华为云用户手册

操作步骤 选择目标应用，单击图标，单击“编辑”，进入“部署步骤”页面。 添加部署步骤： 单击已添加部署步骤上方或者下方的，页面右侧显示可添加的所有部署步骤，可在当前部署步骤前后添加新的部署步骤。 修改部署步骤详情： 单击目标部署步骤，在界面右侧修改部署步骤详情信息。 复制/删除/禁用部署步骤： 单击图标，单击“复制”，复制该部署步骤到当前应用下。 单击图标，单击“删除”，从当前应用中删除该部署步骤。 单击图标，单击“禁用”，在当前应用中禁用该部署步骤。 调整部署步骤执行顺序： 通过拖拉拽的方式，任意调整部署步骤的执行顺序。 修改完所有信息，单击“保存”，保存该应用。

操作步骤 选择目标应用，单击图标，单击“编辑”，进入“部署步骤”页面。 单击“环境管理”，切换到“环境管理”页面。 新建环境。 单击“新建环境”，填写以下信息后，单击“保存”，完成环境的创建。 参数项 是否必填 说明 环境名称 是 请输入自定义的环境名称。 资源类型 是 根据您即将部署的环境，可选择“主机”或“Kubernetes”（即将上线）。 操作系统 是 根据即将添加主机的操作系统，可选择“Linux”或“Windows”。 描述 否 请输入对环境的描述。 单击“导入主机”，系统已自动筛选符合当前环境的所有集群，在弹框中选择目标主机集群，可通过以下方式将主机导入环境中。 单独导入：单击某个主机操作列的图标，即可将该主机导入环境中。 批量导入：选中多个主机，单击“导入”，即可将主机批量导入环境中 当选择已绑定代理主机的目标主机进行导入时，该目标主机绑定的代理主机会一同被导入环境中。 （可选）主机导入成功后，可单击页面图标，进行连通性验证。 编辑环境。 对环境进行编辑。 对主机集群进行编辑。 编辑环境：单击某个环境操作列的图标，即可修改环境名称以及描述等信息。 删除环境：单击某个环境操作列的图标，在弹框中单击“确认”，即可完成删除环境操作。 权限管理：单击某个环境操作列的图标，为各角色配置相应操作权限，请根据实际情况开启或关闭权限。 主机集群默认权限说明 角色/权限 查看 编辑 删除 部署 权限管理 环境创建者 有权限且不可修改 有权限且不可修改 有权限且不可修改 有权限且不可修改 有权限且不可修改 项目创建者 有权限且不可修改 有权限且不可修改 有权限且不可修改 有权限且不可修改 有权限且不可修改 项目经理 有权限 有权限 有权限 有权限 有权限 产品经理 有权限 无权限 无权限 无权限 无权限 测试经理 有权限 无权限 无权限 无权限 无权限 运维经理 有权限 有权限 有权限 有权限 有权限 系统工程师 有权限 有权限 有权限 有权限 无权限 Committer 有权限 有权限 有权限 有权限 无权限 开发人员 有权限 有权限 有权限 有权限 无权限 测试人员 有权限 无权限 无权限 无权限 无权限 参与者 有权限 无权限 无权限 无权限 无权限 浏览者 有权限 无权限 无权限 无权限 无权限 对环境下的主机进行编辑。 批量主机连通性验证：选中多个主机，单击页面图标，可进行批量连通性验证。 启动连通性验证：单击某个主机操作列的图标，即可启动该主机进行连通性验证操作。 删除主机：单击某个主机操作列的图标，单击“删除”，在弹框中单击“确认”，即可完成删除主机操作。 代理主机不支持删除操作，当代理主机所代理的最后一台目标主机从环境中删除时，该代理主机会同步被删除。 修改完所有信息，单击“保存”，保存该应用。

操作步骤 选择目标应用，单击图标，单击“编辑”，进入“部署步骤”页面。 单击“权限管理”，切换到“权限管理”页面。 根据使用场景为各角色配置相应操作权限，请根据实际情况进行设置。 表示权限已开启，去勾选可关闭权限。 表示权限已关闭，勾选可开启权限。 表示权限已开启，且不可修改。 开启“使用项目权限配置”后，该页面的权限信息都不可修改。 应用创建者、项目管理员的权限不能修改。 如果当前用户没有“修改”权限则不能进入编辑页面。 如果当前用户有“修改”权限，但没有“权限管理”权限则无法编辑其他权限。 项目管理员（项目创建者和项目经理）支持自定义角色功能，可对自定义角色的权限进行编辑。 修改完所有信息，单击“保存”，保存该应用。

应用权限矩阵 目前应用的权限矩阵如下表所示。 应用默认权限说明 角色/动作 默认权限 创建 查看 修改 删除 执行 复制 禁用 新建环境 权限管理 应用创建者 - 有权限且不可修改 有权限且不可修改 有权限且不可修改 有权限且不可修改 有权限且不可修改 有权限且不可修改 有权限且不可修改 有权限且不可修改 项目管理员 有权限且不可修改 有权限且不可修改 有权限且不可修改 有权限且不可修改 有权限且不可修改 有权限且不可修改 有权限且不可修改 有权限且不可修改 有权限且不可修改 项目经理 有权限 有权限 有权限 有权限 有权限 有权限 有权限 有权限 有权限 产品经理 有权限 有权限 无权限 无权限 无权限 无权限 无权限 无权限 无权限 测试经理 无权限 有权限 无权限 无权限 无权限 无权限 无权限 无权限 无权限 运维经理 无权限 有权限 无权限 无权限 无权限 无权限 无权限 有权限 无权限 系统工程师 有权限 有权限 有权限 有权限 有权限 有权限 有权限 无权限 无权限 Committer 有权限 有权限 有权限 有权限 有权限 有权限 无权限 无权限 无权限 开发人员 有权限 有权限 有权限 有权限 有权限 有权限 无权限 无权限 无权限 测试人员 无权限 有权限 无权限 无权限 无权限 无权限 无权限 无权限 无权限 参与者 无权限 有权限 无权限 无权限 无权限 无权限 无权限 无权限 无权限 浏览者 无权限 有权限 无权限 无权限 无权限 无权限 无权限 无权限 无权限 拥有“权限管理”权限的角色可以修改权限矩阵，但“项目管理员”和“应用创建者”的权限不能修改。 项目下只有“项目创建者”、“项目经理”、“开发人员”三种角色成员有创建应用的权限。

参数配置 介绍应用中自定义参数的创建和配置。 选择目标应用，单击图标，单击“编辑”，进入“部署步骤”页面。 单击“参数设置”，切换到“参数设置”页面。 参数信息说明如下： 基本信息 说明 新建参数 单击“新建参数”，可以新增参数。 名称 参数名称。可修改自定义参数名称。 说明： 自定义参数名称不可与系统预定义参数名称相同。 类型 参数可选类型，包括：字符串类型、枚举类型和环境类型。 默认值 根据需要填写/选择参数值。 说明： 选择环境类型时，如果没有环境，需要手动新建环境。 私密参数 参数为私密参数时，系统会将输入参数做加密存储，使用时进行解密，不可设置“运行时设置”。 运行时设置 打开“运行时设置”开关，表示部署应用时支持变更参数值，并且也会把该参数上报应用。运行时参数需要执行时输入。 参数描述 对本参数的描述。 操作 单击参数所在行，可以删除该参数。 单击“新建参数”，新增一个参数，根据需要自定义参数名称、类型（默认为“字符串类型”）、默认值，设置私密参数及运行时设置等。 字符串类型 参数值为字符串，可在“默认值”列自定义参数值，设置私密参数及运行时设置等。 枚举类型 选中枚举类型后弹出“枚举”对话框，可以设置“可选取值”，如需设置多个，可单击图标添加。如需删除，可单击图标移除。 设置完成后，在“默认值”列的下拉列表选择其中一个值，如下图。 环境类型 该类型参数通过“默认值”列下拉列表选择环境，下拉列表中可选所在应用下创建的所有环境。 如果下拉列表没有可选项，需要在“环境管理”页签新建环境，新建完成后回到参数配置页面，然后单击刷新，将新的环境刷新到下拉列表中即可使用。 修改完所有信息，单击“保存”，保存该应用。

