如何为Web应用防火墙续费？_Web应用防火墙 WAF_常见问题_计费、到期续费与退订重购_华为云

(1)

常见问题

文档版本 98

发布日期 2022-02-25

(2)

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明

和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意

您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

(3)

1 ^{高频常见问题}

购买 WAF/续费/退订重购

● Web应用防火墙可以跨区域使用吗？

● Web应用防火墙支持防护哪些区域？

● 同一帐号可以购买多个Web应用防火墙吗？

● Web应用防火墙支持自定义授权策略吗？

● 检测版、标准版（原专业版）、专业版（原企业版）、铂金版（原旗舰版）、独

享版和ELB模式的特性差异？

● 域名扩展包说明

● 带宽扩展包说明

● Web应用防火墙服务到期后还能防护域名吗？

● 如何为Web应用防火墙续费？

● 退订后重购WAF，原配置数据可以保存吗？

变更规格

● 如何降低Web应用防火墙的版本和规格？

● 若流量超过Web应用防火墙的业务带宽，该如何处理？

● 续费时如何变更Web应用防火墙的规格？

网站接入配置

● 域名/IP接入WAF前需要准备哪些数据？

● Web应用防火墙支持哪些非标准端口？

● 域名/IP如何接入Web应用防火墙？

● 如何配置对外协议与源站协议？

● 添加域名时提示“非法的源站地址”，如何处理？

● 域名/IP接入状态显示“未接入”，如何处理？

● 域名接入WAF后，为什么无法开启防护模式？

● 业务使用了IPv6，WAF中的源站地址如何配置？

(10)

业务中断处理

● 使用WAF后如何处理网站的文件不能上传？

● 如何排查404/502/504错误？

● 连接超时时长是多少，是否可以手动设置该时长？

● 如何处理523错误码问题？

● 如何解决重定向次数过多？

● 如何放行回源IP段？

防护规则

● 哪些情况会造成WAF配置的防护规则不生效？

● 开启JS脚本反爬虫后，为什么客户端请求获取页面失败？

● CC规则里“限速频率”和“放行频率”的区别？

● 配置“人机验证”CC防护规则后，验证码不能刷新，验证一直不通过，如何处

理？

防护日志

● Web应用防火墙的防护日志可以存储多久？

● Web应用防火墙的日志可以转储到OBS吗？

WAF 与其他云服务同时部署

● CDN+WAF如何配置？

● DDoS高防+WAF如何配置？

常见问题 1 高频常见问题

(11)

2 ^产品咨询

2.1 功能说明类

2.1.1 Web 应用防火墙是否能防护 IP？

WAF可以对IP进行防护。

云模式

WAF不能防护IP，只能基于域名进行防护。

在WAF中配置的源站IP只支持公网IP，不支持私网IP或者内网IP。

若您需要减少公网IP的数量，可以购买ELB（Elastic Load Balance，简称ELB）或搭建负载均衡，代理后端私网IP，并将EIP（公网IP）设置为WAF的回源地址。

独享模式/ELB 模式

WAF可以对IP或域名进行防护。

在WAF中配置的源站IP支持私网IP或者内网IP。

有关域名/IP接入WAF的流程说明，请参见域名/IP如何接入Web应用防火墙？。

2.1.2 Web 应用防火墙是否支持防护非华为云和云下服务器？

WAF云模式可以跨云使用，支持防护非华为云和云下服务器，但是该服务器必须已连接互联网。

WAF云模式是基于域名进行防护的，只要有域名就能防护，不区分云上云下服务器，

也不受Region、Project和账户的影响。

2.1.3 Web 应用防火墙支持对哪些对象进行防护？

WAF支持对域名或IP进行防护，相关说明如下：

● 云模式只能基于域名进行防护

(12)

在WAF中配置的源站IP只支持公网IP。例如，源站服务器部署了华为云弹性负载均衡（Elastic Load Balance，简称ELB）时，只要ELB（经典型、共享型或独享型）有公网IP，云模式就可以对域名进行防护。

● 独享模式和ELB模式可以对域名或IP进行防护

2.1.4 Web 应用防火墙支持哪些操作系统？

Web应用防火墙部署在云端，即与操作系统没有关系。故Web应用防火墙支持任意操作系统，任意操作系统上的域名服务器都可以接入WAF做防护。

2.1.5 Web 应用防火墙提供的是几层防护？

Web应用防火墙提供的是七层（物理层、数据链路层、网络层、传输层、会话层、表示层和应用层）防护。

2.1.6 Web 应用防火墙是否支持健康检查？

WAF云模式目前暂不支持健康检查的功能，如果您希望服务器有健康性检查的功能，

建议您将弹性负载均衡（ELB）和WAF搭配使用，ELB的相关置请参见添加或移除后端服务器（增强型）。ELB配置完成后，再将ELB的EIP作为服务器的IP地址，接入WAF，

实现健康检查。

WAF独享模式支持健康检查的功能。

2.1.7 Web 应用防火墙是否支持文件缓存？

WAF只缓存配置了网页防篡改的静态网页，用于将缓存的未被篡改的网页返回给Web 访问者，以达到防篡改的目的。

如果您需要缓存所有的网站内容，可以选择部署CDN，WAF部署在CDN和源站之间，

具体的配置方式请参见同时部署CDN和WAF的配置指导。

2.1.8 Web 应用防火墙支持漏洞检测吗？

WAF的Web基础防护功能可以对第三方漏洞攻击等威胁进行检测和拦截。在配置Web 基础防护规则时，如果您开启了扫描器，WAF将对扫描器爬虫，如OpenVAS、Nmap 等进行检测。

有关配置Web基础防护规则的详细操作，请参见配置Web基础防护规则。

2.1.9 Web 应用防火墙是否支持 SSL 双向认证？

不支持。您可以在WAF上配置单向的SSL证书。

说明

添加防护网站时，如果“对外协议”使用了HTTPS协议，您需要上传证书使证书绑定到防护网站。

建议您使用ELB+独享WAF的模式，在ELB上配置双向认证，具体的操作如下：

1. 购买WAF独享模式。

2. 将网站接入WAF并配置负载均衡（ELB），具体请参见网站接入流程（独享模式）。

常见问题 2 产品咨询

(13)

