将使用的代理类服务（DDoS高防、CDN等）的回源地址修改为的目标 域名 的“CNAME”值。 一站式将网站接入WAF即可，具体操作请参见将网站接入WAF防护（云模式-ELB接入）。 以WAF独享模式接入网站时，您可以参照图2所示的配置流程，快速使用WAF。 图2 网站接入WAF的操作流程图-独享模式 系统影响

查看更多 →

高WAF的转发效率，建议您在购买WAF时，根据防护业务的所在区域就近选择购买的WAF区域。 服务版本选择： 购买了云模式标准版、专业版或铂金版后，才支持使用“云模式-ELB接入”方式。 使用独享模式WAF时，建议WAF独享引擎实例与源站在同一个VPC中，如果WAF独享引擎实例与源

查看更多 →

} 原因三：源站IP误配置为WAF的回源IP或WAF前代理的IP 如果“源站地址”误配置为WAF的回源IP或WAF前代理的IP，会造成访问死循环，报523错误。 解决办法： 检测源站 服务器 的配置，将“源站地址”修改为正确的源站IP，具体操作请参见修改服务器配置信息。 图1 修改源站地址

查看更多 →

} 原因三：源站IP误配置为WAF的回源IP或WAF前代理的IP 如果“源站地址”误配置为WAF的回源IP或WAF前代理的IP，会造成访问死循环，报523错误。 解决办法： 检测源站服务器的配置，将“源站地址”修改为正确的源站IP，具体操作请参见修改服务器配置信息。 图1 修改源站地址

查看更多 →

标准端口：2个（80，443） 非标准端口：可任意使用WAF支持的端口列表中的端口，不限制数量。 标准端口：2个（80，443） 非标准端口：可任意使用WAF支持的端口列表中的端口，不限制数量。 标准端口：2个（80，443） 非标准端口：可任意使用WAF支持的端口列表中的端口，不限制数量。 标准端口：2个（80，443）

查看更多 →

名，即用户需要根据网站实际情况配置唯一可识别Web访问者的cookie中的某属性变量名。用户标识的cookie，不支持正则，必须完全匹配。例如：如果网站使用cookie中的某个字段name唯一标识用户，那么可以选取name字段来区分Web访问者。 选择header时，设置需要防护

查看更多 →

对于通过包年/包月购买的WAF云模式版本时，用户已经预先支付了版本费用，因此在账户出现欠费的情况下，已通过云模式接入WAF的网站仍可正常使用。然而，对于涉及费用的操作，如升级WAF规格、续费订单等，用户将无法正常进行。 按需计费 如果购买的是WAF按需独享模式时，当您的账号因按需自动扣费导致欠费

查看更多 →

名配置防护策略。 工作原理 当WAF接收到正常的访问请求时，直接将缓存的网页返回给Web访问者，加速请求响应。 如果攻击者篡改了网站的静态网页，WAF将缓存的未被篡改的网页返回给Web访问者，保证Web访问者访问的是正确的页面。 WAF将对页面路径下的所有相关资源进行防护。例如，对“www

查看更多 →

。 “指定域名”：选择策略绑定的防护域名或手动输入泛域名对应的单域名。 指定域名 防护域名 “防护方式”选择“指定域名”时，需要配置此参数。 需要手动输入当前策略下绑定的需要防护的泛域名对应的单域名，且需要输入完整的域名。 单击“添加”，支持配置 多个域名 。 www.example

查看更多 →

如果您需要防护WAF支持的端口以外的非标端口，可参考本章节配置WAF的独享模式和7层ELB联动，实现任意端口业务的防护。 CDN回源OBS桶场景下连接WAF提升OBS安全防护 当您的网站域名开启了华为云 CDN加速 ，且回源到华为云对象存储 OBS（Object Storage Serv