参数使用 介绍以具体示例演示如何使用自定义参数。 选择目标应用，单击图标，单击“编辑”，进入“部署步骤”页面。 单击“参数设置”，切换到“参数设置”页面，分别创建环境、枚举、字符串三种类型的自定义参数并打开“运行时设置”。 单击“部署步骤”，切换到“部署步骤”页面，在步骤详情中引用自定义参数。 单击“保存并部署”，在弹窗中可重新对参数进行赋值。 单击“确定”，保存并部署该应用。 在流水线关联应用的时候，可将参数动态绑定； 在运行流水线的时候，输入的参数值会替换到应用中并运行； 在流水线中添加一个类型为部署的任务步骤，选择已配置运行时设置参数的应用，运行流水线时可动态设置。

操作步骤 同一个应用每部署一次，增加一次版本记录，编号最新的为最近一次部署记录。您可以查看已部署的应用中的“部署日志"、“执行参数”、“访问方式”、“目标环境”等信息。 单击目标应用名称，进入该应用“部署记录”页面。 在“部署记录”即可查看该应用的历史版本，排序由上至下分别对应部署时间由近至远。 可在上图中单击选中某一个应用版本，可查看该应用版本的“部署日志”、“执行参数”、“访问方式”、“目标环境”等信息。 表1 参数说明 参数 说明 部署日志 部署日志信息。 说明： 界面默认展示应用的全量日志，单击某个步骤可查看该步骤的部署日志。 单击日志窗口右上角全屏按钮，可以最大化日志窗口；单击“退出全屏”按钮，可以退出全屏。 单击“下载全量日志”，可以将日志下载到本地。 执行参数 该应用部署时的“执行参数”中参数对应的数值。 访问方式 仅应用中“部署步骤”包含“URL健康测试”时有该参数，添加该部署步骤可以在主机上通过访问 URL 测试服务状态。 目标环境 在主机部署场景下，显示该应用部署的环境。 回退到“部署记录”页签，切换顶部的页签，您可以查看已部署的应用中最新的“基本信息"、“部署步骤”、“参数设置”、“环境管理”、“权限管理”、“通知订阅”等信息。 单击“部署”旁的图标，在下拉框中单击“操作历史”，可以查看该应用最近一年的操作记录，也可以回到应用列表，选择目标应用，单击图标，单击“操作历史”进入页面。 参数 说明 操作人 显示具体操作人员的昵称。 操作类型 显示操作人员的操作类型，分为“新建”、“修改”。 修改时间 显示操作的具体时间。 操作对象 显示操作人员操作的具体对象，分为“应用”、“部署步骤”、“参数设置”、“权限管理”、“通知订阅”。

设置响应提取 响应提取是提取接口响应结果的某一部分，命名为参数，供后续测试步骤参数化调用。响应提取需要在前序测试步骤定义，后续测试步骤使用。 在前序测试步骤中，在“响应提取”页签创建要传递的参数。响应提取来源用到内置参数，请参考内置参数了解如何使用内置参数。响应提取同时支持正则表达式的匹配，提取出与给定正则表达式匹配的返回值。 在后续测试步骤中，通过${参数名}方式引用前序测试步骤创建的响应提取。后续步骤的URL、请求头、请求体中均可以引用此参数。如果在JSON格式的请求体中引用此参数，请在参数外使用英文引号，如： { id: "用例ID" name:"${name}" } 响应提取支持根据给定的“key:value”获取字符串，详细配置可参考示例：根据给定的key:value从响应体中获取字符串。 字段 说明 出参名称 用于之后使用${出参名称}来引用此参数，名称使用字母数字下划线。 来源 被检测字段的来源，如响应体（JSON）、响应头、响应码。 属性 在属性中，支持输入$调用全局变量、局部变量、内置函数。 若来源是响应码，属性为空。详细介绍请参见响应码检查。 若来源是响应头，属性为响应头中字段的名称。详细介绍请参见响应头检查。 若来源是响应体（JSON），属性有两种填写方法： 普通提取表达式（非“$”开头），例如“item.name”。 取字段中的值，支持嵌套取值。详细介绍请参见响应体（JSON）检查。 从响应体中提取数组时，下标可以是数字，也可以是“key:value”表达式，详细介绍请参见示例：根据给定的key:value从响应体中获取字符串。 JsonPath表达式(“$.”或“$[”开头)，例如“$.store.book[0].title”。 详细介绍请参见示例：根据JsonPath从响应体中获取数据。 高级提取类型 可选项，使用高级提取类型，辅助提取响应结果信息，若选择不涉及则视为不使用额外的方式匹配。 目前有两种方式： 字符串提取，也就是字符串的截取。 正则表达式，即使用正则方式对来源字符串进行过滤。 高级提取类型优先使用字符串提取功能，若不能满足需求可考虑使用正则表达式。 赋值给环境动态参数 将响应提取后的值赋值给动态参数，用于后续测试引用该动态参数。 父主题： 接口自动化用例

测试计划的质量报告 在“测试质量看板”页面，单击左上角用例库旁边的下拉箭头，选择一个测试计划，进入测试计划质量报告页面。 测试计划的质量报告与用例库的质量报告相比，不按迭代和模块过滤，增加用例完成率的统计报告和测试计划风险描述，其它报告项同用例库的质量报告。 报告项 说明 用例完成率 完成率反映测试活动的进度，统计选中的计划下所有用例的完成率，并按用例的状态分组统计。 用例完成率=用例处于完成状态的个数/用例总数 风险 测试计划的风险。可以评定测试计划的风险等级并添加风险描述。 手工测试 手工测试用例的需求覆盖率、缺陷总数、用例通过率、用例完成率。 接口自动化 接口自动化用例的需求覆盖率、缺陷总数、用例通过率、用例完成率。 性能自动化 性能自动化用例的缺陷总数、用例通过率、用例完成率。

归档用例 将生成的用例归档后，将生成真正的用例，在测试用例页面可找到对应用例记录。 在思维导图中，选中已生成用例的节点，鼠标右键单击该节点，在下拉列表中选择“归档用例”。 在弹框中，在左侧勾选需要归档的用例，单击页面右侧的下拉列表，选择版本、需要存放的用例库/测试计划、执行方式，关联需求并选择特性目录，单击“确认”。 当节点中出现时，说明操作成功，在“测试用例”页面可搜到该用例。 单击，页面将跳转至测试用例详情页。

用例规范检查 支持对创建的接口自动化测试用例进行规范检查，根据检查结果对用例进行优化。详细的编写规范请参考测试用例编写规范。 此功能为您提供65天试用期，后续需要开通测试计划专业版套餐或CodeArts专业版以上套餐来延续您的高阶体验 完成新建接口自动化用例后，在页面下方单击“规范检查”，检查结果将显示在页面下方。 用户可以根据提示信息对用例进行优化，单击对应的规范描述可以查看详细规范信息。 用例编写完成后，单击保存。 父主题： 接口自动化用例

自定义字段配置 用户可以根据需要设置自定义字段，设置成功的字段将显示在测试用例的详情中。 在测试用例设置中，单击“新增字段”。 输入“字段名称”、“描述”。选择“字段类型”，打开或关闭“是否显示”以及“是否必填”，单击“确定”。 单行文本：只能输入一行字段，最大长度不超过100个字符。 多行文本：可以输入多行字段，最大长度500个字符。 单选列表：用户可以在字段中单选设置的信息，单击“增加选项”完成配置，最大添加10个选择。 多选列表：用户可以在字段中多选设置的信息，单击“增加选项”完成配置，最大添加10个选择。 日期时间：用户可以设置日期和时间。 日期：用户可以设置日期。 整数：用户可以在字段中输入整数，可以输入-9999999999到9999999999范围内的值。 小数：用户可以在字段中输入小数，最大支持小数点后两位。 单选用户：在下拉栏中选择用户。 多选用户：在下拉栏中可以勾选多个用户。 新建成功的字段显示在列表中，单击可以重新编辑对应的字段，单击可以删除对应的字段。

示例 请求url路径 如下图所示，请求url路径中参数“test”的值为生成当前时间戳函数。 请求头 如下图所示，请求头中参数“time”的值为生成当前时间戳函数。 请求体 如下图所示，请求体中应用了生成当前时间戳函数。 检查点属性 如下图所示，检查点属性“result”的目标值为生成当前时间戳函数。 if判断 如下图所示，if判断的目标值为生成当前时间戳函数。 for循环中断条件 如下图所示，for循环中断条件的目标值为生成当前时间戳函数。