3. 在ELB上配置双向认证，具体请参见HTTPS双向认证。

2.1.10 Web 应用防火墙支持基于应用层协议和内容的访问控制吗？

WAF支持应用层协议和内容的访问控制，应用层协议支持HTTP和HTTPS。

2.1.11 Web 应用防火墙是否可以对用户添加的 Post 的 body 进行检查吗？

WAF的内置检测会检查Post数据，webshell是Post提交的文件。Post类型提交的表单、json等数据，都会被WAF的默认策略检查。

您可以通过配置精准访问防护规则，对添加的Post的body进行检查。有关配置精准访问防护规则的详细操作，请参见配置精准访问防护规则。

2.1.12 Web 应用防火墙可以限制域名访问速度吗？

不支持。WAF支持通过自定义CC防护规则，限制单个IP/Cookie/Referer访问者对防护网站上特定路径（URL）的访问频率，精准识别CC攻击以及有效缓解CC攻击。

有关CC防护规则的详细介绍，请参见配置CC攻击防护规则。

2.1.13 Web 应用防火墙可以拦截 multipart/form-data 格式的数据包吗？

WAF支持拦截multipart/form-data格式的数据包。您可以提交工单申请配置拦截 multipart/form-data格式的数据包。

Multipart/form-data是浏览器使用表单上传文件的方式。例如，在写邮件时，如果邮件添加了附件，附件通常使用multipart/form-data格式上传到服务器。

2.1.14 Web 应用防护墙可以部署在 VPC 内网吗？

可以。独享版WAF的独享引擎实例部署在VPC内。

2.1.15 Web 应用防火墙支持拦截包含特殊字符的 URL 请求吗？

WAF不支持将拦截请求URL中含有特殊字符作为拦截条件，即URL请求中有特殊字符，WAF不会拦截。WAF可以对来源IP进行检测和限制。

2.1.16 Web 应用防火墙可以防止垃圾注册和恶意注册吗？

WAF不能防止垃圾注册和恶意注册等业务层面攻击行为。建议您在网站配置注册验证机制，以防止垃圾注册和恶意注册。

WAF通过对HTTP(S)请求进行检测，可以识别并阻断Web服务的网络攻击（SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等）。

2.1.17 Web 应用防火墙可以拦截 Web 页面调用其他接口的请求数据吗？

当Web页面调用其他接口的请求数据在WAF防护域名内时，该请求数据将经过WAF，

WAF会检测并阻断该请求数据。

(14)

如果Web页面调用其他接口的请求数据不在WAF防护域名内，则该请求数据不经过 WAF，WAF不会拦截该请求数据。

2.1.18 Web 应用防火墙可以配置会话 Cookie 吗？

WAF不支持配置会话Cookie。

WAF可以通过配置CC攻击防护规则，限制单个Cookie字段特定路径（URL）的访问频率，精准识别CC攻击以及有效缓解CC攻击。例如，您可以通过配置CC攻击规则，使 Cookie标识为name的用户在60秒内访问域名的“/admin*”页面超过10次时，封禁该用户访问域名600秒。

有关配置CC攻击防护规则的详细操作，请参见配置CC攻击防护规则。

什么是 Cookie

Cookie是网站为了辨别用户身份，进行Session跟踪而储存在用户本地终端上的数据

（通常经过加密），Cookie由Web服务器发送到浏览器，可以用来记录用户个人信息。

Cookie由一个名称（Name）、一个值（Value）和其它几个用于控制Cookie有效期、

安全性、使用范围的可选属性组成。Cookie分为会话Cookie和持久性Cookie两种类型，详细说明如下：

● 会话Cookie

临时的Cookie，不包含到期日期，存储在内存中。当浏览器关闭时，Cookie将被删除。

● 持久性Cookie

包含到期日期，存储在磁盘中，当到达指定的到期日期时，Cookie将从磁盘中被删除。

2.1.19 Web 应用防火墙与漏洞扫描服务有哪些区别？

Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。

漏洞扫描服务（Vulnerability Scan Service，简称VSS）是针对服务器或网站进行漏洞扫描的一种安全检测服务，目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。用户新建任务后，即可人工触发扫描任务，检测出网站的漏洞并给出漏洞修复建议。

两个服务最大的区别在于WAF可以记录并拦截攻击事件，以达到保护Web服务安全稳定的目的。而VSS是漏洞检测服务，仅提供漏洞扫描并给出漏洞修复建议，有关VSS详细的介绍，请参见漏洞扫描服务。

2.1.20 Web 应用防火墙支持自定义 POST 拦截吗？

WAF不支持自定义POST拦截。针对HTTP/HTTPS原始请求，WAF引擎内置防护规则的检测流程如图2-1所示。

(15)

图2-1 WAF 引擎检测图

有关WAF防护流程的详细介绍，请参见配置引导。

2.1.21 Web 应用防火墙支持跨域禁止访问功能吗？

WAF不支持配置跨域禁止访问功能。有关WAF功能的详细介绍，请参见功能特性。

2.1.22 Web 应用防火墙可以设置域名限制访问吗？

WAF不能直接通过域名限制访问。WAF支持配置黑白名单规则（即设置IP黑/白名单），阻断、仅记录或放行指定IP或IP段的访问请求。

(16)

您可以通过配置黑白名单规则，阻断、仅记录或放行域名对应的IP或IP段的访问请求。

2.1.23 Web 应用防火墙有 IPS 入侵防御系统模块吗？

Web应用防火墙没有传统防火墙的IPS模块，WAF支持对HTTP/HTTPS协议的入侵检测。

2.1.24 Web 应用防火墙是否支持 IPv4 和 IPv6 共存？

WAF支持IPv4和IPv6共存，针对同一域名可以同时提供IPv6和IPv4的流量防护。

● Web应用防火墙支持IPv6/IPv4双栈，针对同一域名可以同时提供IPv6和IPv4的流量防护。

● 针对仍然使用IPv4协议栈的Web业务，Web应用防火墙支持NAT64机制（NAT64 是一种通过网络地址转换（NAT）形式促成IPv6与IPv4主机间通信的IPv6转换机制），即WAF可以将IPv4源站转化成IPv6网站，将外部IPv6访问流量转化成对内的IPv4流量。

须知

仅专业版（原企业版）和铂金版（原旗舰版）支持IPv6防护，且当前仅“华东”和

“华北”区域支持IPv4/IPv6双栈和NAT64。

2.1.25 WAF 和 HSS 的网页防篡改有什么区别？

HSS网页防篡改版是专业的锁定文件不被修改，实时监控网站目录，并可以通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，是政府、院校及企业等组织必备的安全服务。

WAF网页防篡改为用户提供应用层的防护，对网站的静态网页进行缓存，当用户访问网站时返回给用户缓存的正常页面，并随机检测网页是否被篡改。

网页防篡改的区别

HSS与WAF网页防篡改的区别，如表2-1所示。

表2-1 HSS 和 WAF 网页防篡改的区别

类别 HSS WAF

静态网

页锁定驱动级文件目录、Web文件目录下的文件，禁止攻击者修改。

缓存服务端静态网页

动态网

页 ● 动态数据防篡改

提供tomcat应用运行时自我保护，能够检测针对数据库等动态数据的篡改行为。

● 特权进程管理

配置特权进程白名单后，网页防篡改功能将主动放行可信任的进程，确保正常业务进程的运行。

不支持

(17)

