华为云用户手册

工作流 自定义OCR当前提供了单模板工作流和多模板工作流，自主构建 文字识别 模板，识别模板图片中的文字，提供高精度的文字识别模型，保证结构化信息提取精度。 通用单模板工作流 通过构建文字识别模板，识别单个板式图片中的文字，提供高精度的文字识别模型，保证结构化信息提取精度。 多模板分类工作流 支持用户自定义多个文字识别模板，通过AI分类算法，自动识别图片所需使用的模板，从而支持从大量不同板式图像中提取结构化信息。

提取特定字段导入Excel 本示例调用身份证识别API，并从获取到的JSON结果中，提取所需的字段，填入至Excel。 前提条件 开通身份证识别。 参考本地调用，安装OCR Python SDK。并执行pip install xlsxwriter命令安装依赖包。 登录访问密钥页面，获取AK、SK。可以新增访问密钥，或使用已有的访问密钥。访问密钥为credentials.csv文件，包含AK/SK信息。 代码示例 # -*- coding: utf-8 -*-import base64import xlsxwriterfrom huaweicloudsdkcore.auth.credentials import BasicCredentialsfrom huaweicloudsdkocr.v1.region.ocr_region import OcrRegionfrom huaweicloudsdkcore.exceptions import exceptionsfrom huaweicloudsdkocr.v1 import *from huaweicloudsdkcore.http.http_config import HttpConfigdef recognize_id_card_request(): try: request = RecognizeIdCardRequest() request.body = IdCardRequestBody( image=image_base64 ) response = client.recognize_id_card(request) return response except exceptions.ClientRequestException as e: print(e.status_code) print(e.request_id) print(e.error_code) print(e.error_msg)def get_credential(): return BasicCredentials(ak, sk)def get_client(): config = HttpConfig.get_default_config() config.ignore_ssl_verification = True return OcrClient.new_builder(OcrClient) \ .with_credentials(credentials) \ .with_region(OcrRegion.CN_NORTH_4) \ .with_http_config(config) \ .build()def image_to_base64(imagepath): """ 将本地图片转化为base64编码 """ with open(imagepath, "rb") as bin_data: image_data = bin_data.read() base64_data = base64.b64encode(image_data).decode("utf-8") return base64_datadef response_to_execl(save_file, data): """ :param save_file: 文件名 :param data: result data """ # 处理调用API返回的result数据 keys_list = list(data["result"].keys()) values_list = list(data["result"].values()) options = {'in_memory': True} with xlsxwriter.Workbook(save_file, options) as workbook: worksheet = workbook.add_worksheet() worksheet.set_column('A1:A20', 23) worksheet.set_column('B1:B20', 100) worksheet.write_column('A1', keys_list) worksheet.write_column('B1', values_list) workbook.close()if __name__ == '__main__': # 填写访问密钥AK、SK ak = "填写AK" sk = "填写SK" # Init Auth Info credentials = get_credential() # Create OcrClient client = get_client() image_base64 = image_to_base64(r"图片的路径，例如D:\local\test.png") # request id card service response = recognize_id_card_request().to_dict() # 数据保存在execl上 response_to_execl(r"excel路径，例如D:\local\test.xlsx", response)

按需计费开通服务 进入文字识别官网主页，单击“立即使用”，进入文字识别控制台。 在“总览”页面，选择需要使用的服务，执行开通操作，默认的计费方式采用按需计费。 图1 服务开通 服务开通成功后，开通状态将显示为“已开通”。 如果您需要调用 对象存储服务 （OBS）中的数据，请在开通服务页面进行服务授权。 图2 OBS服务授权 OCR服务开通后，可在控制台进行关闭。开通服务时，计费规则默认为“按需计费”。只有调用成功才会计费，其中返回的2xx状态码表示调用成功，调用失败不计费，详细的计费价格及规则请参见计费说明。 如未开通服务，直接调用OCR API会提示ModelArts.4204报错。

购买套餐包开通服务 进入文字识别官网主页，单击“立即使用”，进入文字识别控制台。 在“总览”页面，选择需要使用的服务，在操作列单击“购买套餐包”，此时的计费方式采用套餐包计费，套餐包额度用完后自动转为按需计费。 图3 购买套餐包 服务开通成功后，开通状态将显示为“已开通”。 如果您需要调用对象存储服务（OBS）中的数据，请在开通服务页面进行服务授权。 图4 OBS服务授权 购买套餐包后只有调用成功才会计算调用次数，其中返回的2xx状态码表示调用成功，调用失败不计算次数。套餐包扣减规则包括计费模式、变更配置、续费、欠费类等问题请参见计费说明。 如未开通服务，直接调用OCR API会提示ModelArts.4204报错。 4.服务开通后，您可以按照官方文档数据要求，调用API或SDK步骤继续完成实际服务需求。

基本概念 参照字段为模板图片和待识别图片中的公共文字部分，所有需要识别的图片中都要包含参照字段，且位置必须固定。 套件提供了自动搜索参照字段和手动框选参照字段这两种模式。 自动搜索参照字段：未手动框选任何参照字段的情况下，默认激活自动搜索参照字段模式。 手动框选参照字段：若手动框选了任意参照字段，将激活手动框选模式。 当识别图片的场景比较单一时，即只有一种模板，且参照字段不容易与其他文字混淆时，可以使用自动参照字段来简化模板制作过程，否则建议手动框选，详细步骤请参见操作步骤。

