华为云用户手册

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Security-Token 否 String 如果正在使用临时安全凭据，则此header是必需的，该值是临时安全凭据的安全令牌（会话令牌）。 最大长度：2048 表3 请求Body参数 参数 是否必选 参数类型 描述 group_ids 是 Array of strings 用户组标识符列表。 最小长度：1 最大长度：47 数组长度：1-100 member_id 是 Object 包含组成员标识符的对象。 表4 member_id 参数 是否必选 参数类型 描述 user_id 是 String 身份源中 IAM 身份中心用户的全局唯一标识符（ID）。 最小长度：1 最大长度：47

响应参数 状态码： 200 表5 响应Body参数 参数 参数类型 描述 identity_store_id String 身份源的全局唯一标识符（ID）。 membership_id String 身份源中用户和组关联关系的全局唯一标识符（ID）。 状态码： 400 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误信息。 request_id String 请求ID。 encoded_authorization_message String 鉴权信息。 状态码： 403 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误信息。 request_id String 请求ID。 encoded_authorization_message String 鉴权信息。

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Security-Token 否 String 如果正在使用临时安全凭据，则此header是必需的，该值是临时安全凭据的安全令牌（会话令牌）。 最大长度：2048 表3 请求Body参数 参数 是否必选 参数类型 描述 group_id 是 String 身份源中IAM身份中心用户组的全局唯一标识符（ID）。 最小长度：1 最大长度：47 member_id 是 Object 包含组成员标识符的对象 表4 member_id 参数 是否必选 参数类型 描述 user_id 是 String 身份源中IAM身份中心用户的全局唯一标识符（ID）。 最小长度：1 最大长度：47

请求示例 根据用户ID和用户组ID，查询对应的关联关系ID。 POST https://{hostname}/v1/identity-stores/{identity_store_id}/group-memberships/retrieve-group-membership-id { "group_id" : "0efaa0db-6aa4-7aaa-6aa5-c222aaaaf31a", "member_id" : { "user_id" : "ac6aa714-daa7-1aaa-aaa2-6715aaaa4dd9" } }

Web应用防火墙 是否支持IPv4和IPv6共存？ WAF支持IPv4和IPv6共存，针对同一域名可以同时提供IPv6和IPv4的流量防护。 Web应用防火墙支持IPv6/IPv4双栈，针对同一域名可以同时提供IPv6和IPv4的流量防护。 针对仍然使用IPv4协议栈的Web业务，Web应用防火墙支持NAT64机制（NAT64是一种通过 网络地址转换 （NAT）形式促成IPv6与IPv4主机间通信的IPv6转换机制），即WAF可以将外部IPv6访问流量转化成对内的IPv4流量。 哪些Region支持IPv6防护请参考功能总览。 仅云模式专业版和铂金版支持IPv6防护。 父主题： 功能说明类

Web应用防火墙是否支持SSL双向认证？ 不支持。您可以在WAF上配置单向的SSL证书。 添加防护网站时，如果“对外协议”使用了HTTPS协议，您需要上传证书使证书绑定到防护网站。 建议您使用ELB+独享WAF的模式，在ELB上配置双向认证，具体的操作如下： 购买WAF独享模式。 将网站接入WAF并配置负载均衡（ELB），具体请参见网站接入流程（独享模式）。 在ELB上配置双向认证，具体请参见HTTPS双向认证。

HTTP 2.0业务接入WAF防护是否会对源站有影响？ HTTP 2.0业务接入WAF防护对源站有影响。HTTP 2.0业务接入WAF防护表示WAF可以处理客户端的HTTP 2.0请求，而WAF目前仅支持以HTTP 1.0/1.1协议转发回源请求，即WAF与源站间暂不支持HTTP 2.0。因此，如果您将HTTP 2.0业务接入WAF防护，则源站的HTTP 2.0特性将会受到影响，例如，源站HTTP 2.0的多路复用特性可能失效，造成源站业务请求量上升。

接入WAF对现有业务和服务器运行有影响吗？ 接入WAF不需要中断现有业务，不会影响源站服务器的运行状态，即不需要对源站服务站进行任何操作（例如关机或重启）。 以云模式的CNAME接入方式接入WAF时，您需要修改DNS解析使流量经过WAF进行转发。修改DNS解析可能会影响网站访问业务，建议您在业务量少时进行修改。有关网站接入WAF的详细操作，请参见域名接入配置。 WAF支持云模式-CNAME接入、云模式-ELB接入和独享模式三种部署模式，各部署模式支持防护的对象说明如下： 云模式-CNAME接入：域名，华为云、非华为云或云下的Web业务 云模式-ELB接入：域名或IP，华为云的Web业务 独享模式：域名或IP，华为云的Web业务 有关三个部署模式应用场景和差异的详细说明，请参见服务版本差异。

如何处理Appscan等扫描器检测结果为Cookie缺失Secure/HttpOnly？ Cookie是后端Web Server插入的，可以通过框架配置或set-cookie实现，其中，Cookie中配置Secure，HttpOnly有助于防范XSS等攻击获取Cookie，对于Cookie劫持有一定的防御作用。 Appscan扫描器在扫描网站后发现客户站点没有向扫描请求Cookie中插入HttpOnly Secure等安全配置字段将记录为安全威胁。 当“对外协议”配置为HTTPS时，WAF支持在网站基本信息页面，开启“Cookie安全属性”，开启后会将Cookie的HttpOnly和Secure属性设置为true。 图1 开启Cookie安全属性 父主题： 其他类

哪些版本支持IPv6防护？ WAF支持IPv6防护，详细说明如下： 云模式的CNAME接入的专业版和铂金版支持IPv6的防护。 独享模式/云模式-ELB接入没有公网IP，公网IP绑定在ELB的弹性公网IP上 ，如果独享模式/模式-ELB接入所在的ELB支持IPv6，那么独享模式/模式-ELB接入也支持IPv6。 Web应用防火墙支持IPv6/IPv4双栈，针对同一域名可以同时提供IPv6和IPv4的流量防护。 针对仍然使用IPv4协议栈的Web业务，Web应用防火墙支持NAT64机制（NAT64是一种通过网络地址转换（NAT）形式促成IPv6与IPv4主机间通信的IPv6转换机制），即WAF可以将外部IPv6访问流量转化成对内的IPv4流量。 哪些Region支持IPv6防护请参考功能总览。 父主题： IPv6配置

如何降低Web应用防火墙的版本和规格？ WAF云模式提供了入门版、标准版、专业版和铂金版四种服务版本。WAF支持降低WAF的版本和域名扩展包、QPS扩展包、规则扩展包的数量，如果您需要降低当前的WAF版本和规格，在页面的右上角，单击“变更”，进入“变更Web应用防火墙规格”页面进行操作，详细操作请参见变更WAF云模式版本和规格。 变更版本：在“版本”所在行的“变更详情”列，单击“变更版本”，选择规格版本并单击“确定”。 变更扩展包：分别在“域名额度”、“QPS额度”、“规则额度”所在行的变更详情列，增加或减少扩展包数量。 默认不支持将扩展包数量降到0，如果您需要将扩展包数量降到0，单击“退订”进行处理。 计费信息：变更规格不改变计费模式与到期时间。 已到期的服务版本，不支持变更规格，请先完成续费再变更规格。 扩展包只能退订未使用的扩展包。 有关WAF各版本规格的详细说明，请参见服务版本差异。 有关退订的详细操作，请参见如何退订Web应用防火墙？。 有关退订重购后，原配置数据的相关说明，请参见退订后重购WAF，原配置数据可以保存吗？。 父主题： 变更规格类

