查询项目id为project_id的WAF回源IP信息。 GET https://{endpoint}/v1/{project_id}/waf/config/source-ip 响应示例 状态码： 200 WAF回源IP信息 { "source_ip" : [ { "ips" : [ "122

查看更多 →

配置DDoS阶梯调度需要使用备用IP吗？ 部署在“华东-上海一”区域的云资源可以不使用备用IP。 父主题： DDoS调度中心常见问题

查看更多 →

Web应用防火墙 是否能防护IP？ WAF可以对IP进行防护。 云模式-CNAME接入 WAF不能防护IP，只能基于 域名 进行防护。 在WAF中配置的源站IP只支持公网IP，不支持私网IP或者内网IP。 如果您需要减少公网IP的数量，可以购买ELB（Elastic Load Bala

查看更多 →

拦截所有来源IP或仅允许指定IP访问防护网站，WAF如何配置？ 防护网站接入WAF后，您可以通过配置黑白名单规则或精准访问防护规则，使WAF仅允许指定IP访问防护网站，即WAF拦截除指定IP外的所有来源IP。 通过配置IP黑白名单规则拦截除指定IP外的所有来源IP 登录管理控制台。

查看更多 →

WAF防护策略配置防护规则 规则详情 表1 规则详情 参数 说明 规则名称 waf-policy-not-empty 规则展示名 WAF防护策略配置防护规则 规则描述 WAF防护策略未配置防护规则，视为“不合规”。 标签 waf 规则触发方式 配置变更 规则评估的资源类型 waf

查看更多 →

WAF防护域名配置防护策略 规则详情 表1 规则详情 参数 说明 规则名称 waf-instance-policy-not-empty 规则展示名 WAF防护域名配置防护策略 规则描述 WAF防护域名未配置防护策略，视为“不合规”。 标签 waf 规则触发方式 配置变更 规则评估的资源类型

查看更多 →

同时配置CDN和WAF后，流量还会通过WAF吗？ 流量方向分以下两种情况讨论： 如果访问的资源命中CDN缓存，流量不会经过WAF，没有回源的过程，CDN直接响应终端请求。 如果访问的资源未命中CDN缓存，流量先经过WAF，然后到达源站。如下图所示。 如何同时配置CDN和WAF请参考 CDN加速 WAF防护资源。

查看更多 →

退订云模式WAF前，已放通了源站业务的端口。 注意事项 退订WAF重新购买WAF，如果重购的WAF与原WAF不在同一区域，原WAF配置数据将不能保存。当您重新购买WAF后，您需要将防护域名重新接入WAF，并根据防护需求为域名配置相应的防护规则，详细说明请参见退订后重购WAF，原配置数据可以保存吗？。

查看更多 →

waf:ipgroup:create 授予创建IP地址组的权限。 write - g:EnterpriseProjectId waf:ipgroup:get 授予查询IP地址组的权限。 read - g:EnterpriseProjectId waf:ipgroup:put 授予修改IP地址组的权限。 write

查看更多 →

在APIG实例中，将“real_ip_from_xff”开关打开，并设置参数运行值为“1”。 客户从公网客户端访问WAF时，WAF会在HTTP头部“X-Forwarded-For”中记录用户的真实IP，APIG需要据此解析出用户的真实IP。 方案二（备选）：使用DEFAULT分组实现转发功能，WAF侧通过IP访问后端服务

查看更多 →

HSS拦截的IP是否需要处理？ 在收到有拦截IP的告警时，需要您对拦截的IP进行判断，被拦截IP是否为正常业务所使用。 如果是您正在使用的业务所属IP，您需将拦截IP添加至白名单。 如果是非正常业务所使用，则无需处理。 父主题： 入侵告警问题

查看更多 →

HSS拦截的IP是否需要处理？ 在收到有拦截IP的告警时，需要您对拦截的IP进行判断，被拦截IP是否为正常业务所使用。 如果是您正在使用的业务所属IP，您需将拦截IP添加至白名单。 如果是非正常业务所使用，则无需处理。 父主题： 检测与响应

查看更多 →

购买WAF 购买WAF云模式

查看更多 →

如何测试在WAF中配置的源站IP是IPv6地址？ 执行此操作前，请确认已在WAF中添加了域名并完成了域名接入。 假如已在WAF中添加域名www.example.com。通过以下方法可以测试配置的源站IP是否是IPv6地址： 在Windows中打开cmd命令行工具。 执行dig AAAA

查看更多 →

通过CES配置WAF指标异常告警 应用场景 本文档介绍如何在华为云 云监控服务 （CES）对WAF指标配置异常告警，当Web应用防火墙（WAF）的监控指标出现异常情况，及时了解WAF防护状况，从而起到预警作用。 WAF提供的监控指标请参见WAF监控指标。 前提条件 已将防护网站接入WAF。

查看更多 →

DDoS防护策略中配置黑白名单后，还需要在WAF防护策略里配置吗？ DDoS防护策略里配置的白名单会自动同步到WAF防护策略里，用户无需在WAF防护策略里再次配置。 在DDoS防护策略里配置黑名单后，业务流量经过DDoS防护设备会自动拦截，无需在WAF防护策略里再次配置。如果域名绑定

查看更多 →

图1 回源IP 回源IP检测机制 回源IP（该IP在回源IP段中）是随机分配的。回源时WAF会监控回源IP的状态，如果该IP异常，WAF将剔除该异常IP并随机分配正常的回源IP接收/转发访问请求。 为什么需要放行回源IP段？ WAF实例的IP数量有限，且源站 服务器 收到的所有请求都

查看更多 →

WAF如何解析/访问IPv6源站？ 当防护网站的源站地址配置为IPv6地址时，WAF直接通过IPv6地址访问源站。WAF默认在CNAME中增加IPv6地址解析，IPv6的所有访问请求将先流转到WAF，WAF检测并过滤恶意攻击流量后，将正常流量返回给源站，从而确保源站安全、稳定、可用。

查看更多 →

接入Web应用防火墙的域名需要备案吗？ WAF的不同模式对网站备案的要求不一样，具体如下： 云模式-CNAME接入 接入WAF前，请确保域名已在工信部备案，未备案域名将无法正常使用WAF。域名备案详细操作请参见备案流程。 WAF云模式支持域名检查功能，添加防护域名时，如果防护域名未经过ICP备案，防护域名将无法添加。

查看更多 →

业务使用了IPv6，WAF中的源站地址如何配置？ 如果域名已接入了WAF（源站地址配置为IPv4地址）进行防护，当业务开启了IPv6时，WAF中配置的源站地址可以保持原IPv4地址，也可以修改为IPv6地址。 WAF支持IPv6/IPv4双栈模式和NAT64机制，详细说明如下：

查看更多 →

全方位保护Web服务安全稳定。 如果您需要为APIG中绑定的域名提供全方位的防护功能，您可以购买WAF，并将域名接入WAF，以轻松应对各种Web安全风险。 有关WAF功能的详细介绍，请参见功能特性。 有关购买WAF的详细操作，请参见购买Web应用防火墙。 有关使用WAF的详细操作，请参见操作指南。

查看更多 →