风险评估 用户可以在风险评估界面中，配置“质量属性评估”和“风险分析”信息，也可以自定义模块输入相关报告信息。 质量属性评估 在顶部选择测试类型，单击文本框区域，输入评估信息，单击“保存”完成创建。 风险分析 用户可以根据测试进展评估风险，单击文本框区域，输入风险分析的信息，单击“保存”完成创建。 自定义信息 单击“新建自定义信息”，新增一条信息模块。 单击模块名称可以重新定义模块标题，输入相关描述，单击完成保存。单击可以将新建的模块删除。 单击“上传附件”，可以将本地文件上传至自定义模块中。 1.上传单个文件的大小不能超过10M。 2.最多只能上传15个附件。

总览 单击报告名称，默认进入测试报告的总览页面。总览页面展示了所选测试计划的相关测试数据情况。 报告项 说明 需求覆盖率 需求覆盖率反映功能点测试覆盖情况，统计所选计划关联的所有需求的测试覆盖率。需求覆盖率 = 已完成数/需求总数 总遗留DI 统计此版本所有的遗留缺陷所算出的DI值。 说明： 所有缺陷按照严重等级进行计算。 每个缺陷DI值对应类型如下：提示：0.1 一般：1 严重（重要）：3 致命（关键）：10 新增DI 统计此测试计划所关联的遗留缺陷所算出的DI值。 用例执行率 统计用例的执行情况。用例执行率 = 计划内执行有执行结果的用例数量/计划内所有用例数量。 用例自动化率 非手工测试用例占所有用例数的比例，用例自动化率=（测试计划所有的用例总数-测试计划内手工测试用例数）/测试计划所有的用例总数。 用例有效性比例 发现缺陷的测试执行用例占所有测试执行用例的百分比，用例有效性比例=发现缺陷的测试执行用例数量/测试执行用例数量。 需求通过情况 需求所关联的测试用例结果都为成功时，当前需求为已通过。需求通过率=已通过需求数/需求总数。 用例通过情况 用例通过率反映产品质量，统计选中的计划下所有用例的通过率，并按用例的结果分组统计，未执行的用例计入“未执行”分组。用例通过率=成功数/总数 缺陷严重程度 显示选中的计划下关联的缺陷数量。 自动化率 统计测试计划下非手工测试占所有用例的比例。 各测试类型的用例通过率 显示不同测试类型的用例通过率。 缺陷按照模块分布情况 按照模块显示对应的缺陷数量。

导读 如何管理好大规模测试资产，如何协同大规模测试团队，如何保证客户的价值特性不丢失、体验不下降，都是企业产品测试面临的关键挑战。 华为云CodeArts TestPlan提供了测试用例基线化管理能力，持续积累和沉淀测试用例，帮助企业实现产品价值特性的看护。同时，TestPlan提供了“产品基线库、版本分支、测试计划”三层用例管理和评估能力，支撑团队间作业的高效协同，实现亿级测试资产的管理与跨版本复用，满足复杂产品多版本并行研发交付的场景，测试资产复用率提升60%。 例如在华为内部，终端手机并行研发Mate、P等多个系列产品，都是通过TestPlan基线化的三层用例管理能力，支撑多个产品、多地域的研发团队并行开发测试。 版本：每个版本记录了某个特定软件版本的测试用例情况、用例执行情况、测试套情况，测试套执行情况、质量报告等信息。 版本和测试计划的关系：一个版本包含一个用例库和多个测试计划。 基线：基线是经过正式评审后的特殊版本，是后续测试活动的基础，基线中的用例一般比较稳定，是长期积累的测试资产。 测试用例分层管理：是指可以从“产品基线库-版本分支-测试计划”的三层用例分层结构对用例进行管理。在用例管理中，支持从版本合并用例到基线，支持从基线导入用例到版本，也支持版本间用例合并的冲突管理等，可以满足多版本并行测试和多人协同测试，解决公司测试资产积累和复用问题。 此功能为您提供65天试用期，后续需要开通测试计划专业版套餐或CodeArts专业版以上套餐来延续您的高阶体验。 本章节为您介绍如何管理版本，包括： 新建、编辑、删除版本 管理版本 度量版本 父主题： 测试管理

云模式-ELB接入排查思路和处理建议 防护网站的“部署模式”为“云模式-ELB接入”时，请参考图3和表3进行排查处理。 图3 ELB模式排查思路 表3 ELB模式接入WAF失败问题处理 可能原因 处理建议 原因一：域名/IP“接入状态”未刷新 在防护网站“接入状态”栏，单击刷新状态。 原因二：访问流量未达到WAF统计要求 须知： 防护网站接入WAF后，当WAF统计防护网站在5分钟内有20次请求时，将认定该防护网站已接入WAF。 在1分钟内多次访问防护网站。 在防护网站“接入状态”栏，单击刷新状态。 原因三：域名/IP参数配置错误 查看域名基本信息，检查域名/IP参数是否正确。 如果域名/IP配置错误，删除该域名/IP后重新添加防护网站。

Web基础防护检测项说明 Web基础防护覆盖OWASP（Open Web Application Security Project）常见安全威胁，内置语义分析+正则双引擎，可以对恶意扫描器、IP、网马等威胁进行检测并拦截。请根据业务使用场景开启相应的检测项，详细的检测项说明如表1所示。 表1 检测项说明 检测项 说明 常规检测 防护SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击。其中，SQL注入攻击主要基于语义进行检测。 说明： 开启“常规检测”后，WAF将根据内置规则对常规检测项进行检测。 Webshell检测 防护通过上传接口植入网页木马。 说明： 开启“Webshell检测”后，WAF将对通过上传接口植入的网页木马进行检测。 深度检测 防护同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸。 说明： 开启“深度检测”后，WAF将对深度反逃逸进行检测防护。 header全检测 默认关闭。关闭状态下WAF会检测常规存在注入点的header字段，包含User-Agent、Content-type、Accept-Language和Cookie。 说明： 开启“header全检测”后，WAF将对请求里header中所有字段进行攻击检测。 Shiro解密检测 默认关闭。开启后，WAF会对Cookie中的rememberMe内容做AES，Base64解密后再检测。Web应用防火墙检测机制覆盖了几百种已知泄露密钥。 说明： 如果您的网站使用的是Shiro 1.2.4及之前的版本，或者升级到了Shiro 1.2.5及以上版本但是未配置AES密钥，强烈建议您开启“Shiro解密检测”，以防攻击者利用已泄露的密钥构造攻击。

Web基础防护等级 Web基础防护支持三种防护等级：“宽松”、“中等”、“严格”，默认防护等级为“中等”。宽松的防护等级可能降低误报率，但可能导致漏报率增高；严格的防护等级可能增高误报率，但可以降低漏报率。防护等级的详细说明如表2所示。 表2 防护等级说明 防护等级 说明 宽松 防护粒度较粗，只拦截攻击特征比较明显的请求。 当误报情况较多的场景下，建议选择“宽松”模式。 中等 默认为“中等”防护模式，满足大多数场景下的Web防护需求。 严格 防护粒度最精细，可以拦截具有复杂的绕过特征的攻击请求。 当需要更严格地防护SQL注入、跨站脚本、命令注入等攻击行为时，建议使用“严格”模式。

准备工作 已将域名信息（源站服务器的IP、端口等信息）以“云模式-CNAME接入”的方式添加到WAF。 具有网站DNS域名解析管理员的账号，用于修改DNS解析记录将网站流量切换至WAF。 推荐在将网站业务接入前，完成压力测试。 检查网站业务是否已有信任的访问客户端（例如监控系统、通过内部固定IP或IP段调用的API接口、固定的程序客户端请求等）。在将业务接入后，需要将这些信任的客户端IP加入白名单。

