例数量 设置申请的WAF实例个数。 WAF实例规格 选择实例的规格。WAF支持500Mbit/s和100Mbit/s两种规格。 CPU架构 选择实例的CPU架构。 CPU规格 选择实例的CPU规格。 预计最终规格 吞吐量的性能参考值。 虚拟私有云 Web应用防火墙（独享版）需要配合VPC使用，购买时选择被防护源站所在的VPC即可。 业务网卡 选择VPC中已配置的子网。 安全组 选择区域中已有的安全组，或者单击“管理安全组”，跳转到VPC管理控制台创建新的安全组。选择安全组后，该实例将受到该安全组访问规则的保护。 安全组建议配置以下访问规则： 入方向规则：根据业务需求添加指定端口入方向规则，放通指定端口入方向网络流量。例如，需要放通“80”端口时，您可以添加“策略”为“允许”的“TCP”、“80”协议端口规则。 出方向规则：默认。放通全部出方向网络流量。 如果WAF独享引擎实例与源站不在同一个VPC中，需要在安全组中设置实例与源站的子网互通。

本节介绍如何配置白名单规则对指定请求进行放行。 网站域名接入Web应用防火墙后，您可以选择开启白名单功能，并配置白名单规则。 可用于放行具有指定特征的请求，使请求不经过全部或特定防护模块（Web基础防护、BOT防护）的检测。 也可用于处理误报事件，对于误报的事件可进行规则级别的加白，将单次拦截放通。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持白名单功能，请升级到更高版本使用。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“防护白名单”模块，可以选择开启/关闭防护。 7. 点击防护规则右侧的“前去配置”，进入防护白名单页面。 8. 单击“新建白名单”，在弹出的对话框中，配置白名单规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 规则描述 可选项。设置规则的描述信息。 匹配条件 设置白名单请求需要匹配的条件（即特征）。单击“新增条件”，可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。 过期时间可选： 永久生效 限定日期：自定义设置失效日期 生效范围 设置白名单生效范围，表示触发匹配条件的请求不受所选规则的检测，可选项： 全部规则：规则防护引擎包含的全部规则。选择该项，表示触发匹配条件的请求不受任何防护模块的检测，将被直接放行到源站服务器。 特定模块：只忽略检测指定的防护模块，支持BOT防护和Web基础防护。在模块右侧的下拉框，选择不检测的规则类型。 特定规则ID：只忽略检测指定的规则，在模块右侧的下拉框，选择不检测的规则ID。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

Web应用防火墙将拦截或者仅记录攻击事件记录在“防护事件”页面。您可以查看WAF的防护日志，包括事件发生的时间、源站IP、源站IP所在地理位置、恶意负载、命中规则等信息。 前提条件 防护网站已接入WAF。 约束条件 下载防护事件文件时，如果您本地安装的安全软件拦截了下载文件，请关闭该软件后重新下载防护事件文件。 在WAF控制台只能查看所有防护域名最近30天的防护事件数据。 如果您将防护网站的“工作模式”切换为“暂停防护”模式，WAF将对该防护网站所有的流量请求只转发不检测，同时，日志也不会记录。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“防护事件”，进入“防护事件”页面。 5. 选择“查询”页签，在网站或实例下拉列表中选择待查看的防护网站，可查看“昨天”、“今天”、“3天”、“7天”、“30天”或者自定义时间范围内的防护日志。 “防护事件趋势图”：展示所选网站在选择的时间段内WAF的防护情况。 “TOP10统计”：针对当前所选时间段的攻击事件、受攻击站点、攻击源IP、受攻击URL的TOP 10网站进行统计，单击可复制统计图表的数据。 6. 在“防护事件列表”中，查看防护详情。 根据筛选条件字段匹配值进行筛选，可设置多项匹配条件，单击“确定”后，匹配条件会展示在事件列表的上方，条件字段参数说明如下表所示。 支持筛选搜索的条件字段： 参数名称 参数说明 事件ID 标识该防护事件的ID。 事件类型 发生攻击的类型。 默认选择“全部”，查看所有攻击类型的日志信息，也可以根据需要，选择攻击类型查看攻击日志信息。 规则ID 内置Web基础防护规则ID。 防护动作 防护配置中设置的防护动作，包含：拦截、仅记录、人机验证等。 人机验证：CC防护规则中，“防护动作”支持配置“人机验证”。即当访问的请求频率超过设定的“限速频率”后将弹出验证码提示，输入正确的验证码，请求将不受访问限制。 源IP Web访问者的公网IP地址（攻击者IP地址）。 默认选择“全部”，查看所有的日志信息，也可以根据需要，选择或者自定义攻击者IP地址查看攻击日志信息。 URL 攻击的防护域名的URL。 单击，可选择防护事件列表展示的字段。 防护事件列表可展示字段参数说明： 参数 说明 示例 ::: 时间 本次攻击发生的时间。 2021/02/04 13:20:04 源IP Web访问者的公网IP地址（攻击者IP地址）。 防护域名 被攻击的防护域名。 www.example.com 命中规则 内置Web基础防护规则ID。 URL 攻击的防护域名的URL。 /admin 事件类型 发生攻击的类型。 SQL注入攻击 防护动作 防护配置中设置的防护动作，包含：拦截、仅记录、人机验证等。 说明 配置网页防篡改、防敏感信息泄露、隐私屏蔽防护规则后，如果访问请求命中防护规则，则防护动作显示为“不匹配”。 拦截 在目标事件的“操作”列单击“详情”，可查看目标域名攻击事件详情。