查看更多 →

源IP的详细操作，请参见步骤二：放行高防回源IP段。 DDoS高防会替换真实用户IP并且将客户业务的访问流量汇聚到高防回源IP。 在没有启用DDoS高防时：对于源站来说真实客户端的地址是非常分散的，且正常情况下每个源IP的请求量都不大。 在启用DDoS高防后：由于高防回源的IP段

查看更多 →

接入 Web应用防火墙 的域名需要备案吗？ WAF的不同模式对网站备案的要求不一样，具体如下： 云模式-CNAME接入 接入WAF前，请确保域名已在工信部备案，未备案域名将无法正常使用WAF。域名备案详细操作请参见备案流程。 WAF云模式支持域名检查功能，添加防护域名时，如果防护域名未经过ICP备案，防护域名将无法添加。

查看更多 →

WAF对防护带宽/共享带宽有限制吗？ WAF对防护带宽/共享带宽没有限制，WAF对业务带宽和QPS有限制。 WAF的业务QPS是指所有该WAF防护的域名、站点中正常业务流量的大小，单位为QPS。 购买WAF时，您需要提前考虑准备通过WAF配置防护的所有站点的日常入方向和出方向总流

查看更多 →

，绑定到OBS中的域名。 防护域名端口 填写需要防护的域名对应的业务端口。 服务器配置 对外协议：客户端请求访问服务器的协议类型。包括HTTP、HTTPS两种协议类型。 源站协议：Web应用防火墙转发客户端请求的协议类型。包括HTTP、HTTPS两种协议类型。 源站地址：填写网站

查看更多 →

region String 区域ID，控制台创建的域名会携带此参数，api调用创建的域名此参数为空，可以通过地区和终端节点文档查询区域ID对应的中文名称 server Array of WafServer objects 防护域名的源站服务器配置信息，只有独享模式域名才返回vpc_id

查看更多 →

Web应用防火墙可以跨区域使用吗？ 原则上，在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率，建议您在购买WAF时，根据防护业务的所在区域就近选择购买的WAF区域。 例如，如果买一个WAF能同时覆盖不同地域的业务（如北京和上海），但是如果购买北

查看更多 →

与其他云服务的关系 本章节介绍Web应用防火墙与其他云服务的关系。 与 云审计 服务的关系 云审计服务（Cloud Trace Service， CTS ）记录了Web应用防火墙相关的操作事件，方便用户日后的查询、审计和回溯。 与云监控服务的关系 云监控服务可以监控Web应用防火墙的相关指

查看更多 →

“全局计数”：根据不同的限速模式，将已经标识的请求在一个或多个WAF节点上的计数聚合。默认为每WAF节点单独计数，开启后本区域所有节点合并计数。“IP限速”不能满足针对某个用户进行限速，需要选择“用户限速”或“其他”的Referer限速，此时标识的请求可能会访问到不同的WAF节点，开启全局计数后，将请求访问的一个或多

查看更多 →

标准端口：2个（80，443） 非标准端口：可任意使用WAF支持的端口列表中的端口，不限制数量。 标准端口：2个（80，443） 非标准端口：可任意使用WAF支持的端口列表中的端口，不限制数量。 标准端口：2个（80，443） 非标准端口：可任意使用WAF支持的端口列表中的端口，不限制数量。 标准端口：2个（80，443）

查看更多 →

DDoS防护策略中配置黑白名单后，还需要在WAF防护策略里配置吗？ DDoS防护策略里配置的白名单会自动同步到WAF防护策略里，用户无需在WAF防护策略里再次配置。 在DDoS防护策略里配置黑名单后，业务流量经过DDoS防护设备会自动拦截，无需在WAF防护策略里再次配置。如果域名

查看更多 →

您检查并确保源站服务器已配置了放行WAF回源IP的访问控制策略。 什么是回源IP？ 回源IP是WAF用来代理客户端请求服务器时用的源IP，在服务器看来，接入WAF后所有源IP都会变成WAF的回源IP，而真实的客户端地址会被加在HTTP头部的XFF字段中。 WAF的回源IP会因为扩

查看更多 →