类别 HSS WAF 备份恢

复 ● 主动备份恢复

若检测到防护目录下的文件被篡改时，将立即使用本地主机备份文件自动恢复被非法篡改的文件。

● 远端备份恢复

若本地主机上的文件目录和备份目录失效，可通过远端备份服务恢复被篡改的网页。

不支持

防护对象

网站防护要求高，手动恢复篡改能力差网站防护要求低，

仅需要对应用层进行防护

如何选择网页防篡改

防护对象选择网页防篡改

普通网站 WAF网页防篡改+HSS企业版网站防护+高要求网页

防篡改 WAF网页防篡改+HSS网页防篡改

2.1.26 Web 应用防火墙支持哪些 Web 服务框架/协议？

Web应用防火墙部署在云端，与Web服务框架没有关系。

WAF通过对HTTP/HTTPS请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。

WAF支持防护的协议类型说明如下：

● WebSocket/WebSockets协议，且默认为开启状态

– “对外协议”选择“HTTP”时，默认支持WebSocket – “对外协议”选择“HTTPS”时，默认支持WebSockets

● HTTP/HTTPS协议

(18)

须知

您可以提交工单申请开通HTTP/2，目前WAF以下区域支持HTTP/2（HTTP 2.0版本）：

● 华北-北京一

● 华北-北京四

● 华东-上海一

● 华东-上海二

● 华南-广州

● 华南-深圳

● 中国-香港

● 亚太-曼谷

2.1.27 WAF 可以防护使用 HSTS 策略/NTLM 代理认证访问的网站吗？

可以。WAF支持防护HTTP/HTTPS协议业务。

● 网站选择使用HSTS（HTTP Strict Transport Security，HTTP严格传输安全协议）

策略后，会强制要求客户端（如浏览器）使用HTTPS协议与网站进行通信，以减少会话劫持风险。配置HSTS策略的网站使用的是HTTPS协议，WAF可以防护。

● NTLM（New Technology LAN Manager，Windows NT LAN管理器）代理是 Windows平台下HTTP代理的一种认证方式，其认证方式与Windows远程登录的认证方式是一样的，客户端（如浏览器）和代理之前需要三次握手才开始传递信息。

对于客户端（如浏览器）和代理之前使用NTLM认证的业务，WAF可以防护。

WAF支持云模式、独享模式和ELB模式三种部署模式，各部署模式支持防护的对象说明如下：

● 云模式：域名，华为云、非华为云或云下的Web业务

● 独享模式/ELB模式：域名或IP，华为云上的Web业务

有关云模式、独享模式和ELB模式的应用场景和差异的详细说明，请参见服务版本差异。

2.1.28 WAF 支持弹性伸缩功能吗？

WAF暂不支持弹性伸缩功能。

WAF支持云模式、独享模式和ELB模式三种部署模式，各模式的特性说明请参见服务版本差异，请根据您的业务需求和资源，选择WAF模式。

2.1.29 WAF 转发和 Nginx 转发有什么区别？

WAF转发和Nginx转发的主要区别为Nginx是直接转发访问请求到源站服务器，而WAF 会先检测并过滤恶意流量，再将过滤后的访问请求转发到源站服务器，详细说明如下：

(19)

● WAF转发

网站接入WAF后，所有访问请求将先经过WAF，WAF通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击流量后，将正常流量返回给源站，从而确保Web应用安全、稳定、可用。

图2-2 网站接入 WAF 防护原理

● Nginx转发

即反向代理（Reverse Proxy）方式转发。反向代理服务器接受客户端访问请求后，直接将访问请求转发给Web服务器，并将从Web服务器上获取的结果返回给客户端。反向代理服务器安装在网站机房，代理Web服务器接收访问请求，并对访问请求进行转发。

反向代理可以防止外网对内网服务器的恶性攻击，缓存以减少内网服务器压力，

还可以实现访问安全控制和负载均衡。

图2-3 Nginx 转发原理

2.1.30 WAF 会缓存网站数据吗？

WAF的网页防篡改功能，可以为用户提供应用层的防护，只对网站的静态网页进行缓存，当用户访问网站时返回给用户缓存的正常页面，并随机检测网页是否被篡改。

WAF不会缓存网站数据。如果您需要缓存网站内容，可以使用CDN，或者同时部署 WAF和CDN。

有关同时部署CDN和WAF的详细介绍，请参见“CDN+WAF”联动提升网站防护能力和访问速度。

2.1.31 Web 应用防火墙是硬防火墙还是软防火墙？

华为云Web应用防火墙是软防火墙。当您购买华为云WAF后，只需要将域名接入 WAF，就可以使用WAF防护功能。

(20)

有关域名接入WAF的详细操作，请参见添加防护域名。

2.1.32 Web 应用防火墙和云防火墙有什么区别？

云防火墙（Cloud Firewall，CFW）是新一代的云原生防火墙，提供云上互联网边界和 VPC边界的防护，包括实时入侵检测与防御，全局统一访问控制，全流量分析可视化，日志审计与溯源分析等，同时支持按需弹性扩容，云防火墙服务是为用户业务上云提供网络安全防护的基础服务。

有关CFW的详细介绍，请参见什么是云防火墙。

WAF和CFW的主要区别说明如表2-2所示。

表2-2 WAF 和 CFW 的主要区别说明

类别 Web应用防火墙 云防火墙

防护机制网站成功接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，网站所有访问请求将先流转到WAF，WAF检测过滤恶意攻击流量后，将正常流量返回给源站，从而确保源站安全、稳定、可用。

云原生SaaS服务，可以对公网资产、内部资产自动安全盘点

防护对象 WAF支持云模式、独享模式和ELB 模式三种部署模式，各部署模式支持防护的对象说明如下：

● 独享模式/ELB模式：域名或 IP，华为云上的Web业务

互联网边界和VPC边界防护

功能特性 SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护

● 对已开放公网访问的服务资产进行安全盘点，

进行实时入侵检测与防御

● 基于域名的访问控制，

可对主动外联行为进行精准管控

● VPC间流量全局统一访问控制，全流量分析可视化，日志审计与溯源分析

2.2 使用说明类

(21)