修订记录 发布日期 修改说明 2024-04-10 第一百四十八次正式发布。 修改： 连接超时时长是多少，是否可以手动设置该时长？ 如何处理Appscan等扫描器检测结果为Cookie缺失Secure/HttpOnly？ 2024-01-31 第一百四十七次正式发布。 新增：新手入门常见问题，同类问题进行了整合。 修改：域名/IP接入状态显示“未接入”，如何处理？ 2023-11-30 第一百四十六次正式发布。 修改： 如何将Web基础防护的仅记录模式切换为拦截模式？ 如何对异常IP进行封堵？ 拦截所有来源IP或仅允许指定IP访问防护网站，WAF如何配置？ 同时在WAF中添加单域名和泛域名，WAF会优先检测哪个域名？ 2023-11-10 第一百四十五次正式发布。 新增： 如何处理导出的防护事件数据乱码？ 修改： Web应用防火墙是否能防护IP？ 业务请求/规格 2023-09-18 第一百四十四次正式发布。 修改： 如何处理523错误码问题？ 2023-09-05 第一百四十三次正式发布。 修改： Web应用防火墙支持漏洞检测吗？ WAF是否支持防护 CS 架构的网站？ 2023-09-01 第一百四十二次正式发布。 修改如何排查404/502/504错误？。 增加WAF对SQL注入、XSS跨站脚本和PHP注入攻击的检测原理？。 2023-08-16 第一百四十一次正式发布。 增加如何解决“源站服务器CPU使用率高达100%”问题？。 2023-08-08 第一百四十次正式发布。 增加： 云模式WAF提供的解析地址是固定IP吗？ 源站IP更改后是否会改变CNAME值？ 更换IP后，需要重新将域名添加到WAF吗？ 如何不拦截带有.js的文件？ 2023-07-20 第一百三十九次正式发布。 增加： WAF是否支持防护CS架构的网站？ WAF云模式是否能防护其他账号下的域名？ WAF需要绑定EIP吗？ 购买内容安全检测服务时，如何确定网站检测配额？ 内容安全检测服务对网站的检测范围是什么？ 购买内容安全检测服务后，多长时间能出报告？ 购买内容安全检测服务后，什么时候扣费？ 修改： 独享版WAF是否支持跨VPC防护？ 如何购买域名扩展包/QPS扩展包/规则扩展包？ Web应用防火墙支持哪些非标准端口？ QPS超过当前WAF版本支持的峰值时有什么影响？ 2023-06-30 第一百三十八次正式发布。 修改： WAF获取真实IP是从报文中哪个字段获取到的? 域名/IP接入状态显示“未接入”，如何处理？ 2023-06-25 第一百三十七次正式发布。 修改未配置子域名和TXT记录的影响？ 2023-06-19 第一百三十六次正式发布。 增加： 精准访问防护规则添加的路径中带有#能匹配吗？ 修改： 添加域名时提示“非法的源站地址”，如何处理？ 2023-06-14 第一百三十五次正式发布。 修改： 如何将Web基础防护的仅记录模式切换为拦截模式？ CC攻击防护规则类 变更规格类 2023-06-01 第一百三十四次正式发布。 增加： 一个独享WAF实例可以接入多个ELB吗？ 添加防护域名时，提示“其他人已经添加了该域名，请确认该域名是否属于你”，如何处理？ WAF是否支持HTTP/3协议吗？ 删除防护域名后CNAME记录会保留多久？ 如何解决“网站被检测到：SSL/TLS 存在Bar Mitzvah Attack漏洞”？ 修改： 主账号与子账号的权限有哪些区别？ 2023-04-30 第一百三十二次正式发布。 修改： 使用WAF后如何处理网站的文件不能上传？ Web应用防火墙支持哪些非标准端口？ 拦截所有来源IP或仅允许指定IP访问防护网站，WAF如何配置？ 增加： 访问独享引擎页面时提示“IAM未授权”？ 2023-04-21 第一百三十一次正式发布。 修改WAF误拦截了“非法请求”访问请求，如何处理？ 2023-04-12 第一百三十次正式发布。 修改如何购买域名扩展包/QPS扩展包/规则扩展包？ 2023-03-28 第一百二十九次正式发布。 修改： 添加域名时，防护网站端口需要和源站端口配置一样吗？ 连接超时时长是多少，是否可以手动设置该时长？ 2023-03-03 第一百二十八次正式发布。 修改： 如何将Web基础防护的仅记录模式切换为拦截模式？ CC攻击防护规则类 变更规格类 2023-02-22 第一百二十七次正式发布。 修改： 如何排查404/502/504错误？ 2023-02-08 第一百二十六次正式发布。 修改： Web应用防火墙是否支持防护非华为云和云下服务器？ 网站接入配置 2023-01-31 第一百二十五次正式发布。 修改以下问题： Web应用防火墙是否支持健康检查？ 如何排查404/502/504错误？ 2022-12-22 第一百二十四次正式发布。 修改WAF获取真实IP是从报文中哪个字段获取到的?。 2022-11-18 第一百二十三次正式发布。 新增以下问题： 防护事件列表中，防护动作为“不匹配”是什么意思呢？ WAF获取真实IP是从报文中哪个字段获取到的? 2022-11-02 第一百二十二次正式发布。 新增以下问题： 独享版WAF是否支持跨VPC防护？ WAF中的防SQL注入攻击和DBSS中的SQL注入的区别？ 如何处理“协议不受支持，客户端和服务器不支持一般 SSL 协议版本或加密套件”？ 修改以下问题： 接入Web应用防火墙的域名需要备案吗？ 2022-10-25 第一百二十一次正式发布。 修改以下问题： 业务使用了IPv6，WAF中的源站地址如何配置？ 如何放行云模式WAF的回源IP段？ 如何降低Web应用防火墙的版本和规格？ 哪些版本支持IPv6防护？ 2022-09-13 第一百二十次正式发布。 修改WAF对SQL注入、XSS跨站脚本和PHP注入攻击的检测原理？：增加“WAF针对XSS攻击的检测原理”。 2022-09-07 第一百一十九次正式发布。 修改Web应用防火墙支持哪些非标准端口？ 2022-09-05 第一百一十八次正式发布。 修改以下常见问题： 域名/IP接入状态显示“未接入”，如何处理？ 域名/IP如何接入Web应用防火墙？ 如何排查404/502/504错误？ 2022-08-30 第一百一十七次正式发布。 修改： 多个域名 对应同一源站，Web应用防火墙可以防护这些域名吗？ 增加：添加域名时，为什么还有域名配额却提示域名配额不足呢？ 2022-08-03 第一百一十六次正式发布。 修改常见问题Web应用防火墙支持防护哪些区域？。 2022-07-18 第一百一十五次正式发布。 增加如下常见问题： 如何理解WAF日志里的bind_ip参数？ 通过IP接入WAF后，WAF可以防护映射到这个IP的所有域名吗？ 如果业务超时数据较多，如何处理？ 2022-07-06 第一百一十四次正式发布。 修改为什么误报处理不能使用了？：增加了区域限制的描述。 2022-07-04 第一百一十三次正式发布。 修改如下章节： Web基础防护支持设置哪几种防护等级？ Web应用防火墙最多可以添加多少条规则？ 2022-06-28 第一百一十二次正式发布。 修改如下章节： Web应用防火墙是否支持防御XOR注入攻击？ 2022-06-15 第一百一十一次正式发布。 修改如下章节： Web应用防火墙支持防护哪些区域？ Web应用防火墙攻击防护类问题 2022-06-09 第一百一十次正式发布。 修改Web应用防火墙支持哪些非标准端口？章节：增加了新的端口。 2022-05-30 第一百零九次正式发布。 修改Web应用防火墙支持哪些非标准端口？章节。 2022-05-26 第一百零八次正式发布。 增加如下问题： WAF对SQL注入、XSS跨站脚本和PHP注入攻击的检测原理？ WAF是否可以防护Apache Struts2远程代码执行漏洞（CVE-2021-31805）？ 2022-05-13 第一百零七次正式发布。 修改如下问题： Web应用防火墙最多可以添加多少条规则？ 如何解决证书与密钥不匹配问题？ HTTP 2.0业务接入WAF防护是否会对源站有影响？ WAF配置多个源站时如何负载？ 2022-05-05 第一百零六次正式发布。 修改如下问题： Web应用防火墙有IPS入侵防御系统模块吗？ 连接超时时长是多少，是否可以手动设置该时长？ 2022-04-25 第一百零五次正式发布。 修改WAF可以跨企业项目使用吗？，优化了相关描述。 2022-04-21 第一百零四次正式发布。 增加如下常见问题： 源站IP地址服务器更换安全组后，在WAF中需要做更改吗？ 如何查看Web应用防火墙的到期时间？ 2022-04-19 第一百零三次正式发布。 修改如下问题： Web应用防火墙支持哪些Web服务框架/协议？ 连接超时时长是多少，是否可以手动设置该时长？ 2022-04-07 第一百零二次正式发布。 修改如下问题： Web应用防火墙和 云防火墙 有什么区别？，优化了相关描述。 如何排查404/502/504错误？，增加了504的排查方法。 2022-03-17 第一百次正式发布。 修改如下问题： WAF可以跨企业项目使用吗？ 购买或升级WAF时选择了企业项目，其他企业项目可以使用该企业项目的WAF吗？ 2022-03-07 第九十九次正式发布。 文档优化。 2022-02-25 第九十八次正式发布。 增加CC攻击的防护峰值是多少？ 修改如下问题： Web应用防火墙是否支持SSL双向认证？ 独享模式如何防护不支持的非标准端口？ 2022-01-06 第九十七次正式发布。 如何设置使流量不经过WAF，直接访问源站？，优化内容描述。 2021-12-20 第九十六次正式发布。 新增如何查看防护网站的入带宽和出带宽信息？ 2021-11-17 第九十五次正式发布。 新增： 源站开启gzip对WAF有影响吗？ 新增黑白名单规则和精准访问防护规则的拦截指定IP访问请求，有什么差异？ 新增为什么“安全总览”和全量日志统计的日志个数不一致？ 2021-11-08 第九十四次正式发布。 新增为什么WAF显示的流量大小与源站上显示的不一致？ 2021-11-02 第九十三次正式发布。 选择业务QPS时是按照入流量计算还是出流量计算？，优化内容描述。 新增泛域名和单域名都接入WAF，WAF如何转发访问请求？ 新增WAF如何解析/访问IPv6源站？ 2021-10-21 第九十二次正式发布。 哪些版本支持IPv6防护？，优化内容描述。 2021-10-12 第九十一次正式发布。 新增开启网页防篡改后，为什么刷新页面失败？ 2021-09-27 第九十次正式发布。 新增Web应用防火墙和云防火墙有什么区别？ 2021-09-15 第八十九次正式发布。 新增多个端口的服务器，如果某个端口不需要WAF防护，如何处理？ 2021-08-31 第八十八次正式发布。 新增购买或升级WAF时选择了企业项目，其他企业项目可以使用该企业项目的WAF吗？ 2021-08-12 第八十七次正式发布。 新增云模式、独享模式可以互相切换吗？ 新增同一防护域名/IP可以添加到不同的账号进行防护吗？ 新增网站部署了反向代理服务器，如何配置WAF？ 2021-08-06 第八十六次正式发布。 云模式服务版本名称变更：原专业版变更为标准版、原企业版变更为专业版、原旗舰版变更为铂金版。 2021-08-02 第八十五次正式发布。 系统自动生成策略包括哪些防护规则？，优化内容描述。 2021-07-19 第八十四次正式发布。 更新管理控制台入口描述。 2021-07-14 第八十三次正式发布。 新增： WAF会缓存网站数据吗？ 仅放行通过WAF的访问请求，如何配置？ 2021-06-30 第八十二次正式发布。 如何排查404/502/504错误？，优化内容描述。 2021-06-23 第八十一次正式发布。 新增为什么非default企业项目不能使用华为云SCM推送的SSL证书？ 2021-06-02 第八十次正式发布。 新增： WAF支持弹性伸缩功能吗？ WAF转发和Nginx转发有什么区别？ 接入WAF对现有业务和服务器运行有影响吗？ 2021-05-27 第七十九次正式发布。 新增WAF误拦截了“非法请求”访问请求，如何处理？ 2021-05-24 第七十八次正式发布。 新增系统自动生成策略包括哪些防护规则？ 域名/IP接入状态显示“未接入”，如何处理？，优化内容描述。 2021-05-18 第七十七次正式发布。 新增WAF和HSS的网页防篡改有什么区别？ 2021-05-14 第七十六次正式发布。 新增WAF可以防护使用HSTS策略/NTLM代理认证访问的网站吗？ 2021-04-15 第七十四次正式发布。 Web应用防火墙可以拦截Web页面调用其他接口的请求数据吗？，优化内容描述。 2021-04-07 第七十三次正式发布。 新增接入WAF后为什么 漏洞扫描工具 扫描出未开通的非标准端口？ 如何排查404/502/504错误？，优化内容描述。 2021-03-03 第七十二次正式发布。 新增独享模式如何防护不支持的非标准端口？ 2021-02-25 第七十一次正式发布。 Web应用防火墙支持防护哪些区域？，优化内容描述。 2021-02-19 第七十次正式发布。 新增拦截所有来源IP或仅允许指定IP访问防护网站，WAF如何配置？ 2021-02-05 第六十九次正式发布。 新增JS脚本反爬虫的检测机制是怎么样的？ 2021-01-25 第六十八次正式发布。 Web应用防火墙的防护日志可以存储多久？，优化内容描述。 2020-12-31 第六十七次正式发布。 新增如何处理接入WAF后报错414 Request-URI Too Large？ 开启网站反爬虫中的“其他爬虫”会影响网页的浏览速度吗？