创建用户组 使用主账号登录 IAM 服务控制台。 左侧导航窗格中，选择“用户组”页签，单击右上方的“+创建用户组”。 在“创建用户组”界面，输入“用户组名称”，创建用户组。 返回用户组列表，单击列表中的“授权”。 勾选需要授予用户组的权限，单击“确定”，完成用户组授权。 选择权限的作用服务。此处选择“文字识别（OCR）”，并为该用户组设置所需的权限。 OCR FullAccess：所有权限，可以使IAM用户具备开通/关闭/使用服务能力。 OCR ReadOnlyAccess：只读访问权限，使IAM用户仅具备使用服务能力，开通/关闭服务需要主账户操作。 单击“下一步”，设置用户组的最小授权范围。单击“确定”，完成用户组授权。 所有资源：不设置最小授权范围，授权后，用户根据权限使用账号中所有资源。 指定区域项目资源：授权后，用户根据权限使用已选区域项目中的资源。 选择指定企业项目：IAM用户可以根据权限使用该企业项目中的资源。仅开通企业项目后可选。

功能体验与试用 文字识别（Optical Character Recognition，OCR）是指对图像文件的打印字符进行检测识别，将图像中的文字转换成可编辑的文本格式。OCR通过API提供服务能力，用户需要通过编程来处理识别结果。 在开通OCR前，请先使用OCR体验馆体验服务功能。该方式无需编程，只需在网页端上传图片，即可体验识别效果。 开通OCR后，默认按API成功调用次数进行收费。API使用指导请参见使用流程简介。 使用OCR体验馆前，请先 注册华为账号 并开通华为云，并实名认证。 图1 OCR体验馆

IAM用户缺少某个特定权限现象 当创建的IAM用户缺少某个特定权限时，执行开通操作时，会报错误原因和缺少的权限。例如，下图报ocr:webImage:subscribe permission required错误（开通网络图片识别的权限）。 图2 IAM用户缺少网络图片识别权限 出现此类报错，IAM用户可联系主账户开通相应的服务。或者由主账户使用OCR自定义策略，帮助IAM用户开通权限后，IAM用户自行开通服务。

工作流简介 功能介绍 支持构建文字识别模板，识别单个板式图片中的文字，提供高精度的文字识别模型，保证结构化信息提取精度。 适用场景 用户认证识别 识别证件中关键信息，节省人工录入，提升效率，降低用户实名认证成本，准确快速便捷。 快递单自动填写 识别图片中联系人信息并自动填写快递单，减少人工输入。 合同录入与审核 自动识别结构化信息与提取签名盖章区域，有助快速审核。 优势 解决手工录入投入大、效率低、语种多等问题，提升业务效率。 一键式部署，快速输出高精度结构化数据。

操作步骤 在文字识别控制台左侧导航栏选择“自定义OCR”。 默认进入“我的应用”页签。 图1 文字识别控制台 在“我的应用”页签下，单击“创建应用”。 进入“创建应用”页面。 图2 创建应用 您也可以单击“我的工作流”，切换至“我的工作流”页签，选择工作流并单击卡片中的“创建应用”。 根据业务需求填写“应用名称”、“应用负责人”和“应用描述”，仅支持英文、中文、数字、下划线、中划线。选择“所属行业”及工作流。 图3 创建应用 确认信息后，单击“确认”。 成功创建应用。