2.2.1 接入 WAF 后为什么漏洞扫描工具扫描出未开通的非标准端口？

问题现象

域名接入WAF通过第三方漏洞扫描工具扫描后，扫描结果显示了域名的标准端口（例如443）和非标准端口（例如8000、8443等）。

可能原因

由于WAF的非标准端口引擎是所有用户间共享的，即通过第三方漏洞扫描工具可以检测到所有已在WAF中使用的非标准端口。域名的端口检测，应以源站IP开通的端口为准，即引擎的端口检测并不影响源站的使用安全，且WAF保证客户解析CNAME返回的引擎IP的安全性。

处理建议

无需处理。

2.2.2 多 Project 下使用 Web 应用防火墙的限制条件？

各Project是相互独立的，创建的策略、证书都不可互用。

● 策略不可互用，例如，主Project创建的policy A，则子Project创建的规则都不能属于policy A，只能单独创建策略。

● 证书不可互用，主Project和子Project创建的证书无法相互推送，则只能使用各自 Project创建的证书。

2.2.3 使用 Web 应用防火墙对邮件收发和邮件端口有影响吗？

WAF是对Web应用网页进行防护，当您的网站接入WAF后，对邮件收发和邮件端口不会产生影响。

2.2.4 如何获取访问者真实 IP？

网站接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实 IP被隐藏起来，Web访问者只能看到WAF的IP地址。

通常情况下，网站访问并不是简单地从用户的浏览器直达服务器，中间可能部署有 CDN、WAF、高防。例如，采用这样的架构：“用户 > CDN/WAF/高防 > 源站服务器” 。那么，在经过多层代理之后，服务器如何获取发起请求的真实客户端IP呢？

一个透明的代理服务器在把用户的HTTP请求转到下一环节的服务器时，会在HTTP的头部中加入一条“X-Forwarded-For”记录，用来记录用户的真实IP，其形式为“X- Forwarded-For：访问者的真实IP，代理服务器1-IP，代理服务器2-IP，代理服务器3- IP，……”。

因此，访问者的真实IP可以通过获取“X-Forwarded-For”对应的第一个IP来得到。

可参考最佳实践获取访问者真实IP。

(22)

2.2.5 Web 应用防火墙如何拦截请求内容？

WAF对请求的首部和body体都会进行检测。例如body的表单、xml、json等数据都会被WAF检测，WAF通过检测对不符合防护规则的请求内容进行拦截。

有关WAF防护流程的详细介绍，请参见配置引导。

2.2.6 Web 应用防火墙切换为 Bypass 模式后会放行流量吗？

WAF云模式下，防护的“工作模式”切换为“Bypass”后，该域名的请求直接到达其后端服务器，不再经过WAF。

只有出现以下情况，才能将“工作模式”切换为“Bypass”：

● 当有测试等特殊场景，需要将业务恢复到没有接入WAF的状态，可以通过Bypass 功能切换。

● 排查网站异常，例如报502、504或其他不兼容等问题。

● 在Web应用防火墙前面未使用代理。

Bypass 模式生效时间

当您将“工作模式”切换为“Bypass”后，等待约3～5分钟后，Bypass模式生效。

切换为 Bypass 模式

步骤1 登录管理控制台。

步骤2 进入网站设置页面入口，如图2-4所示。

图2-4 网站设置入口

步骤3 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。

步骤4 在目标网站所在行的“工作模式”列，单击“切换”。在目标域名所在行的“工作模式”列，单击“切换”。

步骤5 在弹出的“切换工作模式”对话框中，选择目标工作模式，单击“确定”。

----结束

2.2.7 在安全组中配置 WAF 白名单，需要开放所有端口吗？

可以开放所有端口。为了降低网络安全风险，建议只开放80和443端口。

(23)

2.2.8 如何获取 Web 应用防火墙销售许可证？

华为云Web应用防火墙提供了销售许可证。

2.2.9 已使用华为云 APIG 还需要购买 WAF 吗？

华为云API网关（API Gateway，APIG）是对API提供者和API调用者提供API托管的服务，APIG可以快速将企业服务能力包装成标准API服务，帮助企业轻松构建、管理和部署不同规模的API。APIG不会针对域名进行防护，在满足API安全使用的前提下，APIG 可以对绑定的域名提供IP黑白名单控制、防重放攻击、认证鉴权防护功能。

华为云Web应用防火墙（Web Application Firewall，WAF）是对域名提供Web安全防护的服务。域名接入WAF后，WAF可以对网站业务流量进行多维度检测和防护，识别并阻断SQL注入、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，全方位保护Web服务安全稳定。

如果您需要为APIG中绑定的域名提供全方位的防护功能，您可以购买WAF，并将域名接入WAF，以轻松应对各种Web安全风险。

● 有关WAF功能的详细介绍，请参见功能特性。

● 有关购买WAF的详细操作，请参见购买Web应用防火墙。

● 有关使用WAF的详细操作，请参见入门教程。

2.2.10 本地文件包含和远程文件包含是指什么？

您可以在WAF的防护事件中查看文件包含等安全事件，快速定位攻击源或对攻击事件进行分析。

文件包含是指程序开发人员一般会把重复使用的函数写到单个文件中，需要使用某个函数时直接调用此文件，而无需再次编写，这种文件调用的过程一般被称为文件包含。文件包含分为本地文件包含和远程文件包含，说明如下：

● 当被包含的文件在服务器本地时，称为本地文件包含。

● 当被包含的文件在第三方服务器时，称为远程文件包含。

文件包含漏洞是指通过函数包含文件时，由于没有对包含的文件名进行有效的过滤处理，被攻击者利用从而导致了包含了Web根目录以外的文件进来，导致文件信息的泄露甚至注入了恶意代码。

有关查看防护日志的详细操作，请参见查看防护日志。

2.2.11 QPS 和请求次数有什么区别？

QPS（Queries Per Second）即每秒钟的请求量，例如一个HTTP GET请求就是一个 Query。请求次数是间隔时间内请求的总量。

QPS是单个进程每秒请求服务器的成功次数。

说明

QPS = 请求数/秒（req/sec ）

“安全总览”页面中QPS的计算方式说明如表2-3所示。

(24)