，更新界面截图。 2020-12-25 第六十六次正式发布。 调整文档框架。 2020-12-11 第六十五次正式发布。 删除云模式按需计费模式相关内容描述。 2020-11-18 第六十四次正式发布。 新增： Web应用防火墙可以防止垃圾注册和恶意注册吗？ 添加域名时，防护网站端口需要和源站端口配置一样吗？ 业务使用了IPv6，WAF中的源站地址如何配置？ 如何处理523错误码问题？，优化内容描述。 2020-11-09 第六十三次正式发布。 新增域名/IP接入状态显示“未接入”，如何处理？ 2020-10-22 第六十二次正式发布。 Web应用防火墙支持哪些Web服务框架/协议？，优化内容描述。 2020-09-23 第六十一次正式发布。 如何排查404/502/504错误？，更新界面截图。 2020-09-11 第六十次正式发布。 修改以下常见问题。 Web应用防火墙如何收费？ 如何退订Web应用防火墙？ 退订后重购WAF，原配置数据可以保存吗？ 2020-08-12 第五十九次正式发布。 修改以下常见问题。 为什么华为云SCM上的SSL证书在WAF上不能查看？ 2020-07-20 第五十八次正式发布。 新增配置“人机验证”CC防护规则后，验证码不能刷新，验证一直不通过，如何处理？ 2020-07-16 第五十七次正式发布。 新增：Web应用防火墙可以拦截multipart/form-data格式的数据包吗？ 2020-07-08 第五十六次正式发布。 新增开启JS脚本反爬虫后，为什么客户端请求获取页面失败？ QPS超过当前WAF版本支持的峰值时有什么影响？，补充独享版相关内容描述。 Web应用防火墙是否支持防护非华为云和云下服务器？，优化内容描述。 Web应用防火墙是否能防护IP？，优化内容描述。 Web应用防火墙支持对哪些对象进行防护？，优化内容描述。 Web应用防火墙是否支持健康检查？，优化内容描述。 Web应用防火墙支持哪些非标准端口？，补充独享版规格说明。 2020-06-24 第五十五次正式发布。 Web应用防火墙支持哪些非标准端口？，补充入门版端口内容描述。 2020-06-16 第五十四次正式发布。 新增以下常见问题。 在安全组中配置WAF白名单，需要开放所有端口吗？ Web应用防火墙可以跨区域使用吗？ 开启网站反爬虫中的“其他爬虫”会影响网页的浏览速度吗？ 为什么华为云SCM上的SSL证书在WAF上不能查看？ ELB已上传的证书，在Web应用防火墙上需要重新导入上传吗？ 2020-06-08 第五十三次正式发布。 新增以下常见问题。 Web应用防火墙切换为Bypass模式后会放行流量吗 ？ Web应用防火墙支持哪些工作模式和防护模式？ 2020-06-02 第五十二次正式发布。 新增以下常见问题。 接入Web应用防火墙的域名需要备案吗？ Web应用防火墙支持基于应用层协议和内容的访问控制吗？ 域名添加到WAF后，域名是否可以修改？ 2020-05-09 第五十一次正式发布。 新增以下常见问题。 QPS超过当前WAF版本支持的峰值时有什么影响？ 续费时如何变更Web应用防火墙的规格？ Web应用防火墙的哪些防护规则支持仅记录模式？ Web应用防火墙支持拦截包含特殊字符的URL请求吗？ Web应用防火墙可以拦截Web页面调用其他接口的请求数据吗？ Web应用防火墙可以配置会话Cookie吗？ Web应用防火墙可以批量配置黑白名单吗？ Web应用防火墙可以同时查询多个指定IP的防护事件吗？ 使用Web应用防火墙对邮件收发和邮件端口有影响吗？ 如何设置使流量不经过WAF，直接访问源站？ 多个端口的服务器，如果某个端口不需要WAF防护，如何处理？ 如果只允许指定地区的IP可以访问，如何设置防护策略？ 如何获取Web应用防火墙销售许可证？ 已使用华为云APIG还需要购买WAF吗？ 2020-03-31 第五十次正式发布。 更新界面截图。 2020-03-19 第四十九次正式发布。 Web应用防火墙支持哪些非标准端口？，修改非标准端口。 什么是区域和可用区？，优化内容描述。 新增以下常见问题。 QPS和请求次数有什么区别？ 什么是防护IP？ Web应用防火墙攻击防护类问题 如何处理418错误码问题？ 如何处理523错误码问题？ 如何对异常IP进行封堵？ Web应用防火墙是否支持SSL双向认证？ Web应用防火墙与漏洞管理服务有哪些区别？ 如何在华为云的云解析服务上配置TXT记录的值？ Web应用防火墙可以导入/导出黑白名单吗？ Web应用防火墙是否可以对用户添加的Post的body进行检查？ Web应用防火墙会记录未拦截的事件吗？ Web应用防火墙的日志可以转储到OBS吗？ 如何降低Web应用防火墙的版本和规格？ Web应用防火墙如何拦截请求内容？ 如何使用A记录进行域名解析？ Web应用防火墙支持配置泛域名吗？ 本地文件包含和远程文件包含是指什么？ WAF、CDN和DDoS高防可以一起使用吗？ Web应用防火墙支持自定义POST拦截吗？ Web应用防火墙可以购买基础版吗？ Web应用防火墙支持自定义授权策略吗？ Web应用防火墙支持日志转发到Syslog Server吗？ 如何解决HTTP配置转发策略后程序访问页面卡顿？ Web基础防护支持设置哪几种防护等级？ 如果证书挂载在ELB上，WAF可以根据请求内容进行拦截吗？ Web应用防火墙支持跨域禁止访问功能吗？ 如何处理域名接入WAF后，登录首页不停地刷新？ 2020-03-06 第四十八次正式发布。 新增以下常见问题。 购买WAF时如何选择业务QPS？ 若流量超过Web应用防火墙的业务请求限制，该如何处理？ 域名/IP如何接入Web应用防火墙？ CDN+WAF如何配置？ DDoS高防+WAF如何配置？ 2020-03-03 第四十七次正式发布。 调整文档架构。 修改未配置子域名和TXT记录的影响？，更新界面截图并优化内容描述。 2020-01-10 第四十六次正式发布。 新增Web应用防火墙是否支持IPv4和IPv6共存？ 新增如何测试在WAF中配置的源站IP是IPv6地址？ 新增Web应用防火墙是否支持多个账号共享使用？ 修改Web应用防火墙是否能防护IP？，优化内容描述。 2019-12-26 第四十五次正式发布。 修改Web应用防火墙支持哪些非标准端口？，优化内容描述。 2019-12-20 第四十四次正式发布。 修改Web应用防火墙支持哪些非标准端口？，优化内容描述。 2019-12-16 第四十三次正式发布。 操作入口连环图更新。 2019-12-09 第四十二次正式发布。 新增连接超时时长是多少，是否可以手动设置该时长？ 新增域名/IP接入WAF前需要准备哪些数据？ 修改：Web应用防火墙是否支持防护非华为云和云下服务器？ 修改Web应用防火墙是否能防护IP？，优化内容描述。 2019-11-14 第四十一次正式发布。 修改Web应用防火墙支持哪些非标准端口？，优化内容描述。 2019-11-07 第四十次正式发布。 新增CC规则里“限速频率”和“放行频率”的区别？ 2019-11-05 第三十九次正式发布。 修改如何排查404/502/504错误？，优化内容描述。 2019-11-04 第三十八次正式发布。 新增： Web应用防火墙有IPS入侵防御系统模块吗？ Web应用防火墙是否支持防护非华为云和云下服务器？ Web应用防火墙是否支持文件缓存？ 防护规则的路径是否区分大小写？ 防护规则条数不够用时，如何处理？ 2019-10-30 第三十七次正式发布。 新增域名接入WAF后，为什么无法开启防护模式？ 新增如何在华为云的云解析服务上进行DNS验证？ 新增如何查询域名提供商？ 新增Web应用防火墙支持对哪些对象进行防护？ 新增配置泛域名时，如何选择证书？ 新增Web应用防火墙最多可以添加多少条规则？ 新增：Web应用防火墙是否支持健康检查？ 新增Web应用防火墙的防护日志可以存储多久？ 新增如何获取拦截的数据？ 新增Web应用防火墙支持记录防护日志吗？ 新增Web应用防火墙的日志是否可以通过API的方式获取？ 2019-10-21 第三十六次正式发布。 新增未配置子域名和TXT记录的影响？ 2019-10-17 第三十五次正式发布。 修改如何使网站流量切入云模式Web应用防火墙？，优化内容描述。 删除“如何处理DNS解析状态异常？”。 2019-10-14 第三十四次正式发布。 修改： Web应用防火墙支持哪些非标准端口？，优化内容描述。 如何排查404/502/504错误？，优化内容描述。 Web应用防火墙支持哪些操作系统？，优化内容描述。 Web应用防火墙支持哪些Web服务框架/协议？，优化内容描述。 2019-09-12 第三十三次正式发布。 新增： 如何处理Appscan等扫描器检测结果为Cookie缺失Secure/HttpOnly？ 选择业务QPS时是按照入流量计算还是出流量计算？ 主账号与子账号的权限有哪些区别？ 2019-09-06 第三十二次正式发布。 新增： 新旧CNAME的区别？ 云模式服务器的源站地址可以配置成CNAME吗？ 修改如何排查404/502/504错误？，优化内容描述。 修改如何修改已绑定域名的证书？，优化内容描述。 2019-08-28 第三十一次正式发布。 修改如何排查404/502/504错误？，优化内容描述。 修改如何获取访问者真实IP？，增加最佳实践的链接。 修改如何配置CC防护规则？，增加关联章节的链接。 修改如何使网站流量切入云模式Web应用防火墙？，增加关联章节的链接。 2019-08-20 第三十次正式发布。 文档优化：使用连环图。 2019-08-15 第二十九次正式发布。 新增如何解决重定向次数过多？ 修改如何使网站流量切入云模式Web应用防火墙？，优化内容描述。 2019-07-15 第二十八次正式发布。 新增“如何为Web应用防火墙续费？” 新增“如何退订Web应用防火墙？” 修改如何在添加域名中配置防护域名？，优化内容描述。 2019-07-11 第二十七次正式发布。 修改如何在添加域名中配置防护域名？，优化内容描述。 2019-07-02 第二十六次正式发布。 新增如何在添加域名中配置防护域名？ 2019-07-01 第二十五次正式发布。 新增后端服务器配置多个源站地址时的注意事项？ 修改如何排查404/502/504错误？，优化内容描述。 2019-06-18 第二十四次正式发布。 新增多Project下使用Web应用防火墙的限制条件？ 新增哪些情况会造成WAF配置的防护规则不生效？ 2019-06-06 第二十三次正式发布。 新增Web应用防火墙支持防护哪些区域？ 新增使用WAF后如何处理网站的文件不能上传？ 修改Web应用防火墙支持哪些非标准端口？，优化内容描述。 2019-05-30 第二十二次正式发布。 修改如何使网站流量切入云模式Web应用防火墙？，优化内容描述。 2019-05-16 第二十一次正式发布。 修改如何使网站流量切入云模式Web应用防火墙？，优化内容描述。 2019-05-14 第二十次正式发布。 修改如何排查404/502/504错误？，优化内容描述。 2019-05-05 第十九次正式发布。 新增如何放行云模式WAF的回源IP段？ 新增如何解决HTTPS请求在部分手机访问异常？ 修改如何排查404/502/504错误？，优化内容描述。 修改Web应用防火墙支持哪些非标准端口？，优化内容描述。 修改如何使网站流量切入云模式Web应用防火墙？，优化内容描述。 2019-02-20 第十八次发布。 修改Web应用防火墙支持哪些非标准端口？，优化内容描述。 修改“Web应用防火墙如何收费？”，优化内容描述。 2019-01-03 第十七次正式发布。 调整文档布局。 2018-11-08 第十六次正式发布。 设置短描述和关键字。 2018-10-29 第十五次正式发布。 修改Web应用防火墙支持哪些非标准端口？，优化内容描述。 2018-09-12 第十四次正式发布。 新增如何解决证书链不完整？ 2018-07-19 第十三次发布。 新增如何获取访问者真实IP？ 修改如何修改已绑定域名的证书？，优化内容描述。 根据界面变化修改了截图。 2018-07-05 第十二次发布。 修改如何使网站流量切入云模式Web应用防火墙？，优化内容描述。 修改如何在本地测试Web应用防火墙？，优化内容描述。 2018-06-14 第十一次发布。 根据界面变化修改了截图。 2018-06-07 第十次发布。 新增如何修改已绑定域名的证书？ 2018-05-31 第九次正式发布。 新增如何排查404/502/504错误？ 2018-05-17 第八次正式发布。 新增如何配置对外协议与源站协议？ 2018-04-12 第七次正式发布。 修改“Web应用防火墙支持哪些防护规则？”，增加防敏感信息泄露相关内容描述。 2018-04-02 第六次正式发布。 修改Web应用防火墙支持哪些非标准端口？，优化内容描述。 根据界面变化更新了界面描述和截图。 2018-03-31 第五次正式发布。 新增如何将Web基础防护的仅记录模式切换为拦截模式？ 根据界面变化更新了界面描述和截图。 2018-03-27 第四次正式发布。 新增Web应用防火墙支持哪些非标准端口？ 新增如何使网站流量切入云模式Web应用防火墙？ 新增如何在本地测试Web应用防火墙？ 新增删除防护域名时应该注意哪些事项？ 删除“如何开启WAF防护？”。 根据界面变化更新了界面描述和截图。 2018-01-16 第三次正式发布。 新增Web应用防火墙是否能防护IP？ 2018-01-11 第二次正式发布。 新增：Web应用防火墙提供的是几层防护？ 2017-10-30 第一次正式发布。

