功能总览

Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。
在WAF管理控制台将网站添加并接入WAF，即可启用WAF。启用之后，您网站所有的公网流量都会先经过WAF，恶意攻击流量在WAF上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。
WAF支持云模式、独享模式两种部署方式。

云模式是一种基于云端的WAF服务部署方式，共享华为云WAF集群资源，旨在为用户提供便捷、高效的Web应用安全防护，无需用户自行部署硬件设备或维护软件，具有免部署、即开即用、灵活计费、高可用性与扩展性等特点。

• 云模式支持包年月（预付费）计费方式，提供入门版、标准版、专业版和企业版四个服务版本。
• 云模式支持CNAME接入、ELB接入两种部署方式。
• 如果当前版本（标准版、专业版或企业版）的域名、QPS或带宽、IP黑白名单防护规则配额不能满足业务需求，支持通过购买域名扩展包、QPS扩展包、规则扩展包的方式扩展相应额度。

云模式-CNAME接入通过DNS解析，将防护域名解析到WAF集群提供的CNAME地址上。WAF检测过滤恶意攻击流量后，通过回源IP将正常流量返回给源站服务器。

云模式-CNAME接入可防护部署在华为云上、非华为云上、云下的Web业务，防护对象为域名

云模式-ELB接入通过SDK模块化的方式将WAF集成在ELB的网关中，WAF检测过滤恶意攻击流量后，将检测结果同步给ELB，由ELB根据WAF的检测结果决定是否将客户端请求转发到源站。

云模式-ELB接入可防护部署在华为云上的Web业务，防护对象为域名、公网IP、私网IP。

• 云模式-ELB接入仅支持与独享型ELB配套使用，且“规格”必须为“应用型（HTTP/HTTPS）”，不支持“网络型（TCP/UDP）”的独享型的ELB。
• 云模式-ELB接入需要购买标准版、专业版或企业版支持后，提交工单申请开通。
• 如果同时使用云模式-CNAME接入和云模式-ELB接入，两种接入模式共用域名、QPS、规则扩展包配额。

独享模式是一种较高级部署方式，为用户提供的完全隔离、独立部署的防护节点，可避免共享环境下的资源竞争或“邻居效应”（如其他用户遭受攻击时可能引发的连带影响），具有资源独享、深度定制化防护、高可用与容灾等特点。

• 独享模式支持按需计费（后付费）计费方式。
• 独享模式支持独享模式接入。

     独享模式接入模式下，网站流量会通过ELB传给WAF，经过WAF检测后，异常请求将被拦截，正常请求会通过WAF独享引擎回源IP转发到源站服务器。

• 独享模式已在部分区域停售，详见独享模式停售通知。

WAF除了可以防护标准的80，443端口外，还支持非标准端口的防护。

WAF内置的防护规则，可帮助您防范常见的Web应用攻击，包括XSS攻击、SQL注入、爬虫检测、Webshell检测等，内置的检测流程如下图所示。

覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对网马等威胁进行检测和拦截。

• 全面的攻击防护：支持SQL注入、XSS跨站脚本、文件包含、目录遍历、敏感文件访问、命令/代码注入、网页木马上传、后门隔离保护、非法HTTP协议请求等威胁检测和拦截。
• 识别精准：内置语义分析+正则双引擎，黑白名单配置，误报率更低。支持防逃逸，自动还原常见编码，识别变形攻击能力更强。默认支持还原的编码类型：url_encode、Unicode、xml、C-OCT、十六进制、html转义、base64、大小写混淆、javascript/shell/php等拼接混淆。
• 深度反逃逸识别：支持同形字符混淆、通配符变形的命令注入、UTF7、Data URI Schema等的防护。

WAF大模型检测通过提示词验证、响应合规检测，识别并过滤不良或违规内容，确保大模型输入和输出内容安全、稳定、可用、合规。

通过层层检测，精准识别并管理网站流量中的机器行为，有效降低网站由于遭受BOT攻击，而导致的数据泄露、性能降低等风险。

您可以自定义CC（Challenge Collapsar）防护规则，限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，WAF会根据您配置的规则，精准识别CC攻击以及有效缓解CC攻击。例如，您可以配置该规则：当Cookie标识为name的用户在60秒内访问您域名下的“/admin*”页面超过10次时，封禁该用户访问目标网址600秒。