表2-3 QPS 取值说明

时间段取值说明

“昨天”、“今天” 间隔两分钟，取两分钟的平均值

“3天” 间隔5分钟，取5分钟内的平均值

“7天” 间隔10分钟，取每5分钟内平均值的最大值

“30天” 间隔1小时，取每5分钟内平均值的最大值

WAF各版本支持的QPS指标说明，请参见服务版本差异。

2.2.12 什么是并发数？

并发数指系统能够同时处理请求的数目。对于网站而言，并发数即网站并发用户数，

指同时提交请求的用户数目。

WAF对QPS和业务带宽有限制，各版本支持的QPS和业务带宽说明，请参见服务版本差异。

2.2.13 什么是防护 IP？

防护IP是指需要保护的网站的IP地址。

2.2.14 接入 Web 应用防火墙的域名需要备案吗？

使用WAF前，请确保域名已在工信部备案，未备案域名将无法正常使用WAF。域名备案详细操作请参见备案流程。

须知

WAF云模式支持域名检查功能，添加防护域名时，如果防护域名未经过ICP备案，防护域名将无法添加。

2.2.15 如果证书挂载在 ELB 上，WAF 可以根据请求内容进行拦截吗？

如果证书挂载在ELB上，通过WAF的请求都是加密的。对于HTTPS的业务，您必须将证书上传到WAF上，WAF才能根据解密之后的请求判断是否进行拦截。

2.2.16 Web 应用防火墙支持自定义授权策略吗？

WAF支持自定义授权策略，通过IAM，您可以：

● 根据企业的业务组织，在您的华为云帐号中，给企业中不同职能部门的员工创建 IAM用户，让员工拥有唯一安全凭证，并使用WAF资源。

● 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。

● 将WAF资源委托给更专业、高效的其他华为云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。

(25)

有关创建WAF权限策略的详细介绍，请参见创建用户组并授权使用WAF。

2.2.17 接入 WAF 对现有业务和服务器运行有影响吗？

接入WAF不需要中断现有业务，不会影响源站服务器的运行状态，即不需要对源站服务站进行任何操作（例如关机或重启）。

须知

以云模式部署方式接入WAF时，您需要修改DNS解析使流量经过WAF进行转发。修改 DNS解析可能会影响网站访问业务，建议您在业务量少时进行修改。有关网站接入 WAF的详细操作，请参见域名接入配置。

有关云模式、独享模式和ELB模式的应用场景和差异的详细说明，请参见服务版本差异。

2.2.18 仅放行通过 WAF 的访问请求，如何配置？

您可以在源站服务器上配置只放行WAF回源IP的访问控制策略，即仅允许通过WAF的请求访问到源站，防止黑客获取源站IP后绕过WAF直接攻击源站，以确保源站安全、

稳定、可用。

放行WAF回源IP的访问控制策略操作说明如下：

● 云模式：请参见如何放行回源IP段？。

● 独享模式：请参见放行独享引擎回源IP。

● ELB模式：请参见放行ELB模式回源IP。

2.2.19 为什么 Cookie 中有 HWWAFSESID 或 HWWAFSESTIME 字段？

防护域名/IP接入WAF后，WAF会在客户请求Cookie中插入HWWAFSESID，

HWWAFSESTIME等字段，这些字段服务于WAF统计和安全特性，不影响用户业务。

2.2.20 云模式、独享模式和 ELB 模式可以互相切换吗？

不能直接切换。添加防护域名/IP时，您需要根据业务实际情况，选择部署模式：云模式、独享模式或ELB模式。防护域名添加到WAF后，部署模式不能切换。

如果您需要更换防护域名/IP的部署模式，请确保业务已部署到对应模式。删除防护域名/IP后，再以对应的部署方式重新添加该防护域名/IP，完成部署模式切换。例如，

“www.example.com”防护域名以云模式添加到WAF，如果您希望

“www.example.com”切换到独享模式，请先确保当前业务支持独享模式部署方式，

购买独享模式后，您需要先删除“www.example.com”防护域名，然后再重新以独享模式方式重新添加“www.example.com”防护域名。

(26)

须知

2.2.21 同一防护域名/IP 可以添加到不同的帐号进行防护吗？

当防护域名以云模式添加到WAF时，不能再重复添加该防护域名进行防护。因此，同一防护域名不能添加到不同的帐号进行防护。

当防护域名/IP以独享模式或ELB模式添加到WAF时，可以添加到不同的帐号进行防护。

须知

同一个域名/IP对应不同端口视为不同的防护对象，例如www.example.com:8080和 www.example.com:8081为两个不同的防护对象，且占用两个防护配额。如果您需要防护同一域名/IP的多个端口，您需要将该域名/IP和端口逐一添加到WAF。

2.2.22 网站部署了反向代理服务器，如何配置 WAF？

如果网站部署了反向代理服务器，网站接入WAF后不会影响反向代理服务器。接入 WAF后，WAF作为一个反向代理部署在客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。

防护域名/IP接入WAF的操作流程请参见域名/IP如何接入Web应用防火墙？。

2.2.23 泛域名和单域名都接入 WAF，WAF 如何转发访问请求？

单域名和泛域名都接入WAF后，WAF优先将防护网站的访问请求转发到单域名，如果不能识别单域名，访问请求将转发到泛域名。

例如，单域名a.example.com和泛域名*.example.com接入WAF，访问请求将优先通过单域名a.example.com进行转发。

泛域名配置说明如下：

● 如果各子域名对应的服务器IP地址相同：输入防护的泛域名。例如：子域名 a.example.com，b.example.com和c.example.com对应的服务器IP地址相同，可以直接添加泛域名*.example.com。

● 如果各子域名对应的服务器IP地址不相同：请将子域名按“单域名”方式逐条添加。

(27)

2.2.24 源站开启 gzip 对 WAF 有影响吗？

如果源站开启gzip，WAF可能误拦截源站正常访问请求。如果确认拦截的为正常访问请求，您可以参照处理误报事件将该事件处理为误报事件。处理后，WAF将不再拦截该事件，即“防护事件”页面中将不再显示该攻击事件，您也不会收到该攻击事件的告警通知。

2.2.25 使用 WAF 是否影响内网向外发送数据？

使用WAF不会影响内网机器向外发送数据。网站成功接入WAF后，WAF对网站的 HTTP(S)请求进行检测，网站所有访问请求将先流转到WAF，WAF检测过滤恶意攻击流量后，将正常流量返回给源站，从而确保源站安全、稳定、可用。

2.3 区域与可用区

2.3.1 什么是区域和可用区？

什么是区域、可用区？

我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。

● 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的 Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用 Region。

● 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，

有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。

一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。

图2-5阐明了区域和可用区之间的关系。

图2-5 区域和可用区

目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。

(28)

如何选择区域？

选择区域时，您需要考虑以下几个因素：

● 地理位置

一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。不过，在基础设施、BGP网络品质、资源的操作与配置等方面，中国大陆各个区域间区别不大，如果您或者您的目标用户在中国大陆，可以不用考虑不同区域造成的网络时延问题。