如何解决重定向次数过多？ 在WAF中完成了域名接入后，请求访问目标域名时，如果提示“重定向次数过多”，一般是由于您在服务器后端配置了HTTP强制跳转HTTPS，在WAF上只配置了一条HTTPS（对外协议）到HTTP（源站协议）的转发，强制WAF将用户的请求进行跳转，所以造成死循环。可在WAF中修改服务器信息，配置两条HTTP（对外协议）到HTTP（源站协议）和HTTPS（对外协议）到HTTPS（源站协议）的服务器信息。 图1 配置示例 父主题： 业务中断排查

云模式-ELB接入排查思路和处理建议 防护网站的“部署模式”为“云模式-ELB接入”时，请参考图3和表3进行排查处理。 图3 ELB模式排查思路 表3 ELB模式接入WAF失败问题处理 可能原因 处理建议 原因一：域名/IP“接入状态”未刷新 在防护网站“接入状态”栏，单击刷新状态。 原因二：访问流量未达到WAF统计要求 须知： 防护网站接入WAF后，当WAF统计防护网站在5分钟内有20次请求时，将认定该防护网站已接入WAF。 在1分钟内多次访问防护网站。 在防护网站“接入状态”栏，单击刷新状态。 原因三：域名/IP参数配置错误 查看域名基本信息，检查域名/IP参数是否正确。 如果域名/IP配置错误，删除该域名/IP后重新添加防护网站。