本章节主要介绍翼MapReduce的安全增强特性。 翼MR作为一个海量数据管理和分析的平台，具备高安全性。翼MR主要从以下几个方面保障用户的数据和业务运行安全。 网络隔离 整个系统部署在公有云上的虚拟私有云中，提供隔离的网络环境，保证集群的业务、管理的安全性。结合虚拟私有云的子网划分、路由控制、安全组等功能，为用户提供高安全、高可靠的网络隔离环境。 资源隔离 翼MR服务支持资源专属区内部署，专属区内物理资源隔离，用户可以在专属区内灵活地组合计算存储资源，包括专属计算资源+共享存储资源、共享计算资源+专属存储资源、专属计算资源+专属存储资源。 主机安全 翼MR支持与公有云安全服务集成，支持漏洞扫描、安全防护、应用防火墙、堡垒机、网页防篡改等。针对操作系统和端口部分，提供如下安全措施： 操作系统内核安全加固 更新操作系统最新补丁 操作系统权限控制 操作系统端口管理 操作系统协议与端口防攻击 应用安全 通过如下措施保证大数据业务正常运行： 身份鉴别和认证 Web应用安全 访问控制 审计安全 密码安全 数据安全 针对海量用户数据，提供如下措施保障客户数据的机密性、完整性和可用性。 容灾：翼MR支持将数据备份到OBS（对象存储服务）中，支持跨区域的高可靠性。 备份：翼MR支持针对DBService、NameNode、LDAP的元数据备份和对HDFS、HBase的业务数据备份。

产品优势 资源独享：独享宿主机的所有资源，包括CPU、内存等，保证性能的绝对稳定和实例间互访的稳定性。 灵活扩展：根据行业特点和业务要求灵活定制所需专属云资源，也可以按需使用公共资源池资源。 安全可信赖的云生态：天翼云始终将安全与数据合规融入到云平台框架体系及云产品服务功能之中，为用户打造安全可信赖的云生态。 VIP服务：以用户为中心，724VIP用户运维服务。 场景架构 场景三：对安全有高要求的行业 场景说明 对于安全、性能及可靠性有高要求的应用场景，如金融、政府行业等。可通过计算资源物理隔离，网络及存储资源逻辑隔离来充分保障业务安全运行，为用户打造一个立体的安全防护环境。 产品优势 安全隔离：专属云通过物理手段将系统、设备或资源与公有云资源隔离开，有效防止未经授权的访问或干扰，并可减少用户之间的资源相互影响。 灵活扩展：根据行业特点和业务要求灵活定制所需专属云资源，也可以按需使用公共资源池资源。 安全可信赖的云生态：天翼云始终将安全与数据合规融入到云平台框架体系及云产品服务功能之中，为用户打造安全可信赖的云生态。 VIP服务：以用户为中心，724VIP用户运维服务。