– 在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。

– 在非洲地区有业务的用户，可以选择“南非-约翰内斯堡”区域。

– 在欧洲地区有业务的用户，可以选择“欧洲-巴黎”区域。

● 资源的价格

不同区域的资源价格可能有差异，请参见华为云服务价格详情。

如何选择可用区？

是否将资源放在同一可用区内，主要取决于您对容灾能力和网络时延的要求。

● 如果您的应用需要较高的容灾能力，建议您将资源部署在同一区域的不同可用区内。

● 如果您的应用要求实例之间的网络延时较低，则建议您将资源创建在同一可用区内。

区域和终端节点

当您通过API使用资源时，您必须指定其区域终端节点。有关华为云的区域和终端节点的更多信息，请参阅地区和终端节点。

2.3.2 Web 应用防火墙可以跨区域使用吗？

原则上，在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高 WAF的转发效率，建议您在购买WAF时，根据防护业务的所在区域就近选择购买的 WAF区域。

例如，如果买一个WAF能同时覆盖不同地域的业务（如北京和上海），但是若购买北京region的WAF，对于客户在上海的业务，可能转发时长相比于北京的业务会更长。

为了提高转发效率，建议您购买2个WAF（北京region的WAF和上海region的WAF），

分别防护北京和上海的业务。

2.3.3 Web 应用防火墙支持防护哪些区域？

Web应用防火墙支持防护所有区域。

可以购买 WAF 的区域

WAF云模式、独享模式和ELB模式支持购买的区域说明如下：

(29)

须知

购买WAF后，区域不能修改。如果您需要修改购买WAF的区域，您可以退订后重新购买。

表2-4 各部署模式支持购买的区域

模式支持购买的区域

云模式 ● 华北-北京一

● 华北-乌兰察布一

● 华南-广州

● 华南-深圳

● 西南-贵阳一

● 中国-香港

● 亚太-曼谷

● 亚太-新加坡

● 拉美-圣保罗一

● 拉美-圣地亚哥

● 拉美-墨西哥城一

● 拉美-墨西哥城二

● 非洲-约翰内斯堡独享模式 ● 华北-北京一

● 华南-广州

● 华南-深圳

● 中国-香港

● 亚太-曼谷

● 亚太-新加坡 ELB模式 ● 华北-北京四

● 亚太-新加坡

(30)

原则上，在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高 WAF的转发效率，建议您在购买WAF时，根据防护业务的所在区域就近选择购买的 WAF区域。

购买 WAF 时如何选择区域

例如，如果买一个WAF能同时覆盖不同地域的业务（如北京和上海），但是若购买北京region的WAF，对于客户在上海的业务，可能转发时长相比于北京的业务会更长。

为了提高转发效率，建议您购买2个WAF（北京region的WAF和上海region的WAF），

分别防护北京和上海的业务。

2.4 IPv6 配置

2.4.1 哪些版本/Region 支持 IPv6 防护？

WAF支持IPv6防护，详细说明如下：

● 云模式的专业版（原企业版）和铂金版（原旗舰版）支持IPv6的防护。

当前仅“华东”和“华北”区域支持IPv4/6双栈和NAT64。

● 独享模式/ELB模式没有公网IP，公网IP绑定在ELB的弹性公网IP上，如果独享模式/ELB模式所在的ELB支持IPv6，那么独享模式/ELB模式也支持IPv6。

须知

● 针对仍然使用IPv4协议栈的Web业务，Web应用防火墙支持NAT64机制（NAT64是一种通过网络地址转换（NAT）形式促成IPv6与IPv4主机间通信的IPv6转换机制），即WAF可以将IPv4源站转化成IPv6网站，将外部IPv6访问流量转化成对内的 IPv4流量。

2.4.2 如何测试在 WAF 中配置的源站 IP 是 IPv6 地址？

执行此操作前，请确认已在WAF中添加了域名并完成了域名接入。

须知

假如已在WAF中添加域名www.example.com。通过以下方法可以测试配置的源站IP是否是IPv6地址：

步骤1 在Windows中打开cmd命令行工具。

步骤2 执行dig AAAA www.example.com命令。

若返回的结果里有IPv6格式的IP地址，如图2-6所示，则证明配置的源站IP是IPv6地址。

(31)

图2-6 测试结果

----结束

2.4.3 业务使用了 IPv6，WAF 中的源站地址如何配置？

如果域名已接入了WAF（源站地址配置为IPv4地址）进行防护，当业务开启了IPv6 时，WAF中配置的源站地址可以保持原IPv4地址，也可以修改为IPv6地址。

WAF支持IPv6/IPv4双栈模式和NAT64机制，详细说明如下：

须知

有关修改源站地址的详细操作，请参见修改服务器信息。

2.4.4 WAF 如何解析/访问 IPv6 源站？

当防护网站的源站地址配置为IPv6地址时，WAF直接通过IPv6地址访问源站。WAF默认在CNAME中增加IPv6地址解析，IPv6的所有访问请求将先流转到WAF，WAF检测并过滤恶意攻击流量后，将正常流量返回给源站，从而确保源站安全、稳定、可用。

WAF支持IPv6/IPv4双栈模式和NAT64机制，详细说明如下：

(32)

须知

2.5 企业项目

2.5.1 WAF 可以跨企业项目使用吗？

不支持。购买或升级WAF时如果您选择了某一个企业项目，则其他企业项目不能使用该企业项目的WAF。您可以在“企业项目管理”页面将购买的WAF迁入目标企业项目，使目标企业项目可以使用购买或升级的WAF。

2.5.2 购买或升级 WAF 时选择了企业项目，其他企业项目可以使用该企业项目的 WAF 吗？

开通企业管理功能后，WAF可以按企业项目分配管理。购买或升级WAF时如果您选中了某一个企业项目，则其他企业项目不能使用该企业项目的WAF。

您可以在“企业项目管理”页面将购买的WAF迁入目标企业项目，使目标企业项目可以使用购买的WAF。

(33)

3 ^{购买 WAF}

3.1 同一帐号可以购买多个 Web 应用防火墙吗？

购买云模式时，同一帐号在同一个大区域（例如华东区域）只能选择一个服务版本。

购买云模式后，您可以升级云模式版本和规格。

同一帐号可以同时购买云模式、独享模式和ELB模式。其中，独享模式和ELB模式实例可以购买多个。

3.2 主帐号与子帐号的权限有哪些区别？

WAF子帐号和主帐号是资源隔离的。

主帐号可以查看子帐号添加的域名，但子帐号不能查看主帐号添加的域名。

关于WAF帐号权限的详细介绍，请参见WAF权限管理。

3.3 Web 应用防火墙是否支持多个帐号共享使用？

WAF不支持多个帐号共享使用，每个帐号需要单独购买WAF进行部署。但是支持多个 IAM用户共享使用。

多个 IAM 用户共享使用

例如，您通过注册华为云创建了1个帐号（“domain1”），且由“domain1”帐号在 IAM中创建了2个IAM用户（“sub-user1a”和“sub-user1b”），如果您授权了