独享模式排查思路和处理建议 防护网站的“部署模式”为“独享模式”时，请参考图2和表2进行排查处理。 图2 独享模式排查思路 表2 独享模式接入WAF失败问题处理 可能原因 处理建议 原因一：域名/IP“接入状态”未刷新 在防护网站“接入状态”栏，单击刷新状态。 原因二：访问流量未达到WAF统计要求 须知： 防护网站接入WAF后，当WAF统计防护网站在5分钟内有20次请求时，将认定该防护网站已接入WAF。 在1分钟内多次访问防护网站。 在防护网站“接入状态”栏，单击刷新状态。 原因三：域名/IP参数配置错误 查看域名基本信息，检查域名/IP参数是否正确。 如果域名/IP配置错误，删除该域名/IP后重新添加防护网站。 原因四：没有为独享模式实例配置负载均衡，配置的负载均衡未绑定弹性公网IP 为独享引擎实例配置负载均衡。 为弹性负载均衡绑定弹性公网IP。 原因五：独享模式实例负载均衡配置错误或负载均衡绑定弹性公网IP错误 配置负载均衡后，当WAF独享引擎实例的“健康检查结果”为“正常”时，说明弹性负载均衡配置成功。健康检查异常的排查思路请参见健康检查异常。 为弹性负载均衡绑定弹性公网IP后，可以查看绑定的弹性公网IP，说明绑定成功。

故障现象 添加防护域名或IP后，域名或IP接入WAF失败，即防护网站“域名接入进度”没有显示“已接入”。 WAF每隔一小时就会自动检测防护网站的 “接入状态”，当WAF统计防护网站在5分钟内达到20次访问请求时，将认定该防护网站已成功接入WAF。 WAF默认只检测两周内新增或更新的域名的“接入状态”，如果域名创建时间在两周前，且最近两周内没有任何修改，您可以在“域名接入”进度栏，单击，手动刷新接入状态。

什么是QPS？ WAF的业务QPS是指所有该WAF防护的域名、站点中正常业务流量的大小，单位为QPS。一个QPS扩展包的QPS限制和带宽限制： 对于部署在华为云的Web应用 业务带宽：50Mbit/s 每秒钟的请求量：1000QPS（Query Per Second，例如一个HTTP GET请求就是一个Query） 对于未部署在华为云的Web应用 业务带宽：20Mbit/s 每秒钟的请求量：1000QPS（Query Per Second，例如一个HTTP GET请求就是一个Query） 购买了云模式标准版、专业版或铂金版后，才支持使用ELB接入方式，域名、QPS、规则扩展包的配额与云模式的CNAME接入方式共用，且ELB接入方式的业务规格与购买的云模式版本的对应规格一致。 带宽限制仅对云模式-CNAME接入的网站有限制，通过ELB接入方式接入的网站，没有带宽限制，仅有QPS限制。 有关QPS扩展包的详细介绍，请参见QPS扩展包说明。 购买WAF时，您需要提前考虑准备通过WAF配置防护的所有站点的日常入方向和出方向总流量的峰值，确保您选购的WAF所对应的业务带宽限制大于入、出方向总流量峰值中较大的值。

什么是流量？ 流量指的是业务去掉攻击流量后的正常流量。例如，您需要将所有站点对外访问的流量都接入WAF进行防护，在正常访问（未遭受攻击）时，WAF将这些正常访问流量回源到源站ECS实例；而当站点遭受攻击（CC攻击或DDoS攻击）时，WAF将异常流量拦截、过滤后，将正常流量回源到源站ECS实例。因此，您在云服务器（ECS）管理控制台中查看您源站ECS实例的入方向及出方向的流量就是正常的业务流量。如果存在多个源站ECS实例，则需要统计所有源站ECS实例流量的总和。例如：假设您需要通过WAF配置防护六个站点，每个站点的出方向的正常业务流量峰值都不超过2,000QPS，流量总和不超过12,000QPS。这种情况下，您只需选择购买Web应用防火墙铂金版套餐即可。 一般情况下，出方向的流量会比较大。

超过业务带宽限制和请求限制会有什么影响 如果您的正常业务流量超过您已购买的WAF版本的业务带宽和请求限制，您在WAF中配置的全部业务的流量转发将可能受到影响。 超出业务请求限制后，可能出现限流、随机丢包等现象，导致您的正常业务在一定时间内不可用、卡顿、延迟等。例如，页面提示“Website is under maintenance (Protected by WAF)”。 如果出现这种情况，您需要升级WAF版本或者扩展业务请求，避免正常业务流量超出业务请求限制所产生的影响。

业务使用了IPv6，WAF中的源站地址如何配置？ 如果域名已接入了WAF（源站地址配置为IPv4地址）进行防护，当业务开启了IPv6时，WAF中配置的源站地址可以保持原IPv4地址，也可以修改为IPv6地址。 WAF支持IPv6/IPv4双栈模式和NAT64机制，详细说明如下： Web应用防火墙支持IPv6/IPv4双栈，针对同一域名可以同时提供IPv6和IPv4的流量防护。 针对仍然使用IPv4协议栈的Web业务，Web应用防火墙支持NAT64机制（NAT64是一种通过网络地址转换（NAT）形式促成IPv6与IPv4主机间通信的IPv6转换机制），即WAF可以将外部IPv6访问流量转化成对内的IPv4流量。 哪些Region支持IPv6防护请参考功能总览。 仅专业版和铂金版支持IPv6防护。 有关修改源站地址的详细操作，请参见修改服务器信息。 父主题： IPv6配置

原因一：将同一个网站接入WAF 4次以上 通过WAF的各种模式（云模式-CNAME接入、云模式-ELB接入、独享模式），将同一个网站接入WAF 4次以上。 解决办法： 梳理流量图，将用户流量绕过多余WAF，具体操作如下： 登录WAF管理控制台。 在左侧导航树中，选择“网站设置”，进入网站设置列表。 找到出现523问题的防护网站，保留一个配置，删除多余的防护网站，具体操作请参见删除防护网站。 防止删除网站后造成业务中断，在删除网站前，需要完成以下操作： 云模式：请您先到DNS服务商处将域名重新解析，指向源站服务器IP地址，否则该域名的流量将无法切回服务器，影响正常访问。 独享模式：修改ELB的后端服务器组，不再接入WAF实例节点，具体操作请参见更换后端服务器组。

原因二：调用了第三方接口且第三方接口也使用了华为云WAF 将用户的请求在转发给第三方接口时仅修改了host，而header、cookie执行了原样转发，导致保留了WAF原有的计数器。 解决办法： 修改反向代理请求中的header字段，具体操作如下： 用户的流量链路上，在WAF后如果有NGINX，才可用此方法。 通过使用“proxy_set_header”来重定义发往代理服务器的请求头，执行以下命令打开nginx配置文件。 以Nginx安装在“/opt/nginx/”目录为例，具体情况需要依据实际目录调整。 vi /opt/nginx/conf/nginx.conf 在nginx配置文件中加入proxy_set_header X-CloudWAF-Traffic-Tag 0;，示例如下： location ^~/test/ { ...... proxy_set_header Host $proxy_host; proxy_set_header X-CloudWAF-Traffic-Tag 0; ...... proxy_pass http://x.x.x.x; }