网站业务梳理 建议您对所需接入WAF进行防护的网站业务情况进行全面梳理，帮助您了解当前业务状况和具体数据，为后续配置WAF的防护策略提供依据。 表1 网站业务梳理 梳理项 说明 网站和业务信息 网站/应用业务每天的流量峰值情况，包括Mbps、QPS 判断风险时间点，并且可作为WAF实例的业务带宽和业务QPS规格的选择依据。 说明： 如果您选择的QPS规格不足以支撑网站/应用业务每天的流量峰值，对超出当前WAF版本支持峰值的QPS，WAF将不再防护网站，QPS将直接透传到源站，影响网站/应用业务的防护。 业务的主要用户群体（例如，访问用户的主要来源地区） 判断非法攻击来源，后续可使用地理位置访问控制功能屏蔽非法来源地区。 业务是否为C/S架构 如果是C/S架构，进一步明确是否有App客户端、Windows客户端、Linux客户端、代码回调或其他环境的客户端。 源站部署的具体位置 判断购买哪种实例region。 源站服务器的操作系统（Linux、Windows）和所使用的Web服务中间件（Apache、Nginx、IIS等） 判断源站是否存在访问控制策略，避免源站误拦截WAF回源IP转发的流量。 域名使用协议 判断所使用的通信协议WAF是否支持。 说明： 网站的“对外协议”、“源站协议” 必须要根据防护网站的实际情况配置正确，WAF才会正常防护您的网站。 对外协议，即客户端（例如浏览器）请求访问网站的协议类型。可选择“HTTP”、“HTTPS”两种协议类型。 源站协议，即WAF转发客户端（例如浏览器）请求的协议类型。可选择“HTTP”、“HTTPS”两种协议类型。 业务端口 判断需要防护的业务端口是否在WAF支持的端口范围内。 标准端口 80：HTTP对外协议默认使用端口 443：HTTPS对外协议默认使用端口 非标准端口 80/443以外的端口 说明： 如果防护域名使用非标准端口，请查看WAF支持哪些非标准端口？，确保购买的WAF版本支持防护该非标准端口。 业务是否使用TLS 1.0或弱加密套件 判断业务使用的加密套件是否支持。 业务在接入WAF前，是否已接入DDoS高防、CDN等服务。 接入WAF时，判断如何选择“是否已使用代理”，以及正确进行域名解析。 （针对HTTPS业务）客户端是否支持SNI标准 对于支持HTTPS协议的域名，接入WAF后，客户端和服务端都需要支持SNI标准。 业务交互过程 了解业务交互过程、业务处理逻辑，便于后续配置针对性防护策略。 活跃用户数量 便于后续在处理紧急攻击事件时，判断事件严重程度，以采取风险较低的应急处理措施。 业务及攻击情况 业务类型及业务特征（例如，游戏、棋牌、网站、App等业务） 便于在后续攻击防护过程中分析攻击特征。 单用户、单IP的入方向流量范围和连接情况 帮助后续判断是否可针对单个IP制定限速策略。 用户群体属性 例如，个人用户、网吧用户、或通过代理访问的用户。 业务是否遭受过大流量攻击、攻击类型和最大的攻击流量峰值 判断是否需要增加DDoS防护服务，并根据攻击流量峰值判断需要的DDoS防护规格。 业务是否遭受过CC攻击和最大的CC攻击峰值QPS 通过分析历史攻击特征，配置预防性策略。 业务是否已完成压力测试 评估源站服务器的请求处理性能，帮助后续判断是否因遭受攻击导致业务发生异常。

使用建议 如果您对自己的业务流量特征还不完全清楚，建议先切换到“仅记录”模式进行观察。一般情况下，建议您观察一至两周，然后分析仅记录模式下的攻击日志。 如果没有发现任何正常业务流量被拦截的记录，则可以切换到“拦截”模式启用拦截防护。 如果发现攻击日志中存在正常业务流量，建议调整防护等级或者设置全局白名单来避免正常业务的误拦截。 业务操作方面应注意以下问题： 正常业务的HTTP请求中尽量不要直接传递原始的SQL语句、JavaScript代码。 正常业务的URL尽量不要使用一些特殊的关键字（UPDATE、SET等）作为路径，例如：“https://www.example.com/abc/update/mod.php?set=1”。 如果业务中需要上传文件，不建议直接通过Web方式上传超过50M的文件，建议使用对象存储服务或者其他方式上传。

相关操作 规则添加成功后，默认的“规则状态”为“已开启”，若您暂时不想使该策略生效，可在目标策略所在行的“操作”列，单击“关闭”，也可以批量勾选多条策略规则，单击列表上方的“批量关闭”，同时关闭多条策略规则。 当您需要修改添加的规则时，在待修改的规则所在行，单击“修改”，修改规则，也可以批量勾选不同策略下的多条规则，单击列表上方的“批量修改”，同时修改多条策略规则。 当您需要删除添加的规则时，在待删除的规则所在行，单击“删除”，删除规则，也可以批量勾选多条策略规则，单击列表上方的“批量删除”，同时删除多条策略规则。 当您需要批量开启策略规则时，批量勾选多条策略规则，单击列表上方的“批量开启”，同时开启多条策略规则。

JS脚本反爬虫检测机制 JS脚本检测流程如图1所示，其中，①和②称为“js挑战”，③称为“js验证”。 图1 JS脚本检测流程说明 开启JS脚本反爬虫后，当客户端发送请求时，WAF会返回一段JavaScript代码到客户端。 如果客户端是正常浏览器访问，就可以触发这段JavaScript代码再发送一次请求到WAF，即WAF完成js验证，并将该请求转发给源站。 如果客户端是爬虫访问，就无法触发这段JavaScript代码再发送一次请求到WAF，即WAF无法完成js验证。 如果客户端爬虫伪造了WAF的认证请求，发送到WAF时，WAF将拦截该请求，js验证失败。 通过统计“js挑战”和“js验证”，就可以汇总出JS脚本反爬虫防御的请求次数。例如，图2中JS脚本反爬虫共记录了18次事件，其中，“js挑战”（WAF返回JS代码）为16次，“js验证”（WAF完成JS验证）为2次，“其他”（即爬虫伪造WAF认证请求）为0次。 图2 JS脚本反爬虫防护数据 “js挑战”和“js验证”的防护动作为仅记录，WAF不支持配置“js挑战”和“js验证”的防护动作。

约束条件 JS脚本反爬虫依赖浏览器的Cookie机制、JavaScript解析能力，如果客户端浏览器不支持Cookie，此功能无法使用，开启后会造成永远无法访问源站。 如果您的业务接入了CDN服务，请谨慎使用JS脚本反爬虫。 由于CDN缓存机制的影响，JS脚本反爬虫特性将无法达到预期效果，并且有可能造成页面访问异常。 入门版和标准版不支持该功能。 防护网站部署模式为“云模式-ELB接入”时，不支持JS脚本反爬虫功能。 开启JS脚本反爬虫后，如果不能查看拦截记录，请参见开启JS脚本反爬虫后，为什么有些请求被WAF拦截但查不到拦截记录？。 网站反爬虫“js挑战”的防护动作为“仅记录”，“js验证”的防护动作为人机验证（即js验证失败后，弹出验证码提示，输入正确的验证码，请求将不受访问限制）。 WAF的JS脚本反爬虫功能只支持get请求，不支持post请求。

配置示例-仅记录脚本工具爬虫 假如防护域名“www.example.com”已接入WAF，您可以参照以下操作步骤验证反爬虫防护效果。 执行JS脚本工具，爬取网页内容。 在“特征反爬虫”页签，开启“脚本工具”，“防护动作”设置为“仅记录”（WAF检测为攻击行为后，只记录不阻断）。 图6 开启“脚本工具” 开启网站反爬虫。 图7 网站反爬虫配置框 在左侧导航树中，单击“防护事件”，进入“防护事件”页面，您可以查看该防护事件。 图8 查看防护事件-脚本爬虫

