更新时间:2024-11-14 GMT+08:00

约束与限制

本节介绍Web应用防火墙WAF服务在使用过程中的约束和限制。

防护对象限制

表1 防护对象限制

接入方式

防护对象

云模式-CNAME接入

  • 仅支持防护域名
  • 支持防护华为云、非华为云或云下的Web业务

云模式-ELB接入

  • 支持防护域名
  • 支持防护IP
  • 仅支持防护华为云的Web业务

独享模式

  • 支持防护域名
  • 支持防护IP
  • 仅支持防护华为云的Web业务

服务版本限制

  • 同一账号在同一个大区域只能选择一个服务版本。

    “华东区域”为例,同一账号在华东-上海一、华东-上海二只能选购一个WAF版本。

    原则上,在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率,建议您在购买WAF时,根据防护业务的所在区域就近选择购买的WAF区域。

  • 服务版本选择:
    • 购买了云模式标准版、专业版或铂金版后,才支持使用“云模式-ELB接入”方式。
    • 使用独享模式WAF时,建议WAF独享引擎实例与源站在同一个VPC中,如果WAF独享引擎实例与源站不在同一个VPC中,可通过对等连接打通两个VPC之间网络。

防护域名限制

  • 通过云模式-CNAME接入方式接入的域名,请确保域名已经过ICP备案,WAF会检查域名备案情况,未备案域名将无法添加。
  • 同一防护对象不能重复添加到WAF。

    同一个域名对应不同非标准端口视为不同的防护对象,例如www.example.com:8080和www.example.com:8081为两个不同的防护对象,且占用两个域名防护配额。如果您需要防护同一域名的多个端口,您需要将该域名和端口逐一添加到WAF。

证书限制

  • WAF当前仅支持PEM格式证书。
  • 目前华为云SCM证书只能推送到“default”企业项目下。如果您使用其他企业项目,则不能选择使用SCM推送的SSL证书。
  • 拥有“SCM Administrator”“SCM FullAccess”权限的账号才能选择SCM证书。

ELB限制

  • 将网站以独享模式接入WAF时,仅支持与独享型ELB配套使用。有关ELB类型的详细介绍,请参见共享型弹性负载均衡与独享型负载均衡的功能区别

    2023年4月之前的独享引擎版本,不支持与独享ELB网络型配合使用。因此,如果您使用了独享ELB网络型(TCP/UDP)负载均衡,请确认独享WAF实例已升级到最新版本(2023年4月及之后的版本)。

  • 将网站以云模式-ELB接入WAF时,仅支持与独享型ELB配套使用,且ELB“规格”必须为“应用型(HTTP/HTTPS)”,不支持“网络型(TCP/UDP)”的独享型的ELB。

规格限制

  • WAF各版本支持的业务规格限制,详见各版本支持的业务规格
  • 将网站接入WAF后,网站的文件上传请求限制为:
    • 云模式-CNAME接入:1GB
    • 云模式-ELB接入、独享模式:10GB
  • 带宽限制仅对云模式-CNAME方式接入的网站有限制,通过ELB模式接入的网站,没有带宽限制,仅有QPS限制。