WAF如何解析/访问IPv6源站？ 当防护网站的源站地址配置为IPv6地址时，WAF直接通过IPv6地址访问源站。WAF默认在CNAME中增加IPv6地址解析，IPv6的所有访问请求将先流转到WAF，WAF检测并过滤恶意攻击流量后，将正常流量返回给源站，从而确保源站安全、稳定、可用。 WAF支持IPv6/IPv4双栈模式和NAT64机制，详细说明如下： Web应用防火墙支持IPv6/IPv4双栈，针对同一域名可以同时提供IPv6和IPv4的流量防护。 针对仍然使用IPv4协议栈的Web业务，Web应用防火墙支持NAT64机制（NAT64是一种通过网络地址转换（NAT）形式促成IPv6与IPv4主机间通信的IPv6转换机制），即WAF可以将外部IPv6访问流量转化成对内的IPv4流量。 哪些Region支持IPv6防护请参考功能总览。 仅专业版和铂金版支持IPv6防护。 父主题： IPv6配置

云模式支持防护的非标端口 云模式支持的非标端口是由WAF指定的任意非标端口，而不是您业务中的任意一个自定义非标端口。不同版本的WAF支持的非标准端口范围有所不同。 表1 云模式支持的非标端口 服务版本 支持的非标端口范围 HTTP协议 HTTPS协议 入门版 不支持 不支持 标准版 81, 82, 83, 84, 86, 87, 88, 89, 800, 808, 5000, 7009, 8000, 8001, 8002, 8003, 8008, 8009, 8010, 8011, 8012, 8013, 8014, 8015, 8016, 8017, 8020, 8021, 8022, 8025, 8026, 8070, 8077, 8078, 8080, 8085, 8086, 8087, 8088, 8089, 8090, 8091, 8092, 8093, 8094, 8095, 8096, 8097, 8098, 8106, 8118, 8181, 8334, 8336, 8686, 8800, 8888, 8889, 8999, 9001 4443, 5048, 5049, 5443, 6443, 7072, 7073, 7443, 8033, 8081, 8082, 8083, 8084, 8443, 8712, 8803, 8804, 8805, 8843, 9443, 8553, 8663, 9553, 9663, 18000, 18110, 18381, 18443, 18980, 19000, 28443 专业版 81, 82, 83, 84, 85, 86, 87, 88, 89, 97, 133, 134, 140, 141, 144, 151, 800, 808, 881, 888, 1000, 1090, 1135, 1139, 1688, 3128, 3333, 3501, 3601, 4444, 5000, 5001, 5080, 55222, 5555, 5601, 6001, 6666, 6699, 6788, 6789, 6842, 6868, 6969, 7000, 7001, 7002, 7003, 7004, 7005, 7006, 7009, 7010, 7011, 7012, 7013, 7014, 7015, 7016, 7018, 7019, 7020, 7021, 7022, 7023, 7024, 7025, 7026, 7070, 7080, 77081, 7082, 7083, 7088, 7097, 7510, 7777, 7800, 7979, 8000, 8001, 8002, 8003, 8004, 8007, 8008, 8009, 8010, 8011, 8012, 8013, 8014, 8015, 8016, 8017, 8020, 8021, 8022, 8024, 8025, 8026, 8070, 8077, 8078, 8080, 8085, 8086, 8087, 8088, 8089, 8090, 8091, 8092, 8093, 8094, 8095, 8096, 8097, 8098, 8106, 8118, 8181, 8182, 8232, 8334, 8336, 8686, 8800, 8813, 8814, 8888, 8889, 8989, 8999, 9000, 9001, 9002, 9003, 9007, 9020, 9021, 9022, 9023, 9024, 9025, 9026, 9027, 9028, 9029, 9037, 9050, 9077, 9080, 9081, 9082, 9083, 9084, 9085, 9086, 9087, 9088, 9089, 9099, 9180, 9200, 9201, 9205, 9207, 9208, 9209, 9210, 9211, 9212, 9213, 9802, 9898, 9908, 9916, 9918, 9919, 9928, 9929, 9939, 9945, 9770, 10000, 10001, 10080, 10087, 11000, 12601, 13000, 14000, 18080, 18180, 18280, 19101, 19501, 21028, 23333, 27777, 28080, 30002, 30086, 33332, 33334, 33702, 40010, 48299, 48800, 52725, 52726, 60008, 60010 447, 882, 1818, 4006, 4430, 4443, 5048, 5049, 5100, 5443, 6443, 7072, 7073, 7443, 8033, 8043, 8081, 8082, 8083, 8084, 8211, 8221, 8224, 8231, 8243, 8244, 8281, 8443, 8445, 8553, 8663, 8712, 8750, 8803, 8804, 8805, 8810, 8815, 8817, 8836, 8838, 8840, 8842, 8843, 9005, 9053, 9090, 9443, 9553, 9663, 9681, 9682, 9999, 10002, 10300, 10301, 11001, 11003, 13001, 13003, 13080, 14003, 14443, 17618, 17718, 17818, 18000, 18001, 18010, 18110, 18381, 18443, 18980, 19000, 20000, 28443, 60009 铂金版 81, 82, 83, 84, 85, 86, 87, 88, 89, 97, 133, 134, 140, 141, 144, 151, 800, 808, 881, 888, 1000, 1090, 1135, 1139, 1688, 3128, 3333, 3501, 3601, 4444, 5000, 5001, 5080, 5222, 5555, 5601, 6001, 6666, 6699, 6788, 6789, 6842, 6868, 6969, 7000, 7001, 7002, 7003, 7004, 7005, 7006, 7009, 7010, 7011, 7012, 7013, 7014, 7015, 7016, 7018, 7019, 7020, 7021, 7022, 7023, 7024, 7025, 7026, 7070, 7081, 7082, 7083, 7088, 7097, 7510, 7777, 7800, 7979, 8000, 8001, 8002, 8003, 8004, 8006, 8007, 8008, 8009, 8010, 8011, 8012, 8013, 8014, 8015, 8016, 8017, 8020, 8021, 8022, 8024, 8025, 8026, 8070, 8077, 8078, 8080, 8085, 8086, 8087, 8088, 8089, 8090, 8091, 8092, 8093, 8094, 8095, 8096, 8097, 8098, 8106, 8118, 8181, 8182, 8232, 8334, 8336, 8686, 8800, 8813, 8814, 8888, 8889, 8899, 8989, 8999, 9000, 9001, 9002, 9003, 9007, 9020, 9021, 9022, 9023, 9024, 9025, 9026, 9027, 9028, 9029, 9037, 9050, 9077, 9080, 9081, 9082, 9099, 9180, 9200, 9201, 9205, 9207, 9208, 9209, 9210, 9211, 9212, 9213, 9770, 9802, 9898, 9908, 9916, 9918, 9919, 9928, 9929, 9939, 9945, 10000, 10001, 10080, 10087, 11000, 12601, 13000, 14000, 18080, 18180, 18280, 23333, 27777, 28080, 30086, 33702, 48299, 48800 447, 882, 1818, 4006, 4430, 4443, 5048, 5049, 5443, 6443, 7072, 7073, 7443, 8033, 8043, 8081, 8082, 8083, 8084, 8211, 8221, 8224, 8231, 8243, 8244, 8281, 8443, 8445, 8553, 8663, 8712, 8750, 8803, 8804, 8805, 8810, 8815, 8817, 8836, 8838, 8840, 8842, 8843, 8848, 8910, 8920, 8950, 9005, 9053, 9090, 9182, 9184, 9190, 9443, 9553, 9663, 9681, 9682, 9999, 10002, 10300, 10301, 11001, 11003, 13001, 13003, 13080, 14003, 17618, 17718, 17818, 18000, 18001, 18010, 18110, 18381, 18443, 18980, 19000, 28443, 60009

