非阿里雲內的伺服器能否使用Web Application Firewall?

Web Application Firewall支援雲外機房使用者接入。Web Application Firewall可以保護任何公網路由可達的伺服器,不論是在阿里雲、或是其他的雲、IDC機房等環境,都可以使用Web Application Firewall服務。
说明 在大陸地區接入的網域名稱必須按照工信部要求進行ICP備案。

Web Application Firewall支援雲虛擬機器主機嗎?

Web Application Firewall的所有版本都支援獨享虛擬機器主機,直接開通Web Application Firewall進行配置即可。

對於共用虛擬機器主機,由於使用的是共用IP,來源站點是多個使用者在使用,不建議單獨配置Web Application Firewall。

Web Application Firewall如何防護CC攻擊?

Web Application Firewall提供不同的CC安全防護模式:正常和攻擊緊急。您可以根據實際情況進行選擇。具體請參考選擇CC防護模式

如果您希望同時有好的防護效果和低誤殺率,建議您選擇Web Application Firewall企業版和旗艦版,自訂或讓安全專家為您定製針對性的防護演算法。配置方法請參考自訂CC防護

Web Application Firewall是否支援HTTPS的業務防護?

Web Application Firewall的所有版本都支援HTTPS業務,並且支援泛網域名稱接入。

只需根據提示將SSL認證及私密金鑰上傳,Web Application Firewall即可防護HTTPS業務流量。配置HTTPS業務接入後,Web Application Firewall會解密訪問請求,檢查請求包,再重新加密,並轉寄回給來源站點。

Web Application Firewall是否支援自訂連接埠?

Web Application Firewall企業版及旗艦版支援自訂非標準連接埠(企業版最多支援10個非標準連接埠;旗艦版最多支援50個非標準連接埠)。
说明 不是任意連接埠都支援自訂,非標準連接埠必須在支援範圍內,詳情請參考非標連接埠支援

Web Application FirewallQPS限制規格是針對整個Web Application Firewall執行個體匯總的QPS,還是配置的單個網域名稱的QPS上限?

Web應用防護牆QPS限制規格是針對整個Web Application Firewall執行個體。例如,您的Web Application Firewall配置防護了三個網域名稱,則這三個網域名稱累加的QPS不能超過規定上限。如果超過已購買的Web Application Firewall執行個體的QPS限制,將觸發限速,可能導致隨機丟包。

Web Application Firewall哪些版本支援SMS防刷?

Web Application Firewall所有版本都支援SMS防刷。關於Web Application Firewall各版本功能,請查看Web Application Firewall各版本功能介紹

Web Application Firewall中的來源站點IP可以填寫ECS內網IP嗎?

Web Application Firewall中是通過公網進行回源的,不支援直接填寫內網IP。

Web Application Firewall能和CDN或高防IP一起接入嗎?

Web Application Firewall完全相容CDN和高防IP服務。同時接入WAF、CDN和高防IP的最佳部署架構如下:用戶端 > Anti-DDoS Pro > CDN > Web Application Firewall > 負載平衡 > 來源站點

Web Application Firewall與高防IP或CDN一起接入時,只要將Web Application Firewall提供的CNAME配置為高防IP或CDN的來源站點即可。這樣,即可實現流量在經過高防IP或CDN之後,被轉寄至Web Application Firewall,再通過Web Application Firewall最終轉寄至來源站點,從而對來源站點進行全面的安全防護。

具體配置方法,請查看 Web Application Firewall(中間,實現應用程式層防護)> 來源站點。">高防IP結合WAF Web Application Firewall(中間,實現應用程式層防護)> 來源站點。">CDN結合WAF

Web Application Firewall能夠保護在一個網域名稱下的多個來源站點IP嗎?

支援,一個Web Application Firewall網域名稱防護最多支援20個回源IP。

Web Application Firewall配置多個來源站點時如何負載?

如果您配置了多個回源IP,Web Application Firewall會自動採用輪詢的方式對訪問請求進行負載平衡。

Web Application Firewall是否支援健全狀態檢查?

