文档首页/ Web应用防火墙 WAF/ 用户指南/ 网站接入WAF/ 进阶配置/ 开启熔断保护功能保护源站安全
更新时间:2026-07-03 GMT+08:00
分享

开启熔断保护功能保护源站安全

网站接入WAF防护后,如果访问网站时,频繁遇到502 Bad Gateway、504 Gateway Timeout错误或请求处理延迟,WAF会启用熔断保护功能,以保障网站安全。云模式-CNAME为托管模式,默认配置不可改;独享模式支持全参数自定义,是业务高可用、故障自愈的核心能力。

原理介绍

熔断保护功能包括宕机保护连接保护
  • 宕机保护:针对响应码异常进行的检测。如果访问网站时,频繁遇到502 Bad Gateway、504 Gateway Timeout错误,WAF会启用宕机保护功能,停止转发用户请求,以保障网站安全。
  • 连接保护:针对TCP连接延迟的检测。如果访问网站时,频繁遇到请求处理延迟,WAF会启用连接保护功能,停止转发用户请求,以保障网站安全。
云模式-CNAME接入独享模式均支持熔断保护功能。
  • 云模式-CNAME接入:该功能默认开启,不支持关闭;默认值如表1所示,不支持修改。
  • 独享模式:可根据实际业务情况,开启或关闭该功能,配置熔断阈值和保护时间。具体操作,请参见开启熔断保护
表1 实现原理

功能

触发条件

默认值

宕机保护

网站请求同时达到“502/504数量阈值”(即每30s累加的502/504数量阈值)和“502/504数量占比(%)”(即总请求数量中502/504数量占比达到所设定值)时,WAF将自动触发宕机保护机制,在“初次保护时间(秒)”内对网站实施宕机保护,停止转发用户请求来缓解大量502/504错误的访问压力。

如果1小时内,连续触发熔断机制,WAF则会按照设置的“连续触发叠加系数”延长宕机保护时间。例如,初次保护时间为180s,连续触发叠加系数为3,当触发次数为2(即小于3)时,保护时间为360s;当次数大于等于3时,保护时间为540s;当累计保护时间超过1小时,叠加次数会从头计数。

  • 502/504数量阈值:6,000
  • 502/504数量占比(%):99%
  • 初次保护时间(秒):15s
  • 连续触发叠加系数:2

连接保护

网站等待响应的请求达到“读等待URL请求数量阈值”时,WAF将自动触发连接保护机制,在“保护时间(秒)”内网站实施连接保护,停止转发用户请求来缓解大量网站大量请求的访问压力。

  • 读等待URL请求数量阈值:8,000
  • 保护时间(秒):10s

典型应用场景(独享模式)

场景

场景说明

解决方案

静态官网/政企展示站

低并发、稳定性要求高

  • 宕机保护:502/504数量阈值3000条、502/504数量占比80%、初次保护时间15s、连续触发叠加系数2
  • 连接保护:读等待URL请求数量阈值5000条、保护时长10s
  • 适配逻辑:放宽触发条件,避免爬虫、少量瞬时波动误熔断,故障触发后快速兜底

电商/促销秒杀

高并发、流量波动大、怕误杀

  • 宕机保护:502/504数量阈值8000条、502/504数量占比95%、初次保护时间10s、连续触发叠加系数1.5
  • 连接保护:读等待URL请求数量阈值10000条、保护时长8s
  • 适配逻辑:提高错误阈值、降低叠加系数,避免秒杀瞬时流量波动误触发,缩短单次熔断时长,保障业务连续性

微服务/后端接口服务

易接口雪崩、链路超时

  • 宕机保护:502/504数量阈值2000条、502/504数量占比70%、初次保护时间20s、连续触发叠加系数2
  • 连接保护:读等待URL请求数量阈值3000条、保护时长15s
  • 适配逻辑:收紧阈值,提前感知接口报错与队列积压,快速熔断阻断故障扩散,防止级联雪崩