独享模式支持防护的非标端口 使用独享模式接入WAF时，支持防护表2中的任意非标端口。 表2 独享模式支持的非标端口 HTTP协议 HTTPS协议 81, 82, 83, 84, 86, 87, 88, 89, 97, 800, 808, 1000, 1090, 3128, 3333, 3501, 3601, 4444, 5000, 5080, 5222, 5555, 5601, 6001, 6666, 6699, 6788, 6789, 6842, 6868, 6969, 7000, 7001, 7002, 7003, 7004, 7005, 7006, 7009, 7010, 7011, 7012, 7013, 7014, 7015, 7016, 7018, 7019, 7020, 7021, 7022, 7023, 7024, 7025, 7026, 7070, 7080, 7081, 7082, 7083, 7088, 7097, 7510, 7777, 7800, 7979, 8000, 8001, 8002, 8003, 8008, 8009, 8010, 8011, 8012, 8013, 8014, 8015, 8016, 8017, 8020, 8021, 8022, 8025, 8026, 8070, 8077, 8078, 8080, 8085, 8086, 8087, 8088, 8089, 8090, 8091, 8092, 8093, 8094, 8095, 8096, 8097, 8098, 8106, 8118, 8181, 8334, 8336, 8686, 8800, 8888, 8889, 8989, 8999, 9000, 9001, 9002, 9003, 9021, 9023, 9027, 9037, 9080, 9081, 9082, 9083, 9084, 9085, 9086, 9087, 9088, 9089, 9180, 9200, 9201, 9205, 9207, 9208, 9209, 9210, 9211, 9212, 9213, 9770, 9802, 9945, 9898, 9908, 9916, 9918, 9919, 9928, 9929, 9939, 10000, 10001, 10080, 12601, 19101, 19501, 19998, 21028, 28080, 30002, 33332, 33334, 33702, 40010, 48800, 52725, 52726, 60008, 60010 4443, 5443, 6443, 7072, 7073, 7443, 8033, 8081, 8082, 8083, 8084, 8443, 8445, 8553, 8663, 8712, 8750, 8803, 8804, 8805, 8843, 9443, 9553, 9663, 9999, 18000, 18010, 18110, 18381, 18443, 18980, 19000, 28443

修订记录 发布日期 修改说明 2024-03-30 第七十次正式发布。 修改： “DDoS高防+WAF”联动，提升网站全面防护能力 配置Accept-Encoding字段转发关闭响应报文压缩 使用Postman工具模拟业务验证全局白名单规则 源站安全配置 2024-02-01 第六十九次正式发布。 修改： “DDoS高防+WAF”联动，提升网站全面防护能力 基于IP限速的配置 基于Cookie字段的配置 通过配置反爬虫防护策略阻止爬虫攻击 Web基础防护功能最佳实践 “CDN+WAF”联动，提升网站防护能力和访问速度 “独享WAF+7层ELB”联动，实现防护任意非标端口 配置Accept-Encoding字段转发关闭响应报文压缩 2024-01-05 第六十八次正式发布。 修改： 通过LTS快速查询分析WAF访问日志 通过LTS实时分析Spring core RCE漏洞的拦截情况 通过LTS配置WAF规则的拦截告警 2023-11-30 第六十七次正式发布。 架构调整 新增： 网站防护最佳实践 CC攻击常见场景防护配置 修改： “DDoS高防+WAF”联动，提升网站全面防护能力 基于IP限速的配置 基于Cookie字段的配置 通过配置反爬虫防护策略阻止爬虫攻击 Web基础防护功能最佳实践 “CDN+WAF”联动，提升网站防护能力和访问速度 “独享WAF+7层ELB”联动，实现防护任意非标端口 2023-11-15 第六十六次正式发布。 修改通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全。 2023-11-06 第六十五次正式发布。 修改“DDoS高防+WAF”联动，提升网站全面防护能力。 2023-08-11 第六十四次正式发布。 增加配置Accept-Encoding字段转发关闭响应报文压缩。 2023-06-30 第六十三次正式发布。 修改获取客户端真实IP。 2023-06-07 第六十二次正式发布。 修改独享引擎实例升级配置。 2023-06-02 第六十一次正式发布。 修改通过配置ECS/ELB访问控制策略保护源站安全。 2023-03-03 第六十次正式发布。 修改： “CDN+WAF”联动，提升网站防护能力和访问速度 “DDoS高防+WAF”联动，提升网站全面防护能力 2023-01-31 第五十九次正式发布。 修改独享引擎实例升级配置。 2022-12-26 第五十八次正式发布。 新增： Solution as Code一键式部署类最佳实践 2022-10-25 第五十七次正式发布。 修改如下章节： 独享引擎实例升级配置 2022-09-30 第五十六次正式发布。 增加“独享WAF+7层ELB”联动，实现防护任意非标端口。 2022-09-06 第五十五次正式发布。 修改如下章节： “CDN+WAF”联动，提升网站防护能力和访问速度 “DDoS高防+WAF”联动，提升网站全面防护能力 2022-08-11 第五十四次正式发布。 增加以下最佳实践： 通过业务Cookie和HWWAFSESID联合配置限制恶意抢购、下载 2022-07-26 第五十三次正式发布。 修改“WAF+HSS”联动，提升网页防篡改能力章节。 2022-07-06 第五十二次正式发布。 全局计数功能上线，修改如下章节： CC攻击防御最佳实践 “CDN+WAF”联动，提升网站防护能力和访问速度 “DDoS高防+WAF”联动，提升网站全面防护能力 2022-07-04 第五十一次正式发布。 全局白名单功能上线，修改如下章节： 通过误报处理提升Web基础防护效果 使用Postman工具模拟业务验证全局白名单规则 2022-06-06 第五十次正式发布。 修改如下章节： 获取客户端真实IP “DDoS高防+WAF”联动，提升网站全面防护能力 2022-05-23 第四十九次正式发布。 增加“WAF+HSS”联动，提升网页防篡改能力。 修改获取客户端真实IP章节。 2022-05-17 第四十八次正式发布。 修改“DDoS高防+WAF”联动，提升网站全面防护能力章节。 2022-05-05 第四十七次正式发布。 修改获取客户端真实IP，增加了约束条件。 2022-04-19 第四十六次正式发布。 增加如下两个最佳实践： 通过LTS实时分析Spring core RCE漏洞的拦截情况 通过LTS配置WAF规则的拦截告警 2022-04-01 第四十五次正式发布。 增加Java Spring框架远程代码执行高危漏洞最佳实践。 2022-03-29 第四十四次正式发布。 准备阶段，增加了相关说明。 2022-02-11 第四十三次正式发布。 获取客户端真实IP，增加了Apache服务器为2.4及以上版本如何获取源站IP的方法。 2021-12-22 第四十二次正式发布。 新增通过LTS快速查询分析WAF访问日志。 2021-12-02 第四十一次正式发布。 新增使用Postman工具模拟业务验证全局白名单规则。 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全，优化内容描述。 2021-10-21 第四十次正式发布。 “CDN+WAF”联动，提升网站防护能力和访问速度，优化内容描述。 2021-10-12 第三十九次正式发布。 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全，优化内容描述。 2021-09-22 第三十八次正式发布。 新增独享引擎实例升级配置。 2021-08-19 第三十七次正式发布。 “CDN+WAF”联动，提升网站防护能力和访问速度，更新界面截图。 2021-07-29 第三十六次正式发布。 “CDN+WAF”联动，提升网站防护能力和访问速度、“DDoS高防+WAF”联动，提升网站全面防护能力，补充接入成功生效条件。 2021-07-20 第三十五次正式发布。 修改管理控制台入口。 2021-06-25 第三十四次正式发布。 单独使用WAF配置指导，优化内容描述。 2021-06-08 第三十三次正式发布。 “CDN+WAF”联动，提升网站防护能力和访问速度，优化前提条件描述。 “DDoS高防+WAF”联动，提升网站全面防护能力，优化前提条件描述。 2021-05-20 第三十二次正式发布。 “DDoS高防+WAF”联动，提升网站全面防护能力，补充独享模式的配置策略。 2021-05-14 第三十一次正式发布。 “CDN+WAF”联动，提升网站防护能力和访问速度，补充独享模式的配置策略。 2021-04-08 第三十次正式发布。 单独使用WAF配置指导，优化内容描述。 2021-03-19 第二十九次正式发布。 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全，优化内容描述。 2020-11-27 第二十八次正式发布。 通过配置ECS/ELB访问控制策略保护源站安全，优化内容描述。 通过误报处理提升Web基础防护效果，优化内容描述。 获取客户端真实IP，优化内容描述。 2020-11-20 第二十七次正式发布。 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全，优化内容描述。 通过配置反爬虫防护策略阻止爬虫攻击，优化内容描述。 2020-08-17 第二十六次正式发布。 获取客户端真实IP，优化内容描述。 2020-05-14 第二十五次正式发布。 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全，优化内容描述。 2020-04-16 第二十四次正式发布。 优化内容描述。 2020-04-02 第二十三次正式发布。 更新界面截图。 2020-02-27 第二十二次正式发布。 通过误报处理提升Web基础防护效果，更新界面截图并优化内容描述。 2020-02-14 第二十一次正式发布。 新增Apache Dubbo反序列化漏洞。 2020-01-03 第二十次正式发布。 获取客户端真实IP，修改标题。 2019-12-19 第十九次正式发布。 通过误报处理提升Web基础防护效果，增加IIS服务器获取访问者真实IP的方法。 “CDN+WAF”联动，提升网站防护能力和访问速度，优化内容描述。 2019-12-16 第十八次正式发布。 操作入口连环图更新。 2019-12-05 第十七次正式发布。 获取客户端真实IP，优化内容描述。 2019-10-21 第十六次正式发布。 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全，优化内容描述。 CC攻击防御最佳实践，优化内容描述。 通过误报处理提升Web基础防护效果，优化内容描述。 “DDoS高防+WAF”联动，提升网站全面防护能力，优化内容描述。 “CDN+WAF”联动，提升网站防护能力和访问速度，优化内容描述。 2019-09-06 第十五次正式发布。 新增开源组件Fastjson拒绝服务漏洞。 2019-09-04 第十四次正式发布。 单独使用WAF配置指导，优化内容描述。 2019-08-30 第十三次正式发布。 “CDN+WAF”联动，提升网站防护能力和访问速度，优化内容描述。 2019-08-27 第十二次正式发布。 通过配置反爬虫防护策略阻止爬虫攻击，优化内容描述。 2019-08-01 第十一次正式发布。 新增“CDN+WAF”联动，提升网站防护能力和访问速度。 2019-07-12 第十次正式发布。 新增开源组件Fastjson远程代码执行漏洞。 2019-06-21 第九次正式发布。 新增获取客户端真实IP。 2019-06-04 第八次正式发布。 新增通过误报处理提升Web基础防护效果。 新增WAF接入配置最佳实践。 2019-05-16 第七次正式发布。 新增通过配置ECS/ELB访问控制策略保护源站安全。 新增Web基础防护功能最佳实践。 2019-05-05 第六次正式发布。 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全，优化内容描述。 2019-04-28 第五次正式发布。 新增通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全。 2019-04-23 第四次正式发布。 新增Oracle WebLogic wls9-async反序列化远程命令执行漏洞（CNVD-C-2019-48814）。 CC攻击防御最佳实践，优化内容描述。 通过配置反爬虫防护策略阻止爬虫攻击，优化内容描述。 2018-11-08 第三次正式发布。 短描述和关键字的设置。 2018-10-15 第二次正式发布。 根据界面变化更新了截图和描述。 2018-05-11 第一次正式发布。