您可以通过Web应用防火墙服务切换工作模式。Web应用防火墙提供开启防护和暂停防护两种工作模式。 前提条件 防护域名已接入WAF。 应用场景 开启防护：开启防护模式后，WAF会根据您配置的策略进行攻击检测。 暂停防护：如果大量的正常业务被拦截，比如大量返回418返回码，可以将“工作模式”切换为“暂停防护”。该模式下，WAF对所有的流量请求只转发不检测，日志也不会记录。该模式存在风险，建议您优先选择误报屏蔽规则处理正常业务拦截问题。 系统影响 切换为暂停模式后，WAF只转发流程请求，网站安全可能存在风险，建议您优先选择误报屏蔽规则处理正常业务拦截问题。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤5 在目标域名所在行的“工作模式”列，选择工作模式。

本小节介绍云下一代防火墙购买类常见问题。 哪些资源池可以支持开通云下一代防火墙？ 云下一代防火墙已适配天翼云各个云资源池节点，天翼云官网任一节点均可以开通云下一代防火墙，一类节点和二类节点均可以开通。 开通流程： 在选择资源池节点后，您可以登录天翼云官网，按照云下一代防火墙的开通流程进行操作。 影响面： 开通云下一代防火墙可能会对您的网络拓扑结构产生一定的影响。在执行开通操作之前，建议您仔细规划，并在可能的情况下在非业务高峰期进行操作，以减少对正常业务的影响。 注意 在开通云下一代防火墙时，请仔细阅读相关的注意事项和配置要求。确保您的网络环境和业务需求符合产品的要求，以便最大程度地发挥防火墙的作用。 如何选择需要购买的产品规格和功能？ 需要用户自行评估业务情况，可通过以下内容进行参考： 规格选择：计算通过云下一代防火墙安全产品的弹性IP总带宽值，不高于云下一代防火墙安全产品各规格限制值。 功能选择：有安全防护需求需开通扩展功能，如病毒过滤、URL过滤及C&C防护。 云下一代防火墙安全产品是否支持试用，如何下单？ 支持。需联系区域的客户经理，由客户经理代下单完成试用订购。试用订购最长期限为3个月，且每个天翼云账号只拥有一次试用订购机会。 云下一代防火墙安全产品支持试用服务，为了确保您能够充分体验产品的功能和性能。以下是相关的详细信息： 联系客户经理： 如果您有兴趣试用云下一代防火墙安全产品，请直接联系您所在区域的客户经理。客户经理将为您提供试用申请的相关流程和详细信息。 试用期限： 试用期最长为3个月，这段时间足够您深入了解产品的特性，并确认其是否符合您的业务需求。 试用订购限制： 每个天翼云账号只有一次试用订购机会。请确保在提交试用申请之前充分评估您的实际需求，以便最大程度地利用试用期。 下单流程： 试用订购需要通过客户经理进行，他们将协助您完成试用订购的下单流程。在联系客户经理时，请提供您的详细信息和组织需求，以便更好地为您提供支持。 注意事项： 在试用期间，建议您积极参与产品培训和文档阅读，以便更好地理解产品的各项功能和配置。这将有助于您更好地评估产品对您业务的实际帮助。 技术支持： 在试用期内，您可以享受我们的技术支持服务。如有任何技术或操作方面的问题，请随时联系我们的技术支持团队。