CC攻击防护支持全局计数功能，可根据不同的限速模式，将已经标识的请求在一个或多个WAF节点上的计数聚合。默认为每WAF节点单独计数，开启后本区域所有节点合并计数。

• 云模式-CNAME接入方式支持在华北-北京一、华北-北京四、华南-广州、华东-上海一、华东-上海二使用全局计数。
• 独享模式接入方式支持提交工单开通后，在华东-上海一、华北-乌兰察布一使用全局计数。

精准访问防护规则允许您设置访问防护规则，对常见的HTTP字段（如IP、路径、Referer、User Agent、Params等）进行条件组合，用来筛选访问请求，并对命中条件的请求设置放行或阻断操作。精准访问防护支持业务场景定制化的防护策略，可用于盗链防护、网站管理后台保护等。

添加始终拦截与始终放行的黑白名单IP/IP地址段，增加防御准确性。

可以针对国外部分国家、国内省份的来源IP进行自定义访问控制。

基于互联网数据中心（Internet Data Center，简称IDC）机房的IP库进行访问控制。

对网站的静态网页进行缓存配置，当用户访问时返回给用户缓存的正常页面，并随机检测网页是否被篡改。

动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为。

防止用户的敏感信息（如身份证号、电话号码、电子邮箱等）泄露，并能够拦截指定的HTTP响应码页面。

“不检测类型”选择“所有检测模块”时：通过WAF配置的其他所有的规则都不会生效，WAF将放行该域名下的所有请求流量。
“不检测类型”选择“Web基础防护模块”时：可根据选择的“不检测规则类型”，对某些规则ID或者事件类别进行忽略设置（例如，某URL不进行XSS的检查，可设置屏蔽规则，屏蔽XSS检查）。

通过设置隐私信息屏蔽，可以避免用户的密码等信息出现在事件日志中。

通过识别扫描行为和扫描器特征，阻止攻击者或扫描器对网站的大规模扫描行为。

当访问者的IP、Cookie或Params恶意请求被WAF拦截时，您可以通过配置攻击惩罚，使WAF按配置的攻击惩罚时长来自动封禁访问者。
Web基础防护、精准访问防护和黑白名单设置支持攻击惩罚功能。

引用表可对路径、User Agent、IP、Params、Cookie、Referer、Header等单一类型的防护指标进行批量配置。

引用表支持被CC攻击防护规则、精准访问防护规则、网站反爬虫防护规则所引用。

当防护网站的对外协议为HTTPS时，您可以通过WAF为网站设置最低TLS版本和加密套件（多种加密算法的集合），对于低于最低TLS版本的请求，将无法正常访问网站，以满足行业客户的安全需求。
WAF支持开启PCI DSS和PCI 3DS合规认证功能，开启合规认证后，最低TLS版本将设置为TLS v1.2，以满足PCI DSS和PCI 3DS合规认证要求。

HTTP2协议仅适用于客户端到WAF之间的访问，且对外协议必须包含HTTPS才能支持使用。

提交工单开通响应详情功能并配置日志记录响应体字节长度后，响应详情会记录不超过字节长度的响应体信息。您可以根据实际情况，配置日志记录响应体字节长度，确保响应体被记录。

启用并配置请求头和响应头的字段转发后，WAF会将指定字段插入请求头header字段中，转发给源站；将指定字段插入响应头header字段，转发给客户端，便于您区分不同来源的请求，更好的统计分析网站运营情况。

仅云模式-CNAME接入或独享模式接入支持该功能。

当访问者触发WAF拦截时，默认返回WAF“系统默认”的拦截返回页面，您也可以根据自己的需要，配置“自定义”或者“重定向”的拦截返回页面。

云模式-ELB接入不支持重定向模板。

如果您不希望WAF在Cookie中插入HWWAFSESTIME和HWWAFSESID字段，可开启“不插入Cookie字段”开关。但是WAF在Cookie中不插入HWWAFSESTIME和HWWAFSESID字段，将会影响CC人机验证、攻击惩罚、动态反爬虫的功能使用，建议您谨慎使用该功能。