APIs切换步骤 V1版本APIs清单请参见表1。仅支持V2版本的API不在此表中列举。 在进行版本替换时，请在您的业务代码中搜索“v1.0”相关的API。例如，搜索“v1.0/ocr”找到代码中API请求地址所在的代码行。将“v1.0/ocr”替换为“/v2/{project_id}/ocr”。其中，{project_id}为项目ID，可以登录我的凭证页面获取。项目ID需要依据实际的OCR部署区域进行填写，例如在图1中，OCR部署区域为“cn-north-4”，即{project_id}填充为cn-north-4区域对应的项目ID。 图1 代码示例 图2 获取项目ID 表1 APIs清单 名称 V1版本API V2版本API 通用 表格识别 /v1.0/ocr/general-table /v2/{project_id}/ocr/general-table 通用文字识别 /v1.0/ocr/general-text /v2/{project_id}/ocr/general-text 网络图片识别 /v1.0/ocr/web-image /v2/{project_id}/ocr/web-image 智能分类识别 /v1.0/ocr/auto-classification /v2/{project_id}/ocr/auto-classification 手写文字识别 /v1.0/ocr/handwriting /v2/{project_id}/ocr/handwriting 身份证识别 /v1.0/ocr/id-card /v2/{project_id}/ocr/id-card 行驶证识别 /v1.0/ocr/vehicle-license /v2/{project_id}/ocr/vehicle-license 驾驶证识别 /v1.0/ocr/driver-license /v2/{project_id}/ocr/driver-license 护照识别 /v1.0/ocr/passport /v2/{project_id}/ocr/passport 银行卡识别 /v1.0/ocr/bankcard /v2/{project_id}/ocr/bankcard 营业执照识别 /v1.0/ocr/business-license /v2/{project_id}/ocr/business-license 车牌识别 /v1.0/ocr/license-plate /v2/{project_id}/ocr/license-plate 增值税发票识别 /v1.0/ocr/vat-invoice /v2/{project_id}/ocr/vat-invoice 出租车发票识别 /v1.0/ocr/taxi-invoice /v2/{project_id}/ocr/taxi-invoice 火车票识别 /v1.0/ocr/train-ticket /v2/{project_id}/ocr/train-ticket 定额发票识别 /v1.0/ocr/quota-invoice /v2/{project_id}/ocr/quota-invoice 车辆通行费发票识别 /v1.0/ocr/toll-invoice /v2/{project_id}/ocr/toll-invoice 飞机行程单识别 /v1.0/ocr/flight-itinerary /v2/{project_id}/ocr/flight-itinerary 道路运输证识别 /v1.0/ocr/transportation-license /v2/{project_id}/ocr/transportation-license 机动车销售发票识别 /v1.0/ocr/mvs-invoice /v2/{project_id}/ocr/mvs-invoice 名片识别 /v1.0/ocr/business-card /v2/{project_id}/ocr/business-card VIN码识别 /v1.0/ocr/vin /v2/{project_id}/ocr/vin 保险单识别 /v1.0/ocr/insurance-policy /v2/{project_id}/ocr/insurance-policy 电子面单识别 /v1.0/ocr/waybill-electronic /v2/{project_id}/ocr/waybill-electronic

识别结果容易漏字或多识别出内容怎么办？ 识别结果是根据识别区来进行提取的，识别区的位置和大小均会影响识别结果。 若结果漏字，可能是由于识别区太小导致的，需在相应模板的"框选识别区"页面，把漏字的识别区调大一些。 若多识别出文字，可能是识别区太大，将周边无关的文字也框进来了，需将识别区改小一点。 若上述办法均无法解决，请检查识别区的文字是否发生了偏移，或者识别图片是否跟模板属于相同版式。 父主题： 常见问题

工作流简介 功能介绍 支持用户自定义多个文字识别模板，通过模型分类，自动识别图片所需使用的模板，从而支持从大量不同板式图像中提取结构化信息。 适用场景 用户认证识别 识别证件中关键信息，节省人工录入，提升效率，降低用户实名认证成本，准确快速便捷。 快递单自动填写 识别图片中联系人信息并自动填写快递单，减少人工输入。 合同录入与审核 自动提取合同结构化信息，有助快速审核。 优势 解决手工录入投入大、效率低、语种多等问题，提升业务效率。 一键式部署，快速输出高精度结构化数据。 解决单据复杂、单据板式多、语种多问题，支持自定义多个图像板式，快速适配新板式，快速接入业务。 支持从多个不同板式图像中提取结构化信息。

新增模板配置 默认进入“新增模板配置”页签。 图4 新增模板配置 单击添加多个模板，针对每个模板，选择模板类型，并且上传图片。 “上传图片”：单击“上传图片”区域，或鼠标直接拖拽图片至“上传图片”区域，上传本地一张图片作为模板，用于业务场景的文字结构化识别。 “修改模板名称”：单击图片右侧的，在弹出的输入框中输入新的模板名称，单击“确认”。 “删除模板”：单击图片右侧“删除”，在弹出的确认删除对话框中单击“确认”。 “语种”：单击图片右侧“语种”下拉选择框，选择模板对应的语种。不选择的情况下，默认为中英文。 确认信息后，单击“下一步”，进入定义预处理步骤，对上传的模板图片进行自动旋转、裁剪等预处理。

如何选取参照字段？ 参照字段是在所有图片中，文字位置和内容均不发生变化的文字。 参照字段有两个作用： 在单模板应用中，用于矫正识别图片，从而找准识别字段； 在多模板应用中，参照字段的内容和位置将作为相应模板的分类特征。 在框选参照字段时，首先要确保所框选的文字位置和内容都固定不变，如果不满足此要求，可能会提取到错误的识别结果，或是返回AIS.0119（输入图片与模板匹配失败）、AIS.0120（输入图片分类失败）。 为了获得更好的识别效果： 尽可能多框选参照字段，建议不少于4个参照字段，并尽量分散在四周。 在多模板应用中，为了获得较好的分类效果，还应该框选各个模板中有独有的参照字段。 如果不确定哪些文字是参照字段，或是想快速评估模板效果的，可以跳过"框选参照字段"流程，当后台检测到模板没有配置任何参照字段时，会自动寻找合适的参照字段进行识别，此功能可以提高项目开发与验证的效率。 父主题： 常见问题

