更新时间:2026-07-09 GMT+08:00
分享

进阶配置概述

WAF针对网站接入后的业务安全、访问性能、运维管理等核心需求,围绕传输安全、协议支持、攻防防护、流量管理、运维监控五大维度展开,提供了一站式的配置能力体系。

网站接入WAF后,可在“网站设置”页面,单击网站域名后,在网站详情页面,快速配置。

支持的功能

详细功能说明如表1所示。

表1 WAF进阶配置

功能

支持功能

HTTPS安全合规加固

  • 配置PCI DSS/3DS合规与TLS:构建“合规准入+加密传输+欺诈拦截” 三重防护体系,达成业务安全与合规的双重目标。
  • 开启HTTP2协议:用于HTTP2协议访问,适用于客户端到WAF之间。
  • 开启Cookie安全属性:自动为源站返回的Cookie追加HttpOnly和Secure属性(均设为true),防范XSS(跨站脚本攻击)窃取Cookie、Cookie劫持、中间人篡改Cookie等安全风险,同时满足安全合规要求,避免被Appscan、AWVS、绿盟等Web安全扫描器记录为安全威胁。

真实客户端IP透传

回源链路与性能优化

  • 配置WAF到网站服务器的连接超时时间:为各关键环节设置 “时间阈值”,如果请求或响应时间超过阈值,WAF即终止流程并返回对应错误码,避免异常或攻击请求长期占用资源。
  • 开启熔断保护功能保护源站安全:避免因频繁遇到502 Bad Gateway、504 Gateway Timeout错误或请求处理延迟,造成网站瘫痪。
  • 开启链路追踪:可根据访问日志信息,追踪完整的请求链路,获取请求的来源、经过的节点、响应时间等信息,帮助您快速定位和解决业务问题。

网络扩展与高可用配置

  • 开启IPv6防护:可解决IPv6网络环境下的Web攻击、恶意流量入侵等问题,同时实现IPv6与IPv4源站的无缝通信,保障网站IPv6业务的合规性与安全性。
  • 线路设置:配置防护域名流量经过的线路。
  • 修改负载均衡算法:针对HTTP/HTTPS请求的特征(如源IP、Session标识)进行流量分配。
  • 修改拦截返回页面:根据不同业务需要,配置访问者请求被拦截时,WAF返回的提示页面。
  • 开启不插入Cookie字段的能力:WAF将不会在响应Cookie中插入HWWAFSESTIMEHWWAFSESID
  • 修改人机验证状态码:实现WAF防护动作与业务系统的兼容性适配,避免因状态码不匹配导致的业务流程中断/前端解析异常。
  • 配置JA3/JA4指纹标记:支持将JA3/JA4指纹标记添加到Header字段中再传递给WAF,用于配置TLS指纹(JA3)和TLS指纹(JA4)条件的防护。

运维监控效率提升

  • 配置日志记录响应体字节长度:截取满足响应体字节长度的响应体数据并写入日志。
  • 配置自定义记录日志Trace ID:提取并记录自定义请求头或响应头字段到WAF日志的custom_traceid字段中,通过统一Trace ID串联前端、WAF、网关、后端服务全链路,解决WAF日志与业务日志脱节的痛点,实现WAF日志与业务日志的联动关联,大幅提升日志追踪、问题排障与安全溯源的效率。

限制说明

由于网站接入WAF的方式不同,可使用的功能配置也不相同。

表2 进阶配置限制说明

功能

云模式-CNAME接入

云模式-ELB接入

独享模式接入

配置PCI DSS/3DS合规与TLS

支持

不支持。可在ELB控制台配置TLS安全策略实现加密通信

支持

开启HTTP2协议

专业版企业版支持

不支持。ELB接入为旁路检测架构,WAF仅做旁路检测,无法还原会话,无法和客户端协商HTTP2。因此,不支持该功能。

支持

2023年05月及之后版本的独享引擎,全局开启HTTP2协议,无需手动设置。

配置日志记录响应体字节长度

提交工单申请开通

配置请求头和响应头字段转发

支持

不支持。ELB接入为旁路检测架构,真实报文全程在ELB与源站之间传输,WAF只有只读镜像副本,无权限修改原始流量,无法插入、 删除头部。

支持

修改拦截返回页面

支持

支持自定义页面模板,不支持重定向页面模板。

支持

开启不插入Cookie字段的能力

支持

支持

支持

开启IPv6防护

专业版企业版支持

云模式-ELB接入、独享模式是否支持IPv6防护,依赖独享模式、云模式-ELB接入所在的ELB。如果该ELB支持IPv6,则独享模式、云模式-ELB接入也支持IPv6。

修改负载均衡算法

支持

不支持。ELB接入源站调度主体是ELB,WAF不参与回源转发,内置的源站负载均衡模块无法生效。该场景下,需通过ELB自身负载均衡功能实现多源站分配。

支持

开启Cookie安全属性

支持

不支持。Cookie写入在响应报文内,ELB接入下,WAF不能改写源站返回的原始响应包,无法追加Cookie安全标识。

支持

修改人机验证状态码

提交工单申请开通

配置自定义记录日志Trace ID

提交工单申请开通

不支持。Trace ID需要WAF主动向请求头注入唯一标识。ELB接入为旁路模式,无报文修改能力,无法注入追踪ID。

提交工单申请开通

配置攻击惩罚的流量标识

支持

支持

支持

配置JA3/JA4指纹标记

不支持

不支持。ELB接入源站调度主体是ELB,WAF不参与回源转发,内置的源站负载均衡模块无法生效。该场景下,需通过ELB自身负载均衡功能实现多源站分配。

支持

配置WAF到网站服务器的连接超时时间

标准版专业版企业版支持

不支持。ELB接入时, 超时时间由ELB监听器和源站控制,WAF不持有客户端TCP连接,无法独立设置、管控连接超时阈值。

支持

开启熔断保护功能保护源站安全

默认支持不支持手动关闭、修改

不支持。ELB接入为旁路模式,WAF无法阻断主链路流量、不能下发自定义响应,无法实现熔断逻辑。

支持手动开启、关闭、修改

开启链路追踪

支持

不支持。ELB接入模式链路无法做Trace透传,所以不支持该功能。

支持

线路设置

企业版支持,提交工单申请开通

不支持

不支持

相关文档