“sub-user1b”用户WAF的权限策略，则“sub-user1b”用户可以使用“sub- user1a”用户的WAF。

有关WAF权限管理的详细操作，请参见创建用户组并授权使用WAF。

(34)

3.4 检测版、标准版（原专业版）、专业版（原企业版）、铂金版（原旗舰版）、独享版和 ELB 模式的特性差异？

Web应用防火墙提供了云模式：检测版、标准版（原专业版）、专业版（原企业版）、铂金版（原旗舰版），独享模式（独享版）和ELB模式六种服务版本。

各服务版本的特性说明，请参见服务版本差异。

3.5 Web 应用防火墙可以购买基础版吗？

WAF现在支持云模式：检测版、标准版（原专业版）、专业版（原企业版）、铂金版

（原旗舰版）、独享模式（独享版）和ELB模式六种服务版本。如果您之前购买了基础版，请升级到云模式现在的任一版本或购买独享版。

有关升级服务版本的详细操作，请参见升级服务版本。

3.6 WAF 是如何计算域名个数的？

WAF支持的防护域名个数计算方式说明如下：

● 域名个数为一级域名（例如，example.com）、单域名/二级域名等子域名（例如，www.example.com）和泛域名（例如，*.example.com）的总数。例如，标准版（原专业版）支持防护10个域名，则标准版（原专业版）可以添加10个单域名或泛域名，也可以添加1个一级域名和9个与其相关的子域名或泛域名。

● 同一个域名对应不同端口视为不同的域名，例如www.example.com:8080和 www.example.com:8081视为两个不同的域名，将占用两个不同的域名防护额度。

有关WAF各版本支持防护的域名个数的详细说明，请参见服务版本差异。

3.7 为什么无法购买独享模式和 ELB 模式了？

独享模式或ELB模式需要提交工单申请开通购买。否则，您将无法购买独享模式或ELB 模式实例。

常见问题 3 购买 WAF

(35)

4 ^{业务带宽/规格}

4.1 变更规格类

4.1.1 如何降低 Web 应用防火墙的版本和规格？

WAF云模式提供了检测版、标准版（原专业版）、专业版（原企业版）和铂金版（原旗舰版）四种服务版本。如果您需要降低当前的WAF规格，您可以先退订当前的 WAF，再重新购买较低版本的WAF。

说明

扩展包与WAF版本绑定，不能单独续费或退订。

● 有关WAF各版本规格的详细说明，请参见服务版本差异。

● 有关退订的详细操作，请参见如何退订Web应用防火墙？。

● 有关退订重购后，原配置数据的相关说明，请参见退订后重购WAF，原配置数据可以保存吗？。

4.1.2 防护规则条数不够用时，如何处理？

Web应用防火墙提供了检测版、标准版（原专业版）、专业版（原企业版）、铂金版

（原旗舰版）、独享版和ELB模式六种服务版本。各服务版本针对各种规则的配置条数请参见服务版本差异。如果您所购买的云模式版本支持的规则条数不能满足您业务的需要，您可以升级服务版本，具体的操作请参见升级云模式版本和规格。

须知

如果您购买了标准版（原专业版）、专业版（原企业版）或铂金版（原旗舰版），当前版本的IP黑白名单防护规则数不能满足要求时，您可以通过购买规则扩展包增加IP黑白名单防护规则数，以满足的防护配置需求。

一个规则扩展包包含10条IP黑白名单防护规则。有关购买扩展包的详细操作，请参见如何购买域名扩展包/带宽扩展包/规则扩展包？。

(36)

4.1.3 若流量超过 Web 应用防火墙的业务带宽，该如何处理？

如果您的正常业务流量超过您已购买的WAF版本的业务带宽限制，您在WAF中配置的全部业务的流量转发将可能受到影响。

超出业务带宽限制后，可能出现限流、随机丢包等现象，导致您的正常业务在一定时间内不可用、卡顿、延迟等。

说明

超出业务带宽限制后，WAF不会发告警通知，当QPS超过版本支持的峰值且受到攻击时，WAF 会发送告警通知。有关告警通知的详细介绍，请参见开启告警通知。

如果出现这种情况，您需要升级WAF版本或者扩展业务带宽，避免正常业务流量超出业务带宽限制所产生的影响。

有关升级版本的详细介绍，请参见升级服务版本。

4.1.4 QPS 超过当前 WAF 版本支持的峰值时有什么影响？

对超出当前WAF版本支持峰值的QPS，WAF将不再防护，QPS将直接透传，不会影响业务。

WAF各版本支持的QPS规格说明如表4-1所示。

表4-1 WAF 支持的 QPS 规格说明

服务版本正常业务请求峰值 CC攻击防护峰值

检测版 100QPS -

标准版（原专业版） 2,000QPS 100,000QPS 专业版（原企业版） 5,000QPS 300,000QPS 铂金版（原旗舰版） 10,000QPS 1,000,000QPS 独享版/ELB模式 10,000QPS 500,000QPS

有关WAF各版本规格的详细介绍，请参见服务版本差异。

4.1.5 续费时如何变更 Web 应用防火墙的规格？

您只能为当前的WAF云模式进行续费，续费时不能直接变更WAF的规格。即WAF会按照当前WAF的版本、购买的域名/带宽/规则扩展包的数量进行续费。

如果您需要在续费时变更WAF的规格，请您根据以下说明先升级或降低WAF规格：

● 升级WAF规格

– 从较低版本升级到任一更高版本

– 增加域名扩展包、带宽扩展包或规则扩展包的数量

有关升级WAF规格的详细操作，请参见升级云模式版本和规格。

● 降低WAF规格

常见问题 4 业务带宽/规格

(37)

– 从较高版本降低到任一更低版本

– 减少域名扩展包、带宽扩展包或规则扩展包的数量您需要先退订当前的WAF，再重新购买WAF。

须知

如果重购的WAF与原WAF不在同一区域，原WAF配置数据将不能保存。当您重新购买WAF后，您需要将防护域名重新接入WAF，并根据防护需求为域名配置相应的防护规则，详细说明请参见退订后重购WAF，原配置数据可以保存吗？。