识别字符出现错误如何优化？ 不同的错误情形需要具体分析： 情形1：大部分文字识别正确，部分形近符号的识别错误。 解决办法：产品提供了预置字段类型可以对结果进行处理，同时也提供了自定义（正则）类型、字典类型，用于纠正识别结果中的错误，适用范围详见字段类型。此外，您也可以在调用程序中使用字符串替换、正则抽取等规则来修正识别结果。 情形2：单模板工作流识别出错，且大部分字段为空或错误。 解决办法：请检查参照字段是否框选正确，或尝试框选更多参照字段（框选办法参照框选参照字段），如果新增参照字段后仍有问题，请检查识别图片与模板图片是否为同一个版式，如果为新版式，请考虑创建新模板或使用多模板分类工作流。 情形3：多模板识别工作流出错，大部分字段为空或错误。 解决办法：先检查分类结果是否正确（返回结果中的template_id表示分类结果），若分类错误，则说明分类器中存在相似的模板导致分类出错，请在参照字段中添加模板特有的参照字段，从而提高分类的鉴别能力。若分类结果正确，但识别结果错误，请参照情形2的解决办法。 父主题： 常见问题

基本概念 参照字段为模板图片和待识别图片中的公共文字部分，所有需要识别的图片中都要包含参照字段，且位置必须固定。 套件提供了自动搜索参照字段和手动框选参照字段这两种模式。 自动搜索参照字段：未手动框选任何参照字段的情况下，默认激活自动搜索参照字段模式。 手动框选参照字段：若手动框选了任意参照字段，将激活手动框选模式。 当识别图片的场景比较单一时，即只有一种模板，且参照字段不容易与其他文字混淆时，可以使用自动参照字段来简化模板制作过程，否则建议手动框选，详细步骤请参见操作步骤。

数据要求 受技术与成本多种因素制约，文字识别服务存在一些约束限制。 以通用文字识别API为例，输入数据存在以下约束。其他API的的使用约束请参见约束与限制。 只支持识别PNG、JPG、JPEG、BMP、TIFF格式的图片。 图像各边的像素大小在15px到8192px之间。 图像中识别区域有效占比超过80%，保证所有文字及其边缘包含在图像内。 支持图像任意角度的水平旋转。 目前不支持复杂背景（如户外自然场景、防伪水印等）和文字扭曲图像的文字识别。

数据传入方式 使用OCR API或SDK时，数据主要通过以下两种方法传入。 image 传入图片的base64编码。 您可以通过在线转码工具，浏览器，使用Python中的base64.b64encode函数等方法，获取图片的base64编码。 url 传入图片的url路径。 使用公网http/https url，例如https://support.huaweicloud.com/api-ocr/zh-cn_image_0288038400.png 将图片上传至华为云对象存储服务（OBS）中，使用OBS提供的url。使用OBS数据需要进行授权。包括对服务授权、临时授权、匿名公开授权，详情参见配置OBS访问权限。

应用场景简介 OCR支持通过企业项目管理（EPS）对不同用户组和用户的资源使用，进行分账。企业可以根据组织架构规划不同的企业项目，并为每个企业项目设置拥有不同权限的用户组和用户，多个企业项目之间相互独立，资源分开结算。 企业账号可申请开通企业项目。账号需要进行企业实名认证。如果企业账号注册成为华为云合作伙伴，将无法进入企业项目管理页面。 开通企业项目后，企业项目内的用户在调用OCR API时，只有在请求Header参数中传入Enterprise-Project-Id（企业项目ID）后，才支持按不同企业项目进行财务统计。传参方式详见API文档。 该功能仅支持开通在华北-北京一、华北-北京四、华东-上海一区域的API，不同API的部署情况请参见终端节点。 图1 企业项目管理示意图 父主题： 企业项目管理

入门实践 当您购买AppStage后，可以根据自身的业务需求使用AppStage提供的一系列常用实践。 表1 常用最佳实践 实践 描述 一站式应用开发、应用托管以及应用运维 介绍如何使用应用平台AppStage一站式功能，完成基于应用维度提供的开发、测试、版本发布、托管部署、运维监控的全场景全生命周期管理。 基于运维数仓的数据开发与应用 介绍如何通过AppStage运维中心完成对业务实时数据的接入、处理、开发与应用。 基于Spring Cloud框架进行应用上云 以Spring Cloud Demo项目为例，带您体验使用AppStage的开发中心、运维中心及运行时引擎进行工程创建、代码开发、打包发布、部署上线的全过程。

WAF权限 默认情况下，创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 WAF部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问WAF时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对WAF服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，WAF支持的API授权项请参见WAF权限及授权项。 如表1所示，包括了WAF的所有系统角色。 表1 WAF系统角色 系统角色/策略名称 描述 类别 依赖关系 WAF Administrator Web应用防火墙 服务的管理员权限。 系统角色 依赖Tenant Guest和Server Administrator角色。 Tenant Guest：全局级角色，在全局项目中勾选。 Server Administrator：项目级角色，在同项目中勾选。 WAF FullAccess Web应用防火墙服务的所有权限。 系统策略 无。 WAF ReadOnlyAccess Web应用防火墙的只读访问权限。 系统策略

WAF FullAccess策略内容 { "Version": "1.1", "Statement": [ { "Action": [ "waf:*:*", "lts:groups:get", "lts:groups:list", "lts:topics:get", "lts:topics:list", "smn:*:list*", "vpc:*:get*", "vpc:*:list*", "ecs:*:get*", "ecs:*:list*", "elb:*:get*", "elb:*:list*" ], "Effect": "Allow" } ]}