修订记录 发布日期 修改说明 2024-04-10 第一百九十八次正式发布。 增加： 开启Cookie安全属性 修改： WAF操作指引 安全总览 查看防护日志 处理误报事件 配置CC攻击防护规则防御CC攻击 配置精准访问防护规则定制化防护策略 配置IP黑白名单规则拦截/放行指定IP 配置网站反爬虫防护规则防御爬虫攻击 2024-02-22 第一百九十七次正式发布。 修改： 配置精准访问防护规则定制化防护策略 配置全局白名单规则对误报进行忽略 2024-01-31 第一百九十六次正式发布。 修改： 购买WAF云模式 变更WAF云模式版本和规格 安全总览 查看防护日志 处理误报事件 防护策略 网站接入流程（云模式-CNAME接入） 高级配置 基本信息维护 开启告警通知 2023-11-30 第一百九十五次正式发布。 新增： 修改负载均衡算法 修改： 购买WAF独享模式 配置威胁情报访问控制拦截/放行指定目标IP库平台内的来源IP 处理误报事件 防护策略 配置内容安全检测 2023-11-15 第一百九十四次正式发布。 修改配置PCI DSS/3DS合规与TLS章节。 2023-11-10 第一百九十三次正式发布。 增加网站接入WAF（云模式-ELB接入）。 修改： 购买WAF云模式 WAF操作指引 2023-11-03 第一百九十二次正式发布。 增加WAF控制台的权限依赖。 2023-10-10 第一百九十一次正式发布。 文档架构调整： 增加：配置示例：添加防护域名 修改： WAF操作指引 策略管理 网站设置 防护配置引导 2023-09-13 第一百九十次正式发布。 修改： 开启IPv6防护 开启HTTP2协议 配置WAF到网站服务器的连接超时时间 配置Header字段转发 2023-09-08 第一百八十九次正式发布。 修改授权并关联企业项目。 2023-08-28 第一百八十八次正式发布。 修改步骤二：配置负载均衡。 2023-08-09 第一百八十七次正式发布。 修改WAF支持的端口范围 2023-07-10 第一百八十六次正式发布。 增加步骤五：独享引擎本地验证。 修改： 开启全量日志 云审计服务支持的WAF操作列表 2023-06-30 第一百八十五次正式发布。 增加： 安全报告 修改： 配置攻击惩罚的流量标识 配置精准访问防护规则定制化防护策略 配置CC攻击防护规则防御CC攻击 配置全局白名单规则对误报进行忽略 购买WAF云模式 变更WAF云模式版本和规格 QPS扩展包说明 查看防护日志 配置内容安全检测 2023-06-09 第一百八十四次正式发布。 修改： 升级独享引擎实例版本 2023-06-01 第一百八十三次正式发布。 修改： 步骤一：添加防护域名（云模式-CNAME接入） 步骤三：修改域名DNS解析设置 更新证书 查看独享引擎实例信息 2023-05-23 第一百八十二次正式发布。 修改： 购买WAF云模式 配置内容安全检测 2023-04-30 第一百八十一次正式发布。 新增： 批量跨企业项目迁移域名 配置Header字段转发 配置内容安全检测 修改： 购买WAF云模式 购买WAF独享模式 变更WAF云模式版本和规格 WAF支持的端口范围 步骤一：添加防护网站（独享模式） 配置PCI DSS/3DS合规与TLS 配置Web基础防护规则防御常见Web攻击 配置网站反爬虫防护规则防御爬虫攻击 配置防敏感信息泄露规则避免敏感信息泄露 配置网页防篡改规则避免静态网页被篡改 管理独享引擎 2023-04-20 第一百八十次正式发布。 修改： 步骤二：配置负载均衡 步骤一：添加防护网站（独享模式） 2023-04-14 第一百七十九次正式发布。 修改： 配置WAF到网站服务器的连接超时时间 2023-04-07 第一百七十八次正式发布。 修改配置攻击惩罚的流量标识章节。 2023-03-16 第一百七十七次正式发布。 修改： 配置网站反爬虫防护规则防御爬虫攻击 管理独享引擎 2023-03-13 第一百七十六次正式发布。 修改管理独享引擎，增加了独享引擎的版本迭代。 2023-03-09 第一百七十五次正式发布。 修改WAF监控指标说明章节。 2023-03-07 第一百七十四次正式发布。 修改步骤四：放行WAF回源IP章节。 2023-03-03 第一百七十三次正式发布。 新增： 共享企业项目证书 新版Console上线，资料全文进行了适配： 购买WAF云模式 步骤一：添加防护域名（云模式-CNAME接入） 查看基本信息 查看证书信息 管理独享引擎 安全总览 防护事件 2023-02-22 第一百七十二次正式发布。 修改以下 章节： QPS扩展包说明 购买WAF云模式 安全总览 2023-02-16 第一百七十一次正式发布。 修改步骤一：添加防护网站（独享模式）章节。 2023-01-31 第一百七十次正式发布。 修改步骤二：配置负载均衡章节。 2023-01-17 第一百六十九次正式发布。 修改配置示例-拦截字段为空值的请求章节。 2023-01-12 第一百六十八次正式发布。 增加导出网站设置列表章节。 2022-12-07 第一百六十七次正式发布。 修改新增防护策略：增加“复制策略”。 2022-11-22 第一百六十六次正式发布。 修改配置精准访问防护规则定制化防护策略。 2022-11-18 第一百六十五次正式发布。 修改配置Web基础防护规则防御常见Web攻击：增加相关说明。 2022-11-15 第一百六十四次正式发布。 增加 配置威胁情报访问控制拦截/放行指定目标IP库平台内的来源IP 配置CC攻击防护规则防御CC攻击 查看防护网站的云监控信息 修改 配置攻击惩罚的流量标识：增加相关描述。 查看基本信息：增加参数描述。 删除防护网站 2022-11-11 第一百六十三次正式发布。 修改变更WAF云模式版本和规格章节。 2022-11-07 第一百六十二次正式发布。 修改如下章节： 安全总览：补充URL字段。 2022-10-25 第一百六十一次正式发布。 修改如下章节： 步骤一：添加防护域名（云模式-CNAME接入） 步骤四：放行WAF回源IP 2022-10-08 第一百六十次正式发布。 修改购买WAF独享模式：修改约束条件。 2022-09-07 第一百五十八次正式发布。 修改WAF支持的端口范围章节。 2022-09-05 第一百五十七次正式发布。 修改以下章节： 步骤一：添加防护域名（云模式-CNAME接入）：界面词条变化，资料同步修改， 步骤一：添加防护网站（独享模式）：界面词条变化，资料同步修改， 2022-08-24 第一百五十六次正式发布。 修改开启告警通知：告警通知改版。 2022-08-23 第一百五十五次正式发布。 修改以下章节： 查看防护日志：防护事件页面改版，资料随Console更新。 处理误报事件：增加“添加至地址组”和“添加至黑白名单”两个功能。 2022-08-19 第一百五十四次正式发布。 修改购买WAF独享模式：WAF实例创建类别下线“普通租户类”。 2022-08-16 第一百五十三次正式发布。 修改以下章节： 云审计服务支持的WAF操作列表：修改参数描述。 步骤二：配置负载均衡：增加了将WAF实例添加到ELB的操作步骤。 2022-08-03 第一百五十二次正式发布。 修改如下章节： 购买WAF云模式：增加新版WAF的操作方法。 购买WAF独享模式：增加新版WAF的操作方法。 步骤一：添加防护域名（云模式-CNAME接入）：增加新版WAF的操作方法。 步骤一：添加防护网站（独享模式）：增加新版WAF的操作方法。 基本信息维护：增加新版WAF的操作方法。 防护策略：增加新版WAF的操作方法。 管理独享引擎：增加了将WAF实例添加到ELB的操作步骤。 WAF监控指标说明：修改了相关说明。 2022-07-21 第一百五十一次正式发布。 修改配置Web基础防护规则防御常见Web攻击：增加了应用类型和防护类型。 2022-07-18 第一百五十次正式发布。 修改配置全局白名单规则对误报进行忽略：优化参数描述。 2022-07-06 第一百四十九次正式发布。 修改如下章节： 配置CC攻击防护规则防御CC攻击：支持“全局计数”。 步骤一：添加防护域名（云模式-CNAME接入） 开启IPv6防护 步骤一：添加防护网站（独享模式） 2022-07-04 第一百四十八次正式发布。 全局白名单功能上线，修改如下章节： 配置全局白名单规则对误报进行忽略 处理误报事件 批量添加防护规则 2022-06-27 第一百四十七次正式发布。 修改如下章节： 购买WAF云模式：购买界面更新了截图。 配置Web基础防护规则防御常见Web攻击：支持开启“Shiro解密检测”。 2022-06-22 第一百四十六次正式发布。 修改如下章节： 配置CC攻击防护规则防御CC攻击：根据界面变更刷新文档。 配置地理位置访问控制规则拦截/放行特定区域请求：修改描述。 2022-06-09 第一百四十五次正式发布。 修改如下章节： 配置WAF到网站服务器的连接超时时间：修改描述。 WAF支持的端口范围：增加新的端口。 2022-06-06 第一百四十四次正式发布。 修改如下章节： 步骤一：添加防护域名（云模式-CNAME接入）：增加是否是使用代理的约束条件。 步骤三：修改域名DNS解析设置：修改描述。 2022-05-30 第一百四十三次正式发布。 增加WAF支持的端口范围章节。 修改配置地理位置访问控制规则拦截/放行特定区域请求章节。 2022-05-26 第一百四十二次正式发布。 修改如下章节： 购买WAF云模式：更新图片。 配置Web基础防护规则防御常见Web攻击：“检测版”更名为“入门版”，且“入门版”支持“拦截”模式。 配置全局白名单规则对误报进行忽略：支持修改误报屏蔽规则。 批量添加防护规则：“相关操作”中增加了批量修改、批量删除、批量关闭的操作。 安全总览：修改参数说明。 配置WAF到网站服务器的连接超时时间：增加区域限制。 开启熔断保护：增加区域限制。 修改负载均衡算法：增加区域限制。 2022-05-13 第一百四十一次正式发布。 修改如下章节： 购买WAF：调整架构，将跟购买WAF相关的章节入放在一个目录下。 步骤一：添加防护域名（云模式-CNAME接入）：导入新证书独立Section。 2022-05-06 第一百四十次正式发布。 修改如下章节： 配置全局白名单规则对误报进行忽略 2022-05-05 第一百三十九次正式发布。 修改查看证书信息，增加约束条件。 2022-04-27 第一百三十八次正式发布。 增加配置智能访问控制规则精准智能防御CC攻击章节。 2022-04-24 第一百三十七次正式发布。 增加如下章节： 开启熔断保护 修改负载均衡算法 修改如下章节： 步骤一：添加防护域名（云模式-CNAME接入） 修改负载均衡算法 2022-04-19 第一百三十六次正式发布。 