小游戏/直播大流量业务

长连接多、队列易积压

  • 宕机保护:502/504数量阈值6000条、502/504数量占比90%、初次保护时间12s、连续触发叠加系数1.5
  • 连接保护:读等待URL请求数量阈值8000条、保护时长12s
  • 适配逻辑:适配长连接积压特征,控制叠加倍数,避免长时间熔断影响用户体验

约束条件

功能

约束说明

模式限制

  • 云模式-CNAME接入:支持熔断保护功能,但不支持手动关闭、修改阈值和保护时间。
  • 云模式-ELB接入不支持。ELB接入为旁路模式,WAF无法阻断主链路流量、不能下发自定义响应,无法实现熔断逻辑。
  • 独享模式:支持手动开启或关闭该功能,修改阈值和保护时间。

    开启前,必须将独享引擎实例版本升级到最新版本,否则开启后可能会对业务产生影响。

地域限制

以控制台实际为准。

前提条件

开启熔断保护

  1. 登录Web应用防火墙控制台
  2. 在控制台左上角,单击图标,选择区域或项目。
  3. (可选) 如果您已开通企业项目,在左侧导航栏上方单击“按企业项目筛选”下拉框,选择您所在的企业项目。完成后,页面将为您展示该企业项目下的相关数据。
  4. 在左侧导航栏,单击“网站设置”
  5. “网站设置”页面,单击目标网站域名。
  6. “熔断保护”所在行,单击,开启熔断保护。

    图1 熔断保护

  7. 根据业务需要,在各参数所在行,单击,配置“宕机保护”“连接保护”参数值,并单击“确定”保存设置,参数说明如表2所示。

    表2 参数说明

    参数

    参数说明

    示例

    宕机保护

    502/504数量阈值

    每30s累加的502/504数量阈值

    1,000

    502/504数量占比(%)

    总请求数量中502/504数量占比达到所设定值,并且与数量阈值同时满足时触发宕机保护。

    90

    初次保护时间(秒)

    初次触发宕机的保护时间,即WAF将停止转发用户请求的时间。

    180

    连续触发叠加系数

    连续触发时,保护时间延长最大倍数,叠加周期为3600s。

    例如,“初次保护时间”设置为180s,“连续触发叠加系数”设置为3。
    • 当触发次数为2(即小于3)时,保护时间为360s。
    • 当次数大于等于3时,保护时间为540s。
    • 当累计保护时间超过1小时(3600s),叠加次数会从头计数。

    3

    连接保护

    读等待URL请求数量阈值

    读等待URL请求数量到达设定值即触发连接保护

    6,000

    保护时间(秒)

    达到数量阈值所触发的保护时间,即WAF将停止转发用户请求的时间。

    60

    配置建议
    • 禁止阈值设置过低:数量阈值、占比阈值过低,正常流量波动也会误熔断,造成业务不可访问。
    • 禁止叠加系数过大:建议控制在1.5~2之间,系数过大会导致故障恢复后仍长时间封禁流量。
    • 初次保护时长不宜过长:常规业务控制在10~20s,过长影响用户重试访问。
    • 双阈值必须搭配设置:只看数量不看占比、或只看占比不看数量,极易出现误判或不触发。
    图1中设置的值为例,实现效果说明如下:
    • “宕机保护”:当防护网站的502/504错误返回量达到1,000条以上且占网站的所有访问请求量的90%及以上时,第一次触发时,WAF将停止转发用户请求180s(即阻止用户访问网站180s);连续第二次触发时,WAF将停止转发用户请求360s;连续第三次及以上触发时,WAF将停止转发用户请求540s。当累计保护时间超过1小时(3,600s),叠加次数会从头计数。
    • “连接保护”:访问网站的读等待URL请求数量达到6,000以上时,WAF将停止转发用户请求60s,且将返回网站的维护页面。

相关文档