4.1.6 Web 应用防火墙最多可以添加多少条规则？

根据不同的版本不同的配置规则，可添加的规则条数不同。具体的版本规格说明请参见服务版本差异。

4.1.7 如何购买域名扩展包/带宽扩展包/规则扩展包？

购买或升级WAF云模式的标准版（原专业版）、专业版（原企业版）和铂金版（原旗舰版）时，您可以选择购买域名扩展包、带宽扩展包或规则扩展包。

有关域名扩展包、带宽扩展包或规则扩展包的详细介绍，请参见域名扩展包说明、带宽扩展包说明和规则扩展包说明。

须知

检测版不支持购买扩展包。

购买云模式时同时购买扩展包

步骤1 登录管理控制台。

步骤2 单击管理控制台左上角的，选择区域或项目。

步骤3 单击页面左上方的，选择“安全与合规 > Web应用防火墙 WAF”。

步骤4 首次购买WAF时，在界面左侧，单击“立即购买WAF”。

说明

再次购买WAF时，请在界面右上角，单击“购买WAF/升级规格 ”。

步骤5 在“购买Web应用防火墙”界面，选择“云模式”。

步骤6 在“购买Web应用防火墙”界面，选择“区域”和服务版本。

步骤7 选择标准版（原专业版）、专业版（原企业版）和铂金版（原旗舰版）时，可以选择

“域名扩展包”、“带宽扩展包”和“规则扩展包”的数量，如图4-1所示。

如何为Web应用防火墙续费？_Web应用防火墙 WAF_常见问题_计费、到期续费与退订重购_华为云

常见问题

目 录

1 高频常见问题... 1

2 产品咨询...3

3 购买 WAF...25

4 业务带宽/规格... 27

5 计费、到期续费与退订重购...34

6 网站接入配置...38

7 业务中断排查...81

8 防护规则配置...106

9 防护日志... 127

10 WAF 与其他华为云服务同时部署... 130

A 修订记录... 132

1 高频常见问题

购买 WAF/续费/退订重购

变更规格

网站接入配置

业务中断处理

防护规则

防护日志

WAF 与其他云服务同时部署

2 产品咨询

2.1 功能说明类

2.1.1 Web 应用防火墙是否能防护 IP？

云模式

独享模式/ELB 模式

2.1.2 Web 应用防火墙是否支持防护非华为云和云下服务器？

2.1.3 Web 应用防火墙支持对哪些对象进行防护？

2.1.4 Web 应用防火墙支持哪些操作系统？

2.1.5 Web 应用防火墙提供的是几层防护？

2.1.6 Web 应用防火墙是否支持健康检查？

2.1.7 Web 应用防火墙是否支持文件缓存？

2.1.8 Web 应用防火墙支持漏洞检测吗？

2.1.9 Web 应用防火墙是否支持 SSL 双向认证？

2.1.10 Web 应用防火墙支持基于应用层协议和内容的访问控制吗？

2.1.11 Web 应用防火墙是否可以对用户添加的 Post 的 body 进行检 查吗？

2.1.12 Web 应用防火墙可以限制域名访问速度吗？

2.1.13 Web 应用防火墙可以拦截 multipart/form-data 格式的数据 包吗？

2.1.14 Web 应用防护墙可以部署在 VPC 内网吗？

2.1.15 Web 应用防火墙支持拦截包含特殊字符的 URL 请求吗？

2.1.16 Web 应用防火墙可以防止垃圾注册和恶意注册吗？

2.1.17 Web 应用防火墙可以拦截 Web 页面调用其他接口的请求数 据吗？

2.1.18 Web 应用防火墙可以配置会话 Cookie 吗？

什么是 Cookie

2.1.19 Web 应用防火墙与漏洞扫描服务有哪些区别？

2.1.20 Web 应用防火墙支持自定义 POST 拦截吗？

2.1.21 Web 应用防火墙支持跨域禁止访问功能吗？

2.1.22 Web 应用防火墙可以设置域名限制访问吗？

2.1.23 Web 应用防火墙有 IPS 入侵防御系统模块吗？

2.1.24 Web 应用防火墙是否支持 IPv4 和 IPv6 共存？

2.1.25 WAF 和 HSS 的网页防篡改有什么区别？

网页防篡改的区别

如何选择网页防篡改

2.1.26 Web 应用防火墙支持哪些 Web 服务框架/协议？

2.1.27 WAF 可以防护使用 HSTS 策略/NTLM 代理认证访问的网站 吗？

2.1.28 WAF 支持弹性伸缩功能吗？

2.1.29 WAF 转发和 Nginx 转发有什么区别？

2.1.30 WAF 会缓存网站数据吗？

2.1.31 Web 应用防火墙是硬防火墙还是软防火墙？

2.1.32 Web 应用防火墙和云防火墙有什么区别？

2.2 使用说明类

2.2.1 接入 WAF 后为什么漏洞扫描工具扫描出未开通的非标准端 口？

问题现象

可能原因

处理建议

2.2.2 多 Project 下使用 Web 应用防火墙的限制条件？

2.2.3 使用 Web 应用防火墙对邮件收发和邮件端口有影响吗？

2.2.4 如何获取访问者真实 IP？

2.2.5 Web 应用防火墙如何拦截请求内容？

2.2.6 Web 应用防火墙切换为 Bypass 模式后会放行流量吗 ？

Bypass 模式生效时间

切换为 Bypass 模式

2.2.7 在安全组中配置 WAF 白名单，需要开放所有端口吗？

2.2.8 如何获取 Web 应用防火墙销售许可证？

2.2.9 已使用华为云 APIG 还需要购买 WAF 吗？

2.2.10 本地文件包含和远程文件包含是指什么？

2.2.11 QPS 和请求次数有什么区别？

2.2.12 什么是并发数？

2.2.13 什么是防护 IP？

目录

1 ^{高频常见问题}

2 ^产品咨询

2.1.11 Web 应用防火墙是否可以对用户添加的 Post 的 body 进行检查吗？

2.1.13 Web 应用防火墙可以拦截 multipart/form-data 格式的数据包吗？

2.1.17 Web 应用防火墙可以拦截 Web 页面调用其他接口的请求数据吗？

2.1.27 WAF 可以防护使用 HSTS 策略/NTLM 代理认证访问的网站吗？

2.2.1 接入 WAF 后为什么漏洞扫描工具扫描出未开通的非标准端口？

2.2.6 Web 应用防火墙切换为 Bypass 模式后会放行流量吗？

2.2.15 如果证书挂载在 ELB 上，WAF 可以根据请求内容进行拦截吗？

2.2.19 为什么 Cookie 中有 HWWAFSESID 或 HWWAFSESTIME 字段？

2.5.2 购买或升级 WAF 时选择了企业项目，其他企业项目可以使用该企业项目的 WAF 吗？

3 ^{购买 WAF}

3.4 检测版、标准版（原专业版）、专业版（原企业版）、铂金版（原旗舰版）、独享版和 ELB 模式的特性差异？

4 ^{业务带宽/规格}