仅云模式-CNAME接入或独享模式接入支持该功能。

Web应用防火墙支持防护IPv6环境下发起的攻击，帮助您的源站实现对IPv6流量的安全防护。随着IPv6协议的迅速普及，新的网络环境以及新兴领域均面临着新的安全挑战，WAF的IPv6防护功能帮助您轻松构建覆盖全球的安全防护体系。WAF支持IPv6/IPv4双栈，针对同一域名可以同时提供IPv6和IPv4的流量防护。针对仍然使用IPv4协议栈的Web业务，WAF支持NAT64机制（NAT64是一种通过网络地址转换（NAT）形式促成IPv6与IPv4主机间通信的IPv6转换机制），即WAF可以将IPv4源站转化成IPv6网站，将外部IPv6访问流量转化成对内的IPv4流量。

防护网站配置了一个或多个源站地址时，WAF支持配置多源站间的负载均衡算法，WAF支持的算法如下：

• 源IP Hash：将某个IP的请求定向到同一个服务器。
• 加权轮询：所有请求将按权重轮流分配给源站服务器。

• Session Hash：将某个Session标识的请求定向到同一个源站服务器，请确保在域名添加完毕后配置攻击惩罚的流量标识，否则Session Hash配置不生效。

当“对外协议”配置为HTTPS时，WAF支持开启“Cookie安全属性”，开启后会将Cookie的HttpOnly和Secure属性设置为true。

Cookie是后端Web Server插入的，可以通过框架配置或set-cookie实现，其中，Cookie中配置Secure，HttpOnly有助于防范XSS等攻击获取Cookie，对于Cookie劫持有一定的防御作用。

仅云模式-CNAME接入或独享模式接入支持该功能。

提交工单申请开通后，在防护规则中将防护动作配置为人机验证时，可通过该配置修改验证页面的响应码。

如果您希望将指定的request或response中的header字段记录到WAF日志的custom_traceid字段中，您可以配置自定义记录日志Trace ID。

仅云模式-CNAME接入或独享模式接入支持该功能。

WAF根据配置的流量标识识别客户端IP、Session或User标记，以分别实现IP、Cookie或Params恶意请求的攻击惩罚功能。

如果您需要针对域名的每个请求设置超时时间，可参考本章节开启WAF到客户源站的“超时配置”并设置“连接超时”、“读超时”、“写超时”的时间。开启后不支持关闭。

• 连接超时：WAF转发客户端请求时，TCP三次握手超时时间。

• 写超时：WAF向源站发送请求的超时时间，若在设定的写超时时间内源站未接收到请求，则认为连接超时。
• 读超时：WAF从源站读取响应的超时时间，若在设定的读超时时间内未收到来自源站的响应，则认为连接超时。

网站接入WAF防护之后，若您访问网站时出现大量的502 Bad Gateway，504 Gateway Timeout错误或者等待处理的请求，为了保护源站的安全，可使用WAF的宕机保护和连接保护功能。当502/504请求数量或读等待URL请求数量以及占比阈值达到您设置的值时，将触发WAF熔断功能开关，实现宕机保护和读等待URL请求保护。

如果WAF前有七层的反向代理（例如ELB），且其指纹会随Header传递给WAF时，您可以为独享模式接入的防护域名配置JA3/JA4指纹标记，将该标记添加到Header字段后传递给WAF。WAF通过精准访问防护规则配置的TLS指纹（JA3）、TLS指纹（JA4）条件规则，处置对应请求，实现JA3/JA4指纹防御。

仅独享模式支持该功能。

您可以修改防护网站的服务器信息，包括对外协议、源站协议、VPC、源站地址、源站端口等信息，也可以为防护网站添加服务器配置。

当防护网站不需要防护时，您可以删除该网站。删除网站后，1分钟内生效，且不可恢复，请谨慎删除防护网站。

在总览页面，您可以查看到昨天、今天、3天、7天或者30天的访问与攻击统计次数、攻击分布、受攻击域名 TOP10、攻击源IP TOP10和受攻击URL TOP10的次数。
在防护事件页面，您可以查看所有防护域名昨天、今天、3天、7天、30天或者自定义时间段（最多30天）的防护事件数据。

添加防护网站时，如果“对外协议”选择“HTTPS”协议，需要选择证书使证书绑定到防护网站。
您可以通过创建证书，将证书上传到WAF，使防护网站直接选择上传的证书。

当证书过期或无效时，您可以删除该证书。

WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式发送给用户。