WAF ReadOnlyAccess策略内容 { "Version": "1.1", "Statement": [ { "Action": [ "waf:*:get*", "waf:*:list*", "lts:groups:get", "lts:groups:list", "lts:topics:get", "lts:topics:list", "smn:*:list*", "vpc:*:get*", "vpc:*:list*", "ecs:*:get*", "ecs:*:list*", "elb:*:get*", "elb:*:list*" ], "Effect": "Allow" } ]}

审计与日志 审计 云审计 服务（Cloud Trace Service， CTS ），是华为 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后，CTS可记录WAF的管理事件和数据事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 CTS支持追踪的WAF操作列表，请参见标签管理服务支持的WAF操作列表。 日志 出于分析或审计等目的，用户开启了云审计服务后，系统开始记录WAF资源的操作。云审计服务管理控制台保存最近7天的操作记录。 关于WAF云审计日志的查看，请参见查看审计日志。 父主题： 安全

功能特性 通过Web应用防火墙，轻松应对各种Web安全风险，Web应用防火墙支持功能如下表。 功能类别 功能说明 业务配置 域名 （泛域名、一级域名、二级域名等各级域名）/IP防护 说明： WAF云模式支持域名备案检查，添加防护域名时，WAF会检查域名备案情况，未备案域名将无法添加到WAF。 WAF支持云模式-CNAME接入、云模式-ELB接入和独享模式三种部署模式，各部署模式支持防护的对象说明如下： 云模式-CNAME接入：域名，华为云、非华为云或云下的Web业务 云模式-ELB接入：域名或IP（公网IP/私网IP），华为云的Web业务 独享模式：域名或IP（公网IP/私网IP），华为云的Web业务 HTTP/HTTPS业务防护 支持对网站的HTTP、HTTPS流量进行安全防护。 支持WebSocket/WebSockets协议 WAF支持WebSocket/WebSockets协议，且默认为开启状态。 非标端口防护 Web应用防火墙除了可以防护标准的80，443端口外，还支持非标准端口的防护。 Web应用安全防护 Web基础防护 说明： 防护动作为“拦截”时，可使用攻击惩罚标准功能，即当恶意请求被拦截时，可自动封禁访问者一段时间。 覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对漏洞攻击、网页木马等威胁进行检测和拦截。 常规检测 防护SQL注入、XSS跨站脚本、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击。 Webshell检测 防护通过上传接口植入网页木马。 识别精准 内置语义分析+正则双引擎，黑白名单配置，误报率更低。 支持防逃逸，自动还原常见编码，识别变形攻击能力更强。 默认支持的编码还原类型：url_encode、Unicode、xml、OCT（八进制）、HEX（十六进制）、html转义、base64、大小写混淆、javascript/shell/php等拼接混淆。 深度检测 深度反逃逸识别（支持同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等的防护）。 header全检测 支持对请求里header中所有字段进行攻击检测。 Shiro解密检测 支持对Cookie中的rememberMe内容做AES，Base64解密后再检测。 CC攻击防护规则 限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，WAF会根据您配置的规则，精准识别CC攻击以及有效缓解CC攻击。 精准访问防护规则 说明： 防护动作为“阻断”时，可使用攻击惩罚标准功能，即当恶意请求被拦截时，可自动封禁访问者一段时间。 对常见的HTTP字段（如IP、路径、Referer、User Agent、Params等）进行条件组合，配置强大的精准访问控制策略；支持盗链防护、空字段拦截等防护场景。 黑白名单规则 说明： 防护动作为“拦截”时，可使用攻击惩罚标准功能，即当恶意请求被拦截时，可自动封禁访问者一段时间。 配置黑白名单规则，阻断、仅记录或放行指定IP的访问请求，即设置IP黑/白名单。 地理位置访问控制规则 针对指定国家、地区的来源IP自定义访问控制。 网页防篡改规则 当用户需要防护静态页面被篡改时，可配置网页防篡改规则。 网站反爬虫规则 动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别700+种爬虫行为。 特征反爬虫 自定义扫描器与爬虫规则，用于阻断网页爬取行为，添加定制的恶意爬虫、扫描器特征，使爬虫防护更精准。 JS脚本反爬虫 通过自定义规则识别并阻断JS脚本爬虫行为。 防敏感信息泄露规则 该规则可添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 全局白名单规则 针对特定请求忽略某些攻击检测规则，用于处理误报事件。 隐私屏蔽规则 隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。 高级配置 PCI DSS/PCI 3DS合规认证和TLS TLS支持TLS v1.0、TLS v1.1、TLS v1.2三个版本和9种加密套件，可以满足各种行业客户的安全需求。 WAF支持PCI DSS和PCI 3DS合规认证功能。 IPv6防护 Web应用防火墙支持IPv6/IPv4双栈，针对同一域名可以同时提供IPv6和IPv4的流量防护。 针对仍然使用IPv4协议栈的Web业务，Web应用防火墙支持NAT64机制（NAT64是一种通过 网络地址转换 （NAT）形式促成IPv6与IPv4主机间通信的IPv6转换机制），即WAF可以将IPv4源站转化成IPv6网站，将外部IPv6访问流量转化成对内的IPv4流量。 熔断保护 当502/504请求数量或读等待URL请求数量以及占比阈值达到您设置的值时，将触发WAF熔断功能开关，实现宕机保护和读等待URL请求保护。 配置攻击惩罚的流量标识 WAF根据配置的流量标识识别客户端IP、Session或User标记，以分别实现IP、Cookie或Params恶意请求的攻击惩罚功能。 手动设置网站连接超时时间 浏览器到WAF引擎的连接超时时长默认是120秒，该值取决于浏览器的配置，该值在WAF界面不可以手动设置。 WAF到客户源站的连接超时时长默认为30秒，该值可以在WAF界面手动设置，但仅“独享模式”和“云模式”的专业版、铂金版支持手动设置连接超时时长。 高阶功能 内容安全检测服务 基于丰富的违规样例库和 内容审核 专家经验，通过机器审核加人工审核结合的方式，帮助您准确检测出Web网站和新媒体平台上的关于涉黄、涉赌、涉毒、暴恐、违禁等敏感违规内容，并提供文本内容纠错审校，助您降低内容违规风险 防护事件管理 当Web应用防火墙拦截或者仅记录的攻击事件为误报时，用户可通过Web应用防火墙处理误报事件、查看事件详情。 用户可以通过Web应用防火墙服务下载5天内的全量防护事件数据。 WAF支持全量日志功能，您可以将攻击日志、访问日志记录到华为云的 云日志 服务（Log Tank Service，简称LTS）。 告警通知 通过对攻击日志进行通知设置，WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式（例如邮件或短信）发送给用户。 同时，您也可以配置证书到期通知，证书即将到期时，WAF将通过用户设置的接收通知方式（例如邮件或短信）通知用户。 安全可视化 提供简洁友好的控制界面，实时查看攻击信息和事件日志。 策略事件集中配置 在Web应用防火墙服务的控制台集中配置适用于多个防护域名的策略，快速下发，快速生效。 流量及事件统计信息 实时查看访问次数、安全事件的数量与类型、详细的日志信息。 灵活性、可靠性 多区域多集群部署，支持负载均衡，可在线平滑扩容，没有单点故障，最大限度保护业务运行稳定。