Web基础防护等级 Web基础防护支持三种防护等级：“宽松”、“中等”、“严格”，默认防护等级为“中等”。宽松的防护等级可能降低误报率，但可能导致漏报率增高；严格的防护等级可能增高误报率，但可以降低漏报率。防护等级的详细说明如表2所示。 表2 防护等级说明 防护等级 说明 宽松 防护粒度较粗，只拦截攻击特征比较明显的请求。 当误报情况较多的场景下，建议选择“宽松”模式。 中等 默认为“中等”防护模式，满足大多数场景下的Web防护需求。 严格 防护粒度最精细，可以拦截具有复杂的绕过特征的攻击请求。 当需要更严格地防护SQL注入、跨站脚本、命令注入等攻击行为时，建议使用“严格”模式。

Web基础防护检测项说明 Web基础防护覆盖OWASP（Open Web Application Security Project）常见安全威胁，内置语义分析+正则双引擎，可以对恶意扫描器、IP、网马等威胁进行检测并拦截。请根据业务使用场景开启相应的检测项，详细的检测项说明如表1所示。 表1 检测项说明 检测项 说明 常规检测 防护SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击。其中，SQL注入攻击主要基于语义进行检测。 说明： 开启“常规检测”后，WAF将根据内置规则对常规检测项进行检测。 Webshell检测 防护通过上传接口植入网页木马。 说明： 开启“Webshell检测”后，WAF将对通过上传接口植入的网页木马进行检测。 深度检测 防护同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸。 说明： 开启“深度检测”后，WAF将对深度反逃逸进行检测防护。 header全检测 默认关闭。关闭状态下WAF会检测常规存在注入点的header字段，包含User-Agent、Content-type、Accept-Language和Cookie。 说明： 开启“header全检测”后，WAF将对请求里header中所有字段进行攻击检测。 Shiro解密检测 默认关闭。开启后，WAF会对Cookie中的rememberMe内容做AES，Base64解密后再检测。Web应用防火墙检测机制覆盖了几百种已知泄露密钥。 说明： 如果您的网站使用的是Shiro 1.2.4及之前的版本，或者升级到了Shiro 1.2.5及以上版本但是未配置AES密钥，强烈建议您开启“Shiro解密检测”，以防攻击者利用已泄露的密钥构造攻击。

准备工作 已将域名信息（源站服务器的IP、端口等信息）以“云模式-CNAME接入”的方式添加到WAF。 具有网站DNS域名解析管理员的账号，用于修改DNS解析记录将网站流量切换至WAF。 推荐在将网站业务接入前，完成压力测试。 检查网站业务是否已有信任的访问客户端（例如监控系统、通过内部固定IP或IP段调用的API接口、固定的程序客户端请求等）。在将业务接入后，需要将这些信任的客户端IP加入白名单。

网站业务梳理 建议您对所需接入WAF进行防护的网站业务情况进行全面梳理，帮助您了解当前业务状况和具体数据，为后续配置WAF的防护策略提供依据。 表1 网站业务梳理 梳理项 说明 网站和业务信息 网站/应用业务每天的流量峰值情况，包括Mbps、QPS 判断风险时间点，并且可作为WAF实例的业务带宽和业务QPS规格的选择依据。 说明： 如果您选择的QPS规格不足以支撑网站/应用业务每天的流量峰值，对超出当前WAF版本支持峰值的QPS，WAF将不再防护网站，QPS将直接透传到源站，影响网站/应用业务的防护。 业务的主要用户群体（例如，访问用户的主要来源地区） 判断非法攻击来源，后续可使用地理位置访问控制功能屏蔽非法来源地区。 业务是否为C/S架构 如果是C/S架构，进一步明确是否有App客户端、Windows客户端、Linux客户端、代码回调或其他环境的客户端。 源站部署的具体位置 判断购买哪种实例region。 源站服务器的操作系统（Linux、Windows）和所使用的Web服务中间件（Apache、Nginx、IIS等） 判断源站是否存在访问控制策略，避免源站误拦截WAF回源IP转发的流量。 域名使用协议 判断所使用的通信协议WAF是否支持。 说明： 网站的“对外协议”、“源站协议” 必须要根据防护网站的实际情况配置正确，WAF才会正常防护您的网站。 对外协议，即客户端（例如浏览器）请求访问网站的协议类型。可选择“HTTP”、“HTTPS”两种协议类型。 源站协议，即WAF转发客户端（例如浏览器）请求的协议类型。可选择“HTTP”、“HTTPS”两种协议类型。 业务端口 判断需要防护的业务端口是否在WAF支持的端口范围内。 标准端口 80：HTTP对外协议默认使用端口 443：HTTPS对外协议默认使用端口 非标准端口 80/443以外的端口 说明： 如果防护域名使用非标准端口，请查看WAF支持哪些非标准端口？，确保购买的WAF版本支持防护该非标准端口。 业务是否使用TLS 1.0或弱加密套件 判断业务使用的加密套件是否支持。 业务在接入WAF前，是否已接入DDoS高防、CDN等服务。 接入WAF时，判断如何选择“是否已使用代理”，以及正确进行域名解析。 （针对HTTPS业务）客户端是否支持SNI标准 对于支持HTTPS协议的域名，接入WAF后，客户端和服务端都需要支持SNI标准。 业务交互过程 了解业务交互过程、业务处理逻辑，便于后续配置针对性防护策略。 活跃用户数量 便于后续在处理紧急攻击事件时，判断事件严重程度，以采取风险较低的应急处理措施。 业务及攻击情况 业务类型及业务特征（例如，游戏、棋牌、网站、App等业务） 便于在后续攻击防护过程中分析攻击特征。 单用户、单IP的入方向流量范围和连接情况 帮助后续判断是否可针对单个IP制定限速策略。 用户群体属性 例如，个人用户、网吧用户、或通过代理访问的用户。 业务是否遭受过大流量攻击、攻击类型和最大的攻击流量峰值 判断是否需要增加DDoS防护服务，并根据攻击流量峰值判断需要的DDoS防护规格。 业务是否遭受过CC攻击和最大的CC攻击峰值QPS 通过分析历史攻击特征，配置预防性策略。 业务是否已完成压力测试 评估源站服务器的请求处理性能，帮助后续判断是否因遭受攻击导致业务发生异常。