增加如下章节： 开启IPv6防护 开启HTTP2协议 配置WAF到网站服务器的连接超时时间 修改如下章节： 步骤一：添加防护域名（云模式-CNAME接入） 步骤一：添加防护网站（独享模式） 查看基本信息 WAF监控指标说明 2022-04-12 第一百三十五次正式发布。 WAF监控指标说明，根据规范修改了相关描述。 2022-04-07 第一百三十四次正式发布。 配置网站反爬虫防护规则防御爬虫攻击，增加了约束条件。 步骤二：配置负载均衡，增加了前提条件。 2022-03-29 第一百三十三次正式发布。 WAF操作指引，增加了网站业务梳理章节。 WAF监控指标说明，修改了包速率的单位。 切换工作模式，增加了Bypass模式的相关说明。 2022-03-25 第一百三十二次正式发布。 管理证书，更新界面截图和内容描述。 2022-03-22 第一百三十一次正式发布。 优化步骤一：添加防护网站（独享模式）章节。 2022-03-17 第一百三十次正式发布。 修改防护配置引导章节。 2022-02-22 第一百二十九次正式发布。 购买WAF独享模式，修改相关描述。 2022-02-11 第一百二十八次正式发布。 配置网页防篡改规则避免静态网页被篡改，修改相关描述。 2022-02-10 第一百二十七次正式发布。 购买WAF独享模式，优化内容描述。 2022-01-30 第一百二十六次正式发布。 配置Web基础防护规则防御常见Web攻击，优化内容描述。 2022-01-24 第一百二十五次正式发布。 防护配置引导，优化内容描述。 2022-01-06 第一百二十四次正式发布。 管理独享引擎，更新界面截图和内容描述。 2021-12-30 第一百二十三次正式发布。 新增“监控”章节。 2021-12-20 第一百二十二次正式发布。 添加黑白名单IP地址组，优化内容描述。 配置IP黑白名单规则拦截/放行指定IP，优化内容描述。 2021-12-10 第一百二十一次正式发布。 配置地理位置访问控制规则拦截/放行特定区域请求，新增新版配置规则内容描述。 2021-11-24 第一百二十次正式发布。 “配置防护规则”章节，新增配置示例。 2021-11-17 第一百一十九次正式发布。 配置Web基础防护规则防御常见Web攻击，新增防护示例。 配置CC攻击防护规则防御CC攻击，新增防护示例。 2021-11-08 第一百一十八次正式发布。 “开通WAF”章节，更新界面截图以及内容描述。 2021-11-04 第一百一十七次正式发布。 QPS扩展包说明，修改规格描述。 2021-10-25 第一百一十六次正式发布。 新增“管理黑白名单IP地址组”章节。 “管理证书”章节，更新界面截图以及相关内容描述。 配置IP黑白名单规则拦截/放行指定IP，更新界面截图以及相关内容描述。 2021-10-22 第一百一十五次正式发布。 查看防护日志，优化内容描述。 配置精准访问防护规则定制化防护策略，补充配置示例说明。 2021-10-12 第一百一十四次正式发布。 配置Web基础防护规则防御常见Web攻击，增加防护效果示例。 WAF权限及授权项，更新授权项。 2021-09-27 第一百一十三次正式发布。 步骤一：添加防护域名（云模式-CNAME接入），更新界面截图。 步骤一：添加防护网站（独享模式），更新界面截图。 2021-09-15 第一百一十二次正式发布。 步骤一：添加防护域名（云模式-CNAME接入），优化内容描述。 2021-08-31 第一百一十一次正式发布。 步骤一：添加防护域名（云模式-CNAME接入），优化内容描述。 2021-08-20 第一百一十次正式发布。 安全总览，优化内容描述。 2021-08-12 第一百零九次正式发布。 步骤一：添加防护域名（云模式-CNAME接入），优化内容描述。 2021-08-06 第一百零八次正式发布。 云模式服务版本名称变更：原专业版变更为标准版、原企业版变更为专业版、原旗舰版变更为铂金版。 2021-08-03 第一百零七次正式发布。 购买WAF独享模式，优化内容描述。 2021-07-19 第一百零六次正式发布。 更新管理控制台入口描述。 2021-07-14 第一百零五次正式发布。 上传证书，补充SCM证书推送约束限制说明。 2021-07-08 第一百零四次正式发布。 变更WAF云模式版本和规格，优化内容描述。 配置精准访问防护规则定制化防护策略，补充约束限制说明。 2021-06-30 第一百零三次正式发布。 新增步骤四：放行独享引擎回源IP。 2021-06-23 第一百零二次正式发布。 配置IP黑白名单规则拦截/放行指定IP，优化约束限制内容描述。 2021-06-16 第一百零一次正式发布。 步骤一：添加防护网站（独享模式），优化内容描述。 2021-06-08 第一百次正式发布。 更新证书，优化内容描述。 2021-05-27 第九十九次正式发布。 步骤一：添加防护域名（云模式-CNAME接入），优化内容描述。 2021-05-24 第九十八次正式发布。 步骤一：添加防护域名（云模式-CNAME接入），优化内容描述。 2021-05-18 第九十七次正式发布。 配置IP黑白名单规则拦截/放行指定IP，优化内容描述。 2021-05-12 第九十六次正式发布。 新增网站接入流程（云模式-CNAME接入）。 新增网站接入流程（独享模式）。 2021-04-30 第九十五次正式发布。 新增规则扩展包说明。 安全总览，更新界面截图。 购买WAF云模式，更新界面截图和内容描述。 2021-04-15 第九十四次正式发布。 步骤二：本地验证，优化内容描述。 配置网站反爬虫防护规则防御爬虫攻击，优化检测项说明。 2021-04-07 第九十三次正式发布。 步骤一：添加防护域名（云模式-CNAME接入），优化约束限制描述。 步骤一：添加防护网站（独享模式），优化约束限制描述。 2021-03-11 第九十二次正式发布。 管理独享引擎，补充独享引擎升级注意事项。 新增查看产品信息。 2021-02-25 第九十次正式发布。 新增授权并关联企业项目。 配置Web基础防护规则防御常见Web攻击，新增header全检测功能描述。 WAF权限及授权项，更新授权项。 2021-02-09 第八十九次正式发布。 配置网站反爬虫防护规则防御爬虫攻击，新增JS脚本反爬虫检测机制内容描述。 2021-02-02 第八十八次正式发布。 开启全量日志，优化内容描述。 2021-01-29 第八十七次正式发布。 步骤一：添加防护域名（云模式-CNAME接入），优化内容描述。 配置CC攻击防护规则防御CC攻击，更新界面截图。 2021-01-07 第八十五次正式发布。 购买WAF独享模式，优化内容描述。 2020-12-31 第八十四次正式发布。 配置Web基础防护规则防御常见Web攻击，更新界面截图以及相关内容描述。 配置网站反爬虫防护规则防御爬虫攻击，更新界面截图以及相关内容描述。 安全总览，更新界面截图以及相关内容描述。 2020-12-25 第八十三次正式发布。 下载防护事件数据，新增防护数据文件字段说明。 2020-12-16 第八十二次正式发布。 购买WAF云模式，更新界面截图以及相关内容描述。 购买WAF独享模式，更新界面截图以及相关内容描述。 2020-12-11 第八十一次正式发布。 删除云模式按需计费相关描述。 2020-11-18 第八十次正式发布。 处理误报事件，优化内容描述。 管理独享引擎，优化内容描述。 2020-11-09 第七十九次正式发布。 配置CC攻击防护规则防御CC攻击，优化内容描述。 配置精准访问防护规则定制化防护策略，优化内容描述。 2020-10-28 第七十八次正式发布。 删除产品专家服务相关内容描述。 2020-10-22 第七十七次正式发布。 配置PCI DSS/3DS合规与TLS，优化内容描述。 更新证书，更新界面截图。 配置CC攻击防护规则防御CC攻击，优化内容描述。 创建引用表对防护指标进行批量配置，优化内容描述。 2020-09-23 第七十六次正式发布。 云审计服务支持的WAF操作列表，优化内容描述。 查询审计事件，优化内容描述。 配置CC攻击防护规则防御CC攻击，优化高级模式使用限制说明。 2020-09-11 第七十五次正式发布。 购买WAF云模式，补充云模式按需计费购买操作步骤。 “配置防护规则”章节，补充云模式按需计费相关说明。 2020-08-27 第七十四次正式发布。 配置PCI DSS/3DS合规与TLS，补充开启安全合规相关内容描述。 2020-08-25 第七十三次正式发布。 新增配置攻击惩罚的流量标识。 新增配置攻击惩罚标准自动封禁访问者指定时长。 配置Web基础防护规则防御常见Web攻击、配置精准访问防护规则定制化防护策略、配置IP黑白名单规则拦截/放行指定IP，补充攻击惩罚相关内容描述。 2020-08-19 第七十二次正式发布。 开启全量日志，补充日志字段参数说明。 2020-08-12 第七十一次正式发布。 新增“管理证书”章节。 步骤一：添加防护域名（云模式-CNAME接入），更新证书内容描述。 2020-08-06 第七十次正式发布。 配置Web基础防护规则防御常见Web攻击，补充防护规则相关内容描述。 2020-07-20 第六十九次正式发布。 配置CC攻击防护规则防御CC攻击，补充操作限制内容描述。 管理独享引擎，更新界面截图。 2020-07-16 第六十八次正式发布。 处理误报事件，补充操作限制内容描述。 2020-07-08 第六十七次正式发布。 新增“网站接入（独享模式）”章节。 新增管理独享引擎。 “入门教程”章节，更新独享模式相关内容描述。 “网站接入（云模式）”章节，更新界面截图以及相关内容描述。 “配置防护规则”章节，更新独享模式相关内容描述。 “管理防护事件”章节，更新界面截图。 配置PCI DSS/3DS合规与TLS，补充加密套件4相关内容描述。 2020-06-24 第六十六次正式发布。 购买WAF云模式，补充入门版相关内容说明。 “配置防护规则”章节，补充入门版支持功能说明。 “策略管理”章节，补充入门版支持功能说明。 2020-06-22 第六十五次正式发布。 新增WAF自定义策略和WAF权限及授权项。 2020-06-18 第六十四次正式发布。 步骤一：添加防护域名（云模式-CNAME接入），修改证书格式转化内容。 开启全量日志，新增日志字段说明。 2020-06-16 第六十三次正式发布。 更新证书，优化内容描述。 2020-06-11 第六十二次正式发布。 配置网站反爬虫防护规则防御爬虫攻击，更新界面截图。 2020-05-09 第六十一次正式发布。 配置PCI DSS/3DS合规与TLS，新增加密套件兼容性说明。 配置网页防篡改规则避免静态网页被篡改，优化路径参数描述。 2020-04-28 第六十次正式发布。 新增开启全量日志。 配置PCI DSS/3DS合规与TLS，优化相关内容描述。 “管理防护事件”章节，更新界面截图。 2020-03-31 第五十九次正式发布。 更新界面截图。 2020-03-12 第五十八次正式发布。 