不同服务版本支持的功能特性 选择接入模式和服务版本规模后，您还需要综合考虑，选择的“接入模式+服务版本”组合支持的安全功能是否满足业务需要。详细信息如表3所示。 标识说明： √：表示在当前版本中支持。 ×：表示在当前版本中不支持。 -：表示不涉及，通过ELB实现。ELB支持的功能特性详见弹性负载均衡功能特性对比。 表3 安全功能特性 功能模板 功能说明 云模式-CNAME接入 云模式-ELB接入（标准版/专业版/铂金版） 独享模式（按需计费） 入门版 标准版 专业版 铂金版 域名扩展包 一个域名扩展包支持防护10个域名。 × √ √ √ √ × QPS扩展包 一个QPS扩展包包含： 对于部署在华为云的Web应用： 业务带宽：50Mbit/s。 每秒钟的请求量：1000QPS。 对于未部署在华为云的Web应用： 业务带宽：20Mbit/s。 每秒钟的请求量：1000QPS。 × √ √ √ √ × 规则扩展包 一个规则扩展包包含10条IP黑白名单防护规则。 × √ √ √ √ × 域名备案检查 使用“云模式-CNAME接入”时，WAF会检查域名备案情况，未备案域名将无法添加。 √ √ √ √ × × 泛域名 接入WAF时，支持添加泛域名（例如，*.example.com）。 × √ √ √ √ √ 非标准端口防护 防护除80、443标准端口外的特定非标准端口上的业务。 × √ √ √ - √ 非标准端口定制 支持通过提交工单，申请除80、443标准端口外的其他非标准端口。 × × √ √ - × 批量灵活配置防护策略 支持为防护域名批量灵活配置防护策略。 √（仅支持批量配置全局白名单规则） × √ √ √ √ 为防护域名绑定已有防护策略 添加防护域名时，支持为域名绑定防护策略。 “系统自动生成策略”（默认）：如果已添加的防护策略达到配额，不支持选择该项。 自定义防护策略：根据防护需求创建的防护策略。更多信息，请参见配置防护策略。 ×（仅支持“系统自动生成策略”） ×（仅支持“系统自动生成策略”） √ √ √ √ 为防护策略批量配置防护域名 支持为防护策略批量配置适用的防护域名。 × × √ √ √ √ IPv6防护 支持IPv6访问流量的安全检测与防护。 说明： 支持IPv6防护的版本，请参考哪些版本支持IPv6防护？。 × × √ √ - ×- 常见的Web应用攻击防护 包括SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等。 √ √ √ √ √ √ 0Day漏洞防护 支持云端自动更新最新0Day漏洞防护规则，及时下发0Day漏洞虚拟补丁。 √ √ √ √ √ √ Webshell检测 支持防护通过上传接口植入网页木马。 √ √ √ √ √ √ 深度检测 包括同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸检测。 √ √ √ √ √ √ header全检测 包括对请求里header中所有字段进行攻击检测。 √ √ √ √ √ √ CC攻击防护 通过限制单个IP/Cookie/Referer访问者对防护网站上源端的访问频率等，精准识别CC攻击以及有效缓解CC攻击。 × √ √ √ √ √ 精准访问防护 对常见的HTTP字段进行条件组合，筛选访问请求，并对命中条件的请求设置仅记录、放行或阻断操作。 × √（不支持全检测） √ √ √ √ 引用表管理 对路径、User Agent、IP、Params、Cookie、Referer、Header这些单一类型的防护指标进行批量配置。 × × √ √ √ √ IP黑白名单设置 一键放行或封禁特定的IP地址的访问，支持批量导入IP地址/IP地址段。 × √ √ √ √ √ 地理位置访问控制 支持对指定国家、省份的IP自定义访问控制。 × × √ √ √ √ 网页防篡改 锁定需要保护的网站页面（例如敏感页面），防止内容被恶意篡改。 × √ √ √ × √ 网站反爬虫 检测并拦截搜索引擎、扫描器、脚本工具、其它爬虫等爬虫行为。 × × √ √ √ √ 检测并拦截JS脚本反爬虫检测行为。 × × √ √ × √ 防敏感信息泄露 支持身份证号、电话号码、电子邮箱等重要隐私数据的泄露防护。 × × √ √ × √ 全局白名单规则 误报情况，您可以添加白名单对误报进行忽略。 √ √ √ √ √ √ 隐私屏蔽 屏蔽隐私信息，避免用户的密码等信息出现在事件日志中。 × √ √ √ √ √ 资源建议 使用独享实例时，建议在 云监控 （ CES ）服务配置资源监控及告警：建议CPU使用率不超过70%，内存使用率不超过80%。 说明： 当业务请求较大或自定义防护策略复杂时，会增加对CPU、内存的消耗；极端情况下，性能指标会有较大波动。建议根据业务模型压测后，做好性能规格的评估。 - - - - - √