天翼云售后团队向客户提供的关于第三方软件的建议只适用于有经验的系统管理员或其他相关IT人员，并由客户评估决策是否采纳和实施；天翼云将基于已有经验，尽最大努力为客户提供以下第三方软件在云主机/操作系统环境中安装、配置和疑难排解的建议，确保其在天翼云云主机/操作系统环境中正常运行；天翼云不负责以下第三方软件的安装、调试、更新以及对建议的实施。 第三方软件目录及问题服务范围举例： 第三方软件目录 服务范围：示例 非服务范围：示例 SSH 通过SSH无法连接云主机、远程连接端口号修改 SSH的文件传输、隧道代理、远程执行命令、端口转发和SSH代理、安全加固功能 Windows mstsc远程连接 通过mstsc无法远程连接、远程连接端口号修改 资源共享和多人远程连接 SFTP SFTP无法启动，使用系统账号登录的配置方法 SFTP的用户配置以及用户访问权配置等，传输速度优化 FTP FTP无法启动，使用系统账号登录的配置方法 FTP服务安全加固，传输速度优化 Apache 端口无法监听以及网站无法访问 Apache的优化配置 IIS IIS启动后访问报错，网站无法访问，如403错误、404错误 托管和管理各种类型的 Web 应用程序和服务、脚本语言语法支持、配置优化 Nginx Nginx端口无法监听、网站无法访问 Nginx调优、代理转发 MySQL与Microsoft SQL Server MySQL以及SQL Server监听内网端口修改 MySQL以及SQL Server的SQL语句优化以及配置 Linux IPtables与Windows Firewall IPtables基本策略语法指导，如filter表的accept以及drop指导、nat以及端口转发以及windows firewall的关闭开启，入方向以及出方向基础规则 基于IPtables的负载均衡、链接追踪、限速、代理以及高级安全设置 Network以及NetworkManager 公共镜像的网卡获取IP异常、静态IP/动态IP配置 虚拟IP、bond、网卡策略的配置

本节介绍天翼云数据安全中心服务协议。 天翼云数据安全中心服务协议

本节介绍如何申请开通Web应用防火墙（独享版）独享引擎。 前提条件 已获取管理控制台的登录账号（配置WAF Administrator或WAF FullAccess权限策略）与密码。 已成功申请虚拟私有云VPC。 已创建了资源集。 操作须知 申请成功后，独享引擎实例规格不能修改。 创建实例大约需要10分钟。当实例的运行状态为“运行中”时，说明实例已经创建成功。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 首次申请独享引擎时，在界面左侧，单击“立即申请独享模式”。 步骤5 在“申请Web应用防火墙”界面，配置WAF实例参数如下图。 WAF独享引擎实例参数说明： 参数名称 说明 计费模式 WAF独享引擎实例为按需计费，实例从创建成功开始计费到删除实例时结束计费，按实际使用时长（精确到秒）计费。 区域 原则上，在任何一个区域申请的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率，建议您在申请WAF时，根据防护业务的所在区域就近选择申请的WAF区域。 可用区 选择区域中的可用区。 WAF实例名称前缀 设置WAF实例名称前缀，申请多个实例时，实例前缀名称相同。 WAF实例数量 设置申请的WAF实例个数。 WAF实例规格 选择实例的规格。WAF支持500Mbit/s和100Mbit/s两种规格。 CPU架构 选择实例的CPU架构。 CPU规格 选择实例的CPU规格。 预计最终规格 吞吐量的性能参考值。 虚拟私有云 选择源站所在的VPC。 业务网卡 选择VPC中已配置的子网。 安全组 选择区域中已有的安全组，或者单击“管理安全组”，跳转到VPC管理控制台创建新的安全组。选择安全组后，该实例将受到该安全组访问规则的保护。 说明 安全组建议配置以下访问规则： 入方向规则：根据业务需求添加指定端口入方向规则，放通指定端口入方向网络流量。例如，需要放通“80”端口时，您可以添加“策略”为“允许”的“TCP”、“80”协议端口规则。 出方向规则：默认。放通全部出方向网络流量。 如果WAF独享引擎实例与源站不在同一个VPC中，需要在安全组中设置实例与源站的子网互通。 步骤6 确认参数配置无误后，在页面右下角单击“下一步”。 步骤7 确认订单详情无误，单击“立即申请”。 步骤8 单击“返回独享引擎列表”，在独享引擎实例列表界面，可以查看实例的创建情况。