创建用户组并授权使用WAF，修改引用链接。 2020-02-27 第五十七次正式发布。 新增配置PCI DSS/3DS合规与TLS。 安全总览，刷新界面截图并修改参数描述。 配置全局白名单规则对误报进行忽略，刷新截图并优化内容描述。 处理误报事件，刷新截图并优化内容描述。 2020-02-18 第五十六次正式发布。 开启告警通知，修改内容描述并新增告警通知示例。 2020-01-20 第五十五次正式发布。 创建用户组并授权使用WAF，优化内容描述。 2020-01-02 第五十四次正式发布。 创建用户组并授权使用WAF，优化内容描述。 查看云审计日志，优化内容描述。 2019-12-26 第五十三次正式发布。 步骤一：添加防护域名（云模式-CNAME接入），优化内容描述。 2019-12-24 第五十二次正式发布。 购买WAF云模式，优化内容描述。 变更WAF云模式版本和规格，优化内容描述。 域名扩展包说明，优化内容描述。 开启告警通知，优化内容描述。 2019-12-16 第五十一次正式发布。 操作入口连环图更新。 2019-12-13 第五十次正式发布。 创建用户组并授权使用WAF，优化内容描述。 2019-12-09 第四十九次正式发布。 步骤一：添加防护域名（云模式-CNAME接入），优化内容描述。 域名扩展包说明，优化内容描述。 创建引用表对防护指标进行批量配置，优化内容描述。 新增防护策略，优化内容描述。 添加策略适用的防护域名，优化内容描述。 2019-11-28 第四十八次正式发布。 步骤一：添加防护域名（云模式-CNAME接入），优化内容描述。 2019-11-12 第四十七次正式发布。 新增查看防护日志。 2019-11-07 第四十六次正式发布。 新增修改拦截返回页面。 查看基本信息，优化内容描述。 配置CC攻击防护规则防御CC攻击，优化内容描述。 创建引用表对防护指标进行批量配置，优化内容描述。 2019-11-05 第四十五次正式发布。 步骤一：添加防护域名（云模式-CNAME接入），优化内容描述。 修改服务器配置信息，优化内容描述。 配置精准访问防护规则定制化防护策略，优化内容描述。 配置IP黑白名单规则拦截/放行指定IP，优化内容描述。 2019-10-17 第四十四次正式发布。 步骤一：添加防护域名（云模式-CNAME接入），优化内容描述。 步骤三：修改域名DNS解析设置，优化内容描述。 修改服务器配置信息，优化内容描述。 更新证书，优化内容描述。 配置Web基础防护规则防御常见Web攻击，优化内容描述。 2019-10-14 第四十三次正式发布。 步骤一：添加防护域名（云模式-CNAME接入），优化内容描述。 修改服务器配置信息，优化内容描述。 更新证书，优化内容描述。 配置Web基础防护规则防御常见Web攻击，优化内容描述。 配置CC攻击防护规则防御CC攻击，优化内容描述。 配置IP黑白名单规则拦截/放行指定IP，优化内容描述。 2019-10-11 第四十二次正式发布。 修改“配置防护规则”章节，增加了“规则状态”和“仅记录”模式。 修改“策略管理”章节，增加了“规则状态”。 2019-09-25 第四十一次正式发布。 购买WAF云模式，增加了qps提示。 处理误报事件，增加备注信息。 2019-09-06 第四十次正式发布。 更新证书，优化内容描述。 配置Web基础防护规则防御常见Web攻击，优化内容描述。 2019-09-04 第三十九次正式发布。 步骤三：修改域名DNS解析设置，优化内容描述。 2019-08-28 第三十八次正式发布。 配置CC攻击防护规则防御CC攻击，优化防护效果。 配置精准访问防护规则定制化防护策略，优化防护效果。 2019-08-20 第三十七次正式发布。 文档优化：使用连环图。 2019-08-15 第三十六次正式发布。 步骤一：添加防护域名（云模式-CNAME接入），增加TXT记录的配置说明。 步骤三：修改域名DNS解析设置，增加TXT记录的配置说明章节。 下载防护事件数据，增加了相关说明。 2019-08-08 第三十五次正式发布。 购买WAF云模式，优化内容描述。 修改“配置防护规则”章节，自定义规则里添加了“规则描述”参数。 2019-08-02 第三十四次正式发布。 修改创建用户组并授权使用WAF，优化内容描述。 2019-07-02 第三十三次正式发布。 步骤一：添加防护域名（云模式-CNAME接入），优化内容描述。 步骤三：修改域名DNS解析设置，优化内容描述。 2019-06-18 第三十二次正式发布。 步骤一：添加防护域名（云模式-CNAME接入），优化内容描述。 配置IP黑白名单规则拦截/放行指定IP，优化内容描述。 2019-06-06 第三十一次正式发布。 步骤一：添加防护域名（云模式-CNAME接入），增加配置示例。 处理误报事件，优化内容描述。 2019-05-30 第三十次正式发布。 步骤一：添加防护域名（云模式-CNAME接入），优化内容描述。 步骤三：修改域名DNS解析设置，优化内容描述。 2019-05-16 第二十九次正式发布。 新增创建用户组并授权使用WAF。 2019-05-14 第二十八次正式发布。 更新证书，优化内容描述。 2019-05-05 第二十七次正式发布。 修改服务器配置信息，优化内容描述。 2019-04-25 第二十六次正式发布。 查看基本信息，增加了“最低TLS版本”说明。 步骤二：本地验证，优化内容描述 。 步骤一：添加防护域名（云模式-CNAME接入），增加了本地验证的说明。 步骤三：修改域名DNS解析设置，增加了本地验证的说明。 配置精准访问防护规则定制化防护策略，增加了3个字段。 2019-03-30 第二十五次正式发布。 查看基本信息，增加了域名列表参数说明。 2019-01-03 第二十四次正式发布。 调整文档布局。 2018-12-05 第二十三次正式发布。 开启告警通知，优化内容描述。 2018-11-15 第二十二次正式发布。 修改“配置防护规则”章节，修改了截图和相关描述。 步骤三：修改域名DNS解析设置，优化内容描述。 开启告警通知，优化内容描述。 2018-11-08 第二十一次正式发布。 设置短描述和关键字。 2018-10-29 第二十次正式发布。 步骤一：添加防护域名（云模式-CNAME接入），优化内容描述。 2018-10-16 第十九次正式发布。 新增防护策略，优化内容描述。 批量添加防护规则，优化内容描述。 添加策略适用的防护域名，优化内容描述。 2018-08-09 第十八次发布。 新增步骤三：修改域名DNS解析设置。 新增创建引用表对防护指标进行批量配置。 处理误报事件，优化内容描述。 2018-08-02 第十七次发布。 新增下载防护事件数据。 查看基本信息，优化内容描述。 处理误报事件，优化内容描述。 查看防护日志，优化内容描述。 开启告警通知，优化内容描述。 2018-07-19 第十六次发布。 线路设置，优化内容描述。 查看基本信息，优化内容描述。 处理误报事件，优化内容描述。 根据界面变化修改了截图。 2018-07-05 第十五次发布。 配置Web基础防护规则防御常见Web攻击，优化内容描述。 配置CC攻击防护规则防御CC攻击，优化内容描述。 配置精准访问防护规则定制化防护策略，优化内容描述。 配置IP黑白名单规则拦截/放行指定IP，优化内容描述。 配置地理位置访问控制规则拦截/放行特定区域请求，优化内容描述。 配置网页防篡改规则避免静态网页被篡改，优化内容描述。 配置网站反爬虫防护规则防御爬虫攻击，优化内容描述。 配置防敏感信息泄露规则避免敏感信息泄露，优化内容描述。 配置全局白名单规则对误报进行忽略，优化内容描述。 配置隐私屏蔽规则防隐私信息泄露，优化内容描述。 批量添加防护规则，优化内容描述。 2018-06-14 第十四次发布。 步骤一：添加防护域名（云模式-CNAME接入），优化内容描述。 删除防护网站，优化内容描述。 根据界面变化修改了截图。 2018-06-07 第十三次发布。 配置CC攻击防护规则防御CC攻击，优化内容描述。 2018-05-31 第十二次正式发布。 配置Web基础防护规则防御常见Web攻击，优化内容描述。 配置精准访问防护规则定制化防护策略，优化内容描述。 2018-05-17 第十一次正式发布。 修改步骤一：添加防护域名（云模式-CNAME接入），优化内容描述。 2018-04-26 第十次正式发布。 新增云审计服务支持的WAF操作列表。 步骤一：添加防护域名（云模式-CNAME接入），优化内容描述。 配置Web基础防护规则防御常见Web攻击，优化内容描述。 2018-04-12 第九次正式发布。 新增配置防敏感信息泄露规则避免敏感信息泄露。 步骤一：添加防护域名（云模式-CNAME接入），优化内容描述。 2018-04-02 第八次正式发布。 步骤一：添加防护域名（云模式-CNAME接入），优化内容描述。 根据界面变化更新了界面描述和截图。 2018-03-31 第七次正式发布。 步骤一：添加防护域名（云模式-CNAME接入），优化内容描述。 配置网站反爬虫防护规则防御爬虫攻击，优化内容描述。 根据界面变化更新了界面描述和截图。 2018-03-27 第六次正式发布。 新增线路设置。 步骤一：添加防护域名（云模式-CNAME接入），增加非标准端口描述。 删除防护网站，优化内容描述。 查看基本信息，优化内容描述。 配置精准访问防护规则定制化防护策略，支持自定义设置规则生效时间段。 根据界面变化更新了界面描述和截图。 2018-03-02 第五次正式发布。 新增配置隐私屏蔽规则防隐私信息泄露。 步骤一：添加防护域名（云模式-CNAME接入），增加“HTTP&HTTPS”协议类型。 查看基本信息，优化内容描述。 配置Web基础防护规则防御常见Web攻击，增加高级设置内容描述。 配置CC攻击防护规则防御CC攻击，增加阻断时长相关内容描述。 删除“配置扫描器爬虫防护规则”章节。 2018-02-01 第四次正式发布。 新增配置地理位置访问控制规则拦截/放行特定区域请求。 新增配置网页防篡改规则避免静态网页被篡改。 新增配置网站反爬虫防护规则防御爬虫攻击。 修改“配置白名单规则”章节和“配置黑名单规则”章节为“配置黑白名单规则”章节。 删除“设置防护动作”章节。 删除“配置基础防护”章节。 删除“配置隐私屏蔽规则”章节。 删除“配置CSRF防护规则”章节。 2018-01-16 第三次正式发布。 新增查看基本信息。 修改步骤一：添加防护域名（云模式-CNAME接入）： 支持泛域名。 “源站IP”的配置修改为“服务器配置”。 删除“源站IP”章节。 2018-01-11 第二次正式发布。 新增步骤一：添加防护域名（云模式-CNAME接入）。 新增配置Web基础防护规则防御常见Web攻击。 新增处理误报事件。 删除“查看WAF实例”章节。 根据界面变化优化描述及截图。 2017-10-30 第一次正式发布。

