文档首页/ Web应用防火墙 WAF/ 用户指南/ 网站接入WAF/ 网站接入概述
更新时间:2025-08-19 GMT+08:00
查看PDF
分享

网站接入概述

如果要使用Web应用防火墙(Web Application Firewall,WAF)防护您的Web业务,您必须先将Web业务接入WAF。WAF支持云模式-CNAME接入云模式-ELB接入独享模式接入三种接入方式,您可以根据Web业务的部署特征,选择合适的接入方式。

独享模式在部分区域已经停售,详见独享模式停售通知

介绍视频

接入说明

云模式-CNAME接入云模式-ELB接入独享模式接入说明如下所示。

  • 实现原理

    云模式-CNAME接入通过DNS解析,将防护域名的DNS解析指向WAF的CNAME地址,使域名的Web业务引流到WAF。WAF检测过滤恶意攻击流量后,通过回源IP将正常流量返回给源站服务器。

    该过程中,WAF作为反向代理集群,同时参与流量的转发和检测防护。

  • 适用业务场景

    业务服务器部署在华为云非华为云本地

  • 防护对象

    域名

  • 实现原理

    云模式-ELB接入通过SDK模块化的方式将WAF集成在ELB的网关中,WAF通过内嵌在网关中的SDK提取流量并进行检测和防护后,将检测结果同步给ELB,由ELB根据WAF的检测结果决定是否将客户端请求转发到源站。

    该过程中,WAF不参与流量转发,避免因额外引入一层转发而带来各种兼容性和稳定性问题。

  • 适用业务场景

    业务服务器部署在华为云的大型企业网站,对业务稳定性有较高要求的安全防护需求。

  • 防护对象

    域名、公网IP、私网IP

  • 实现原理

    独享模式接入通过DNS解析,将防护域名的DNS解析指向绑定到独享引擎配置的负载均衡上的弹性公网IP实例,使域名的Web业务引流到WAF。WAF检测过滤恶意攻击流量后,通过独享引擎的回源IP/IP段将正常流量返回给源站服务器。

    该过程中,WAF作为反向代理集群,同时参与流量的转发和检测防护。

  • 适用业务场景

    业务服务器部署在华为云的大型企业网站,具备较大的业务规模且基于业务特性具有制定个性化防护规则的安全需求。

  • 防护对象

    域名、公网IP、私网IP

约束限制

WAF不同接入模式的约束限制如下。

表1 不同接入方式的约束限制

限制项

云模式-CNAME接入

云模式-ELB接入

独享模式接入

域名限制
  • 同一防护域名不能重复添加到WAF云模式。

    同一个域名对应不同非标准端口视为不同的防护对象,例如www.example.com:8080和www.example.com:8081为两个不同的防护对象,且占用两个域名防护配额。如果您需要防护同一域名的多个端口,您需要将该域名和端口逐一添加到WAF。

  • 请确保域名经过ICP(Internet Content Provider)备案,WAF会检查域名备案情况,未备案域名将无法添加。

不涉及
  • WAF支持添加“*”的泛域名,域名配置为“*”时,只能防护除80、443端口以外的非标端口。
  • 同一防护对象不能重复添加到WAF。

    同一个域名对应不同非标准端口视为不同的防护对象,例如www.example.com:8080和www.example.com:8081为两个不同的防护对象,且占用两个域名防护配额。如果您需要防护同一域名的多个端口,您需要将该域名和端口逐一添加到WAF。

ELB限制

--

仅支持与独享型ELB配套使用,且“规格”必须为“应用型(HTTP/HTTPS)”,不支持“网络型(TCP/UDP)”的独享型的ELB。
仅支持与独享型ELB配套使用。有关ELB类型的详细介绍,请参见共享型弹性负载均衡与独享型负载均衡的功能区别
说明:

2023年4月之前的独享引擎版本,不支持与独享ELB网络型配合使用。因此,如果您使用了独享ELB网络型(TCP/UDP)负载均衡,请确认独享WAF实例已升级到最新版本(2023年4月及之后的版本),独享引擎版本详情请参见独享引擎版本迭代

服务版本相关限制
  • 仅专业版和企业版支持IPv6防护、HTTP2协议、负载均衡算法。
  • 标准版“策略配置”只能选择“系统自动生成策略”
  • 只有专业版和企业版支持选择自定义的防护策略。

仅标准版、专业版或企业版后,才支持使用ELB接入。

--

证书限制
  • WAF当前仅支持PEM格式证书。
  • 目前华为云SCM证书只能推送到“default”企业项目下。如果您使用其他企业项目,则不能选择使用SCM推送的SSL证书。
  • 拥有“SCM Administrator”“SCM FullAccess”权限的账号才能选择SCM证书。

--
  • WAF当前仅支持PEM格式证书。
  • 目前华为云SCM证书只能推送到“default”企业项目下。如果您使用其他企业项目,则不能选择使用SCM推送的SSL证书。
  • 拥有“SCM Administrator”“SCM FullAccess”权限的账号才能选择SCM证书。

协议限制
  • WAF支持WebSocket协议,且默认为开启状态。

    仅在流量转发时,支持WebSocket协议。流量检测时,不支持。

  • HTTP2协议仅适用于客户端到WAF之间的访问,且“对外协议”必须包含HTTPS才支持使用。
    • “服务器配置”中至少有一条源站地址的“对外协议”配置为HTTPS,开启后才会生效。
    • 当客户端最大支持TLS 1.2时,HTTP2才生效。

--

WAF支持WebSocket协议,且默认为开启状态。

仅在流量转发时,支持WebSocket协议。流量检测时,不支持。

防护策略限制

一个防护域名只能绑定一条防护策略。

一个防护域名只能绑定一条防护策略。

一个防护域名只能绑定一条防护策略。

规格限制

将网站接入WAF后,网站的文件上传请求限制为1G。

将网站接入WAF后,网站的文件上传请求限制为1G。

将网站接入WAF后,网站的文件上传请求限制为1G。
父主题: 网站接入WAF