不同服务版本支持的业务规格 选择接入方式后，您需要根据实际业务规模，选择适合的服务版本。不同服务版本适用的业务规格如表2所示。 “云模式-ELB接入”可使用的业务规格与购买的云模式服务版本对应规格一致，如果已使用“云模式-CNAME接入”，两种接入模式共用域名、QPS（Queries Per Second，例如一个HTTP GET请求就是一个Query）、规则扩展包配额。 购买“云模式”时您可以选择购买域名扩展包、QPS扩展包和规则扩展包，以满足更多域名、更大流量的防护需求，也可以通过变更WAF云模式版本和规格从较低版本升级到任一更高版本。服务版本从低到高依次为：“入门版”、“标准版”、“专业版”、“铂金版”。 表2 适用的业务规格 业务规格 云模式 独享模式（按需计费） 入门版 标准版 专业版 铂金版 正常业务请求峰值 100QPS业务请求 6,000回源长连接（每域名） 2,000QPS业务请求 支持购买QPS扩展包 源站服务器部署在华为云：每个扩展包包含1,000QPS请求量，50Mbit/s带宽 源站服务器未部署在华为云：每个扩展包包含1,000QPS请求量，20Mbit/s带宽 6,000回源长连接（每域名） 5,000QPS业务请求 支持购买QPS扩展包 源站服务器部署在华为云：每个扩展包包含1,000QPS请求量，50Mbit/s带宽 源站服务器未部署在华为云：每个扩展包包含1,000QPS请求量，20Mbit/s带宽 6,000 回源长连接（每域名） 10,000QPS业务请求 支持购买QPS扩展包 源站服务器部署在华为云：每个扩展包包含1,000QPS请求量，50Mbit/s带宽 源站服务器未部署在华为云：每个扩展包包含1,000QPS请求量，20Mbit/s带宽 6,000 回源长连接（每域名） 以下数据为单实例规格： WAF实例规格选择WI-500，参考性能： HTTP业务：建议5,000QPS HTTPS业务：建议 4,000QPS Websocket业务：支持最大并发连接5,000 最大回源长连接：60,000 WAF实例规格选择WI-100，参考性能： HTTP业务：建议1,000QPS HTTPS业务：建议800QPS Websocket业务：支持最大并发连接1,000 最大回源长连接：60,000 业务带宽阈值（源站服务器部署在华为云） 10Mbit/s 100Mbit/s 支持购买QPS扩展包（每个扩展包包含50Mbit/s带宽和1,000QPS请求量） 200Mbit/s 支持购买QPS扩展包（每个扩展包包含50Mbit/s带宽和1,000QPS请求量） 300Mbit/s 支持购买QPS扩展包（每个扩展包包含50Mbit/s带宽和1,000QPS请求量） WAF实例规格选择WI-500，参考性能： 吞吐量：500Mbps WAF实例规格选择WI-100，参考性能： 吞吐量：100Mbps 业务带宽阈值（源站服务器未部署在华为云） 10Mbit/s 30Mbit/s 支持购买QPS扩展包（每个扩展包包含20Mbit/s带宽和1,000QPS请求量） 50Mbit/s 支持购买QPS扩展包（每个扩展包包含20Mbit/s带宽和1,000QPS请求量） 100Mbit/s 支持购买QPS扩展包（每个扩展包包含20Mbit/s带宽和1,000QPS请求量） - 域名个数 10个 10个 支持购买域名扩展包（每个扩展包包含10个域名） 50个 支持购买域名扩展包（每个扩展包包含10个域名） 80个 支持购买域名扩展包（每个扩展包包含10个域名） 2,000个 回源IP（单个防护域名支持的回源服务器IP个数） 10个 20个 50个 80个 - 支持的端口个数 标准端口：2个（80，443） 标准端口：2个（80，443） 非标准端口：可使用WAF支持的端口列表中的任意端口，不限制数量 标准端口：2个（80，443） 非标准端口： 可使用WAF支持的端口列表中的任意端口，不限制数量 若使用WAF支持的端口列表外的端口，提交工单申请开通 标准端口：2个（80，443） 非标准端口： 可使用WAF支持的端口列表中的任意端口，不限制数量 若使用WAF支持的端口列表外的端口，提交工单申请开通 标准端口：2个（80，443） 非标准端口：可使用WAF支持的端口列表中的任意端口，不限制数量 CC攻击防护峰值 - 100,000QPS 200,000QPS 1,000,000QPS WAF实例规格选择WI-500，参考性能： 防护峰值：20,000QPS WAF实例规格选择WI-100，参考性能： 防护峰值：4,000QPS CC攻击防护规则 - 20条 50条 100条 100条 精准访问防护规则 - 20条 50条 100条 100条 引用表规则 - - 50条 100条 100条 IP黑白名单规则 - 1000条 支持购买规则扩展包（每个扩展包包含10条IP黑白名单防护规则） 2000条 支持购买规则扩展包（每个扩展包包含10条IP黑白名单防护规则） 5000条 支持购买规则扩展包（每个扩展包包含10条IP黑白名单防护规则） 1000条 地理位置封禁规则 - - 50条 100条 100条 网页防篡改规则 - 20条 50条 100条 100条 网站反爬虫规则 - - 50条 100条 100条 防敏感信息泄露 - - 50条 100条 100条 全局白名单规则 1000条 1000条 1000条 1000条 1000条 隐私屏蔽规则 - 20条 50条 100条 100条 安全报告模板 5个 5个 10个 20个 20个 域名个数说明： 域名个数为一级域名（例如，example.com）、单域名/二级域名等子域名（例如，www.example.com）和泛域名（例如，*.example.com）的总数。 同一个域名对应不同端口视为不同的域名，例如www.example.com:8080和www.example.com:8081视为两个不同的域名，将占用两个不同的域名防护额度。 WAF支持上传的证书套数和WAF支持防护的域名的个数相同。例如，购买了标准版WAF（支持防护10个域名）、1个独享版WAF（支持防护2,000个域名）和域名扩展包（20个域名），WAF可以防护2,030个域名，则WAF支持上传2,030套证书。

