功能总览

Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。
在WAF管理控制台将网站添加并接入WAF，即可启用WAF。启用之后，您网站所有的公网流量都会先经过WAF，恶意攻击流量在WAF上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。

WAF支持云模式部署方式。云模式可以防护华为云、非华为云和云下的域名，弹性扩容能力强，可以一键扩容防护能力。
云模式支持包年月（预付费）计费方式，支持标准版（原专业版）、专业版（原企业版）和铂金版（原旗舰版）三种服务版本。

WAF支持ELB模式部署方式。ELB模式部署灵活，可以防护华为云上的域名或IP。仅支持与独享型ELB配套使用，且“规格”必须为“应用型（HTTP/HTTPS）”，不支持“网络型（TCP/UDP）”的独享型的ELB。

• ELB模式需要提交工单申请开通后才能使用。
• 购买了云模式标准版、专业版或铂金版后，同时可以使用ELB模式，域名、QPS、规则扩展包的配额与云模式共用。

域名接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。

WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式发送给用户。

WAF除了可以防护标准的80，443端口外，还支持非标准端口的防护。

WAF内置的防护规则，可帮助您防范常见的Web应用攻击，包括XSS攻击、SQL注入、爬虫检测、Webshell检测等，内置的检测流程如下图所示。

覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对恶意扫描器、IP、网马等威胁进行检测和拦截。
全面的攻击防护：支持SQL注入、XSS跨站脚本、文件包含、目录遍历、敏感文件访问、命令/代码注入、网页木马上传、后门隔离保护、非法HTTP协议请求、第三方漏洞攻击等威胁检测和拦截。
识别精准：内置语义分析+正则双引擎，黑白名单配置，误报率更低。支持防逃逸，自动还原常见编码，识别变形攻击能力更强。支持还原的编码类型：url_encode、Unicode、xml、C-OCT、十六进制、html转义、base64、大小写混淆、javascript/shell/php等拼接混淆。

您可以自定义CC（Challenge Collapsar）防护规则，限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，WAF会根据您配置的规则，精准识别CC攻击以及有效缓解CC攻击。

例如，您可以配置该规则：当Cookie标识为name的用户在60秒内访问您域名下的“/admin*”页面超过10次时，封禁该用户访问目标网址600秒。

• 全局计数：根据不同的限速模式，将已经标识的请求在一个或多个WAF节点上的计数聚合。默认为每WAF节点单独计数，开启后本区域所有节点合并计数。

说明：仅云模式的CNAME接入方式支持配置“全局计数”，且仅华北-北京一、华北-北京四、华南-广州、华东-上海一、华东-上海二支持使用“全局计数”。

精准访问防护规则允许您设置访问防护规则，对常见的HTTP字段（如IP、路径、Referer、User Agent、Params等）进行条件组合，用来筛选访问请求，并对命中条件的请求设置放行或阻断操作。精准访问防护支持业务场景定制化的防护策略，可用于盗链防护、网站管理后台保护等。

添加始终拦截与始终放行的黑白名单IP/IP地址段，增加防御准确性。

当访问者的IP、Cookie或Params恶意请求被WAF拦截时，您可以通过配置攻击惩罚，使WAF按配置的攻击惩罚时长来自动封禁访问者。
Web基础防护、精准访问防护和黑白名单设置支持攻击惩罚功能。

可以针对国外部分国家、国内省份的来源IP进行自定义访问控制。

对网站的静态网页进行缓存配置，当用户访问时返回给用户缓存的正常页面，并随机检测网页是否被篡改。

动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为。

防止用户的敏感信息（如身份证号、电话号码、电子邮箱等）泄露，并能够拦截指定的HTTP响应码页面。

“不检测类型”选择“所有检测模块”时：通过WAF配置的其他所有的规则都不会生效，WAF将放行该域名下的所有请求流量。

“不检测类型”选择“Web基础防护模块”时：可根据选择的“不检测规则类型”，对某些规则ID或者事件类别进行忽略设置（例如，某URL不进行XSS的检查，可设置屏蔽规则，屏蔽XSS检查）。

通过设置隐私信息屏蔽，可以避免用户的密码等信息出现在事件日志中。

在“安全总览”页面，您可以查看到昨天、今天、3天、7天或者30天的访问与攻击统计次数、攻击分布、受攻击域名 TOP10、攻击源IP TOP10和受攻击URL TOP10的次数。
在“防护事件”页面，您可以查看所有防护域名昨天、今天、3天、7天、30天或者自定义时间段（最多30天）的防护事件数据。

添加防护网站时，如果“对外协议”选择“HTTPS”协议，需要选择证书使证书绑定到防护网站。
您可以通过创建证书，将证书上传到WAF，使防护网站直接选择上传的证书。

当证书过期或无效时，您可以删除该证书。

当防护网站的“对外协议”为“HTTPS”时，您可以通过WAF为网站设置最低TLS版本和加密套件（多种加密算法的集合），对于低于最低TLS版本的请求，将无法正常访问网站，以满足行业客户的安全需求。
WAF支持开启PCI DSS和PCI 3DS合规认证功能，开启合规认证后，最低TLS版本将设置为TLS v1.2，以满足PCI DSS和PCI 3DS合规认证要求。

您可以修改防护网站的服务器信息，包括对外协议、源站协议、源站地址、源站端口等信息，也可以为防护网站添加服务器配置。

当防护网站不需要防护时，您可以删除该网站。删除网站后，1分钟内生效，且不可恢复，请谨慎删除防护网站。

HTTP2协议仅适用于客户端到WAF之间的访问，且“对外协议”必须包含HTTPS才能支持使用。

如果您需要针对域名的每个请求设置超时时间，可参考本章节开启WAF到客户源站的“超时配置”并设置“连接超时”、“读超时”、“写超时”的时间。开启后不支持关闭。

• 连接超时：WAF转发客户端请求时，TCP三次握手超时时间。
• 写超时：WAF向源站发送请求的超时时间，若在设定的写超时时间内源站未接收到请求，则认为连接超时。
• 读超时：WAF从源站读取响应的超时时间，若在设定的读超时时间内未收到来自源站的响应，则认为连接超时。

网站接入WAF防护之后，若您访问网站时出现大量的502 Bad Gateway，504 Gateway Timeout错误或者等待处理的请求，为了保护源站的安全，可使用WAF的宕机保护和连接保护功能。当502/504请求数量或读等待URL请求数量以及占比阈值达到您设置的值时，将触发WAF熔断功能开关，实现宕机保护和读等待URL请求保护。

防护网站配置了一个或多个源站地址时，WAF支持配置多源站间的负载均衡算法，WAF支持的算法如下：

• 源IP Hash：将某个IP的请求定向到同一个服务器。
• 加权轮询：所有请求将按权重轮流分配给源站服务器。
• Session Hash：将某个Session标识的请求定向到同一个源站服务器，请确保在域名添加完毕后配置攻击惩罚的流量标识，否则Session Hash配置不生效。

如果您想通过WAF添加额外的Header头部信息，例如$request_id让整个链路的请求都可以关联起来。可配置字段转发，WAF会将添加的字段插到Header中，转发给源站。配置的Key值不能跟nginx原生字段重复。

IP地址组集中管理IP地址或网段，被黑白名单规则引用时可以批量设置IP/IP地址段。