如果配置了IP标记，为了确保IP标记生效，请您确认防护网站在接入WAF前已使用了7层代理，且防护网站的“是否已使用代理”为“七层代理”。 如果未配置IP标记，WAF默认通过客户端IP进行识别。 使用Cookie或Params恶意请求的攻击惩罚功能前，您需要分别配置对应 域名 的Session标记或User标记。

查看更多 →

域名/IP接入WAF前需要准备哪些数据？ 请根据购买的WAF模式，在域名/IP接入WAF前收集相关信息。 云模式-CNAME接入 表1 准备防护域名相关信息 获取信息 参数 说明 示例 域名是否使用代理 代理 域名在接入WAF前，是否已接入CDN、云加速等提供七层Web代理的产品，如果是，请务必配置成“七层代理”。

查看更多 →

方案概述 网站在接入WAF前使用代理或未使用代理的接入配置说明如下： 使用代理 网站在接入WAF前已使用高防、CDN（Content Delivery Network，内容分发网络）、云加速等代理，如图1所示。 当网站没有接入到WAF前，DNS解析到代理，流量先经过代理，代理再将流量直接转到源站。

查看更多 →

添加域名后，为了确保WAF转发正常，建议您先通过本地验证确保一切配置正常，然后再修改DNS解析。 修改域名DNS解析设置 域名在接入WAF前未使用代理 到该域名的DNS服务商处，配置防护域名的别名解析。 域名在接入WAF前使用代理（DDoS高防、CDN等） 将使用的代理类服务（DDoS

查看更多 →

WAF获取真实IP是从报文中哪个字段获取到的? WAF引擎会根据防护规则确定是否代理转发请求去后端，如果WAF配置了基于IP的规则（比如黑白名单、地理位置、基于IP的精准访问防护规则），那么WAF引擎就会获取真实IP后才能放行或者拦截代理请求。获取真实IP的方法基于以下原则： 在

查看更多 →

源站端口：80 代理情况 在WAF前使用了其他代理产品。 此处选择“七层代理”。 七层代理 单击“下一步”，根据界面提示，完成WAF回源IP加白、本地验证的操作。 图3 添加域名完成 步骤三：域名解析 在DDoS高防界面，添加WAF的CNAME地址，使流量经过WAF。 云模式-CNAME接入配置策略

查看更多 →

代理配置是否收费？ SMS 服务提供的代理配置流程免费，但创建出来的 服务器 和流量会产生少许费用，由对应服务收取。 父主题： 常见问题

查看更多 →

准备工作 在购买 Web应用防火墙 之前，请先 注册华为账号 并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。 如果您已开通华为云并进行实名认证，请忽略此步骤。 请保证账户有足够的资金，以免购买Web应用防火墙失败。具体操作请参见账户充值。 请确保已为账号赋予相关WAF权限。具体操作请参见创建用户组并授权使用WAF。

查看更多 →

址。 为了保证WAF的安全策略能够针对真实源IP生效，成功获取Web访问者请求的真实IP地址，如果WAF前使用了CDN、云加速等七层代理的产品，“是否已使用代理”务必选择“七层代理”，其他情况，“是否已使用代理”选择“无代理”。 常规情况下，X-Forwarded-For字段中，

查看更多 →

的IP，所以当网站接入WAF后，需要把DNS解析到WAF的CNAME，这样流量才会先经过WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。 使用了DDoS高防等代理 当网站没有接入到WAF前，DNS解析到高防等代理，流量先经过高防等代理，高防等代理再将流量直接转到源站。

查看更多 →

源站地址：IPv4 XXX .XXX.1.1 源站端口：80 代理情况 在WAF前使用了其他代理产品。 此处选择“七层代理”。 七层代理 CDN的加速域名仅支持默认端口，以非标端口的方式接入WAF的防护域名将无法接入CDN。 如果您在WAF侧为防护域名配置了HTTPS证书，请同步在CDN侧完成证书配置，否则会导致域名无法访问。