规格限制 每个用户可以拥有100个地址组。1个地址组可以添加多个IP地址/IP地址段，具体请以控制台显示数据为准。多个IP地址/IP地址段可用半角逗号（,）、半角分号（;）、换行符（Enter键）、制表符（Tab键）或空格进行分隔。 添加地址组前，请确保当前版本有剩余的IP黑白名单规则配额。 您可以参见配置IP黑白名单规则拦截/放行指定IP，查看当前IP黑白名单规则配额。 有关各版本规格的详细介绍，请参见服务版本差异。 如果您购买了云模式，当前版本的IP黑白名单防护规则条数不能满足要求时，您可以通过购买规则扩展包或升级云模式版本增加IP黑白名单防护规则条数，以满足的防护配置需求。一个规则扩展包包含10条IP黑白名单防护规则。 有关升级规则的详细操作，请参见升级WAF云模式版本和规格。

约束条件 仅“云模式-CNAME接入”和“独享模式”支持配置Header字段转发。 支持配置Header字段转发的区域，请参考功能总览。 最多支持配置8个Key/Value值。 Value值可以自定义一个字符串，也可以配置为以$开头的变量。以$开头的变量仅支持配置如下字段： $time_local $request_id $connection_requests $tenant_id $project_id $remote_addr $remote_port $scheme $request_method $http_host $origin_uri $request_length $ssl_server_name $ssl_protocol $ssl_curves $ssl_session_reused

为什么需要放行回源IP 网站以“独享模式”成功接入WAF后，所有网站访问请求将先经过独享引擎配置的ELB然后流转到独享引擎实例进行监控，经独享引擎实例过滤后再返回到源站服务器，流量经独享引擎实例返回源站的过程称为回源。在服务器看来，接入WAF后所有源IP都会变成独享引擎实例的回源IP（即独享引擎实例对应的子网IP），以防止源站IP暴露后被黑客直接攻击。 源站服务器上的安全软件很容易认为独享引擎的回源IP是恶意IP，有可能触发屏蔽WAF回源IP的操作。一旦WAF的回源IP被屏蔽，WAF的请求将无法得到源站的正常响应，因此，网站以“独享模式”接入WAF防护后，您需要在源站服务器上设置放行创建的独享引擎实例对应的子网IP，不然可能会出现网站打不开或打开极其缓慢等情况。