服务版本概述 WAF服务版本的选择与要使用的接入方式、服务版本支持的规格和功能相关。 接入方式 WAF提供两种模式：云模式和独享模式。其中，云模式支持“云模式-CNAME接入”、“云模式-ELB接入”两种接入方式。关于接入方式的详细说明，请参见接入方式说明。 服务版本 为适应不同业务场景的需求，WAF提供多个服务版本以供选择。不同服务版本适用的业务规格请参见不同服务版本支持的业务规格，支持的功能特性请参见不同服务版本支持的功能特性。 云模式仅支持包年/包月计费模式。 如果使用“云模式-CNAME接入”，可选择“入门版”、“标准版”、“专业版”、“铂金版”；如果使用“云模式-ELB接入”，可选择“标准版”、“专业版”、“铂金版”。 不同接入方式与服务版本的配套关系如图1所示。 独享模式仅支持按需计费模式。 图1 服务版本配套关系说明 使用“云模式-ELB接入”时，需要购买云模式包年/包月的标准版、专业版或铂金版后，提交工单申请开通。“云模式-ELB接入”支持使用的Region请参考功能总览。 独享模式在部分区域已经停售，详见独享模式停售通知。已购买该版本的用户不受影响，可继续使用和续费。

服务韧性 华为云WAF按规则部署在全球各地，所有数据中心都处于正常运营状态，无一闲置。数据中心互为灾备中心，如一地出现故障，系统在满足合规政策前提下自动将客户应用和数据转离受影响区域，保证业务的连续性。为了减少由硬件故障、自然灾害或其他灾难带来的服务中断，华为云WAF提供灾难恢复计划。 当发生故障时，WAF的五级可靠性架构支持不同层级的可靠性，因此具有更高的可用性、容错性和可扩展性。 华为云WAF已面向全球用户服务，并在多个分区部署，同时WAF的所有管理面、引擎等组件均采用主备或集群方式部署。分区部署详情参见可用分区。 父主题： 安全