查看更多 →

协议类型/端口 对外协议/防护端口 ③ WAF前是否有七层代理 代理情况 ④ 开启IPV6防护 IPv6防护 ⑤ 负载均衡算法 负载均衡算法 ⑥ 服务器地址 源站地址 ⑦ 防护资源 默认支持（无需手动配置） 单击“下一步”，根据界面提示，完成WAF回源IP加白、本地验证和修改域名DNS解析设置的配置操作。

查看更多 →

添加防护域名或IP后，域名或IP接入WAF失败，即防护网站“接入状态”显示“未接入”。 WAF每隔一小时就会自动检测防护网站的 接入状态，当WAF统计防护网站在5分钟内达到20次访问请求时，将认定该防护网站已成功接入WAF。 WAF默认只检测两周内新增或更新的域名的接入状态，如果域名创建时间在两周前，且最近

查看更多 →

添加防护域名或IP后，域名或IP接入WAF失败，即防护网站“接入状态”显示“未接入”。 WAF每隔一小时就会自动检测防护网站的 接入状态，当WAF统计防护网站在5分钟内达到20次访问请求时，将认定该防护网站已成功接入WAF。 WAF默认只检测两周内新增或更新的域名的接入状态，如果域名创建时间在两周前，且最近

查看更多 →

使用独享WAF和7层ELB以防护任意非标端口 应用场景 如果您需要防护WAF支持的端口以外的非标端口，可参考本章节配置WAF的独享模式和7层ELB联动，可实现任意端口业务的防护。 方案架构 假设需要将“www.example.com:9876”配置到WAF进行防护，但WAF不支持“

查看更多 →

有关同时部署CDN和WAF的详细介绍，请参见“CDN+WAF”联动提升网站防护能力和访问速度。 Web应用防火墙是否支持健康检查？ WAF目前暂不支持健康检查的功能，如果您希望服务器有健康性检查的功能，建议您将弹性负载均衡（ELB）和WAF搭配使用，ELB的相关配置请参见添加后端云服

查看更多 →

例如：ELB配合CDN、WAF服务使用，请求经过CDN、WAF后，IP会被代理，到达ELB的IP无法保持一致，导致会话保持失效。若您要使用CDN、WAF服务，建议使用七层监听器，使用基于cookie的会话保持。 检查是否是HTTP/HTTPS监听器，并配置了会话保持。如果是，需要注意发

查看更多 →

客户端源IP。 Nginx Ingress使用共享型ELB时，获取客户端源IP的操作步骤如下： 以Nginx工作负载为例，未配置源IP访问前，使用以下命令查看访问日志，其中nginx-c99fd67bb-ghv4q为Pod名称： kubectl logs nginx-c99fd67bb-ghv4q

查看更多 →

接攻击。 源站服务器上的安全软件很容易认为独享引擎的回源IP是恶意IP，有可能触发屏蔽WAF回源IP的操作。一旦WAF的回源IP被屏蔽，WAF的请求将无法得到源站的正常响应，因此，网站以“独享模式”接入WAF防护后，您需要在源站服务器上设置放行创建的独享引擎实例对应的子网IP，不

查看更多 →

example.com:1234”对应的泛域名“*.example.com”，在“防护对象端口”下拉框中选择任一端口（如“81”）。 “是否已使用代理”，选择“七层代理”，单击“确认”，防护网站添加成功。 关闭弹出的对话框。 您可以在防护网站列表中查看已添加防护网站。 在ELB管理控制台配置负载均衡。

查看更多 →

1 源站端口：80 代理情况 在WAF前使用了其他代理产品。 此处选择“七层代理”。 七层代理 单击“下一步”，根据界面提示，完成WAF回源IP加白、本地验证的操作。 图3 添加域名完成 步骤三：域名解析 在CDN界面，添加WAF的CNAME地址，使流量经过WAF。 云模式配置策略

查看更多 →