Web Application Firewall預設啟用健全狀態檢查。Web Application Firewall會對所有來源站點IP進行接入狀態檢測,如果某個來源站點IP沒有響應,Web Application Firewall會將訪問請求轉寄至其它來源站點IP。
说明 來源站點IP無法響應時,Web Application Firewall將為該來源站點IP自動化佈建一個靜默時間。靜默時間結束後,新的訪問請求可能仍然會被轉寄至該來源站點IP。關於WAF的健全狀態檢查工作原理,參考SLB服務的健全狀態檢查原理

Web Application Firewall是否支援會話保持?

Web Application Firewall支援會話保持,預設不開啟。如果您需要使用,請通過工單聯絡支援人員團隊申請開啟。

修改Web Application Firewall的來源站點IP是否有延遲?

修改Web Application Firewall已防護的來源站點IP後,大約一分鐘之內即可生效。

在Web Application Firewall管理主控台中,更改配置後大約需要多少時間生效?

一般情況下,更改後的配置在一分鐘內即可生效。

Web Application Firewall的回源IP段是多少?

您可以登入雲盾Web Application Firewall控制台 中,在管理 > 網站配置頁面查看詳細的Web Application Firewall回源IP段。詳情請參考如何查看Web Application Firewall回源IP段

Web Application Firewall是否會自動將WAF的回源IP段加入安全性群組?

Web Application Firewall不會自動將高防回源IP段添加到安全性群組。如果您的來源站點部署了其它防火牆或主機安全防護軟體,建議您將WAF回源IP段添加至相應的白名單中。

您可以參考來源站點保護,對您的來源站點進行安全防護配置。

Web Application Firewall回源是否需要允許存取所有用戶端IP?

根據您的業務情況,您可以只允許存取WAF回源IP段,也可以允許存取所有用戶端IP。

對於Web業務,建議您只允許存取WAF回源IP,實現來源站點保護

Web Application Firewall管理主控台中能查看CC攻擊的攻擊者IP嗎?

Web Application Firewall旗艦版支援在業務分析頁面的全量日誌檢索中查看CC攻擊的攻擊者IP資訊。

如何查詢Web Application Firewall使用的頻寬流量?

您可以在Web Application Firewall控制台的總覽頁面查看已使用的頻寬流量情況。

Web Application Firewall的精準存取控制中IP欄位是否支援填寫網段?

Web Application Firewall支援在精準存取控制規則的IP欄位中輸入IP網段。

惡意IP懲罰功能關閉後,被封鎖的IP需要多少時間才能恢複正常訪問?

惡意IP懲罰功能關閉後,被封鎖IP將在自封鎖時刻起六分鐘之後釋放。

Web Application FirewallIP的DDoS攻擊相關說明?

  • Web Application Firewall給每個使用者提供獨立的IP,該IP同樣適用DDoS防護的黑洞策略,和ECS、SLB伺服器一致。
  • Web Application Firewall的黑洞閾值和當前地區ECS的預設閾值相同。

DDoS攻擊可以通過購買Anti-DDoS Pro服務進行防護。

Web Application Firewall是否支援HTTPS雙向認證?

Web Application Firewall暫時不支援HTTPS雙向認證。

Web Application Firewall是否支援Websocket、HTTP 2.0或SPDY協議?

Web Application Firewall已支援WebSocket協議,但目前暫不支援HTTP 2.0及SPDY協議。

Web Application Firewall支援的SSL協議有哪些?

支援的SSL協議
  • TLSv1
  • TLSv1.1
  • TLSv1.2
SSL_ciphers 套件範例
"ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"

Web Application Firewall是否支援跨帳號使用CDN+高防+WAF架構?

支援,您可以跨帳號使用CDN、高防、WAF產品組合成抵禦DDoS和Web攻擊的安全架構。

匹配條件中的URL匹配欄位包含雙斜杠“//”的精準存取控制規則為何不生效?

由於WAF的規則引擎在處理URL匹配欄位時會進行標準化處理,預設將連續的斜杠“/”進行壓縮,因此無法正確匹配包含雙斜杠“//”URL的精準存取控制規則。

如果您需要對指定包含雙斜杠“//”的URL進行存取控制,您可以直接設定該URL對應的單斜杠路徑作為匹配條件。例如,你需要將//api/sms/request作為URL匹配欄位的條件值,您只需在匹配內容中填寫/api/sms/request,WAF即可針對包含該URI的請求進行存取控制。