华为云用户手册

操作步骤 快速添加网站域名解析 进入公网域名列表页面。 如果您是在华为云注册的域名，请直接进行下一步；如果您是在其他服务商处注册的域名，需单击页面右上角的“创建公网域名”将域名添加至公网域名控制台。 在DNS公网域名列表页中，单击待解析的域名名称。 图2 DNS公网域名列表页面 在解析记录集页面，单击页面右上角的“快速添加解析”。 图3 快速添加解析 在“快速添加解析”弹窗中，选择“网站解析”页签，根据界面提示设置网站解析参数。 解析网站至IP地址 “网站地址”选择“IP地址”，在输入框中填写网站服务器的IP地址。 图4 快速添加网站解析至IP地址 解析网址至另一域名 “网站地址”选择“CNAME域名”，在输入框中对应的域名。 如果使用云速建站，可填写云速建站的CNAME值，具体可通过云速建站控制台查看站点信息获取。 图5 快速添加网站解析至另一域名 单击“确定”，完成网站解析至IP地址/网站域名（CNAME值）的配置。 您可以在域名的记录集列表中查看已添加的网站解析的记录集。当记录集的状态显示为“正常”时，表示记录集添加成功。 域名的记录集包括： 主域名“exampleowner.com”的NS和SOA类型记录集：系统自动创建的记录集，用于标识域名具有最终解释权的主权威DNS服务器和权威DNS服务器。 主域名“exampleowner.com”的A类型/CNAME记录集：用于实现通过“exampleowner.com”访问网站。 子域名“www.exampleowner.com”的A类型/CNAME类型记录集：用于实现通过“www.exampleowner.com”访问网站。 图6 使用IP地址添加的A类型记录集列表 图7 使用CNAME域名添加的CNAME类型记录集列表 修改DNS服务器地址 您的域名使用华为云DNS服务器地址解析才能确保1添加的解析记录生效。 华为云注册域名默认使用华为云DNS服务器地址，无需执行此步骤。 您可以在华为云域名注册控制台查看并确认。非华为云注册域名在华为云做解析时，请务必在原域名注册商处更改域名的DNS服务器。 查看或修改域名DNS服务器地址详细请参见怎样查看并修改域名的DNS服务器地址？ 更改后的DNS服务器地址将于48小时内生效，具体生效时间请以域名注册商处的说明为准。

配置验证 在本地主机单击“搜索”，输入cmd，打开命令窗口。 输入查询命令检查解析是否生效。 A类型解析：nslookup -qt=a 域名 示例：nslookup -qt=a exampleowner.com 回显信息如图8所示，显示的IP地址与设置域名解析的IP地址保持一致，则说明解析已经生效。 图8 使用nslookup检查A类型解析是否生效 CNAME类型解析：nslookup -qt=cname 域名 示例：nslookup -qt=cname exampleowner.com 回显信息如图9所示，显示的CNAME值与设置域名解析的CNAME值一致，则说明解析已经生效。 图9 使用nslookup检查CNAME类型解析是否生效

成本分配 成本管理的基础是树立成本责任制，让各部门、各业务团队、各责任人参与进来，为各自消耗云服务产生的成本负责。企业可以通过成本分配的方式，将云上成本分组，归集到特定的团队或项目业务中，让各责任组织及时了解各自的成本情况。 华为云成本中心支持通过多种不同的方式对成本进行归集和重新分配，您可以根据需要选择合适的分配工具。 通过关联账号进行成本分配 企业主客户可以使用关联账号对子客户的成本进行归集，从而对子账号进行财务管理。详细介绍请参见通过关联账号维度查看成本分配。 使用成本单元进行成本分配 企业可以使用成本中心的“成本单元”来拆分公共成本。公共成本是指多个部门共享的计算、网络、存储或资源包产生的云成本，或无法直接通过企业项目、成本标签分配的云成本。这些成本不能直接归属于单一所有者，因此不能直接归属到某一类别。使用拆分规则，可以在各团队或业务部门之间公平地分配这些成本。详细介绍请参见使用成本单元查看成本分配。

成本优化 成本控制 企业可以在成本中心的“预算管理”页面创建精细粒度的预算来管理成本和使用量，在实际或预测超过预算阈值时，自动发送通知给指定消息接收人。企业还可以创建预算报告，定期将指定预算进展通知给指定消息接收人。 例如企业需要创建一个安全云脑的按需成本预算，每月预算金额为20000元，当预测金额高于预算金额的80%时发送预算告警。那么，创建的预算如下： 图1 预算基本信息 图2 设置成本范围 图3 设置提醒 详细介绍请参见使用预测和预算来跟踪成本和使用量。 资源优化 成本中心可以通过监控安全云脑的历史消费情况和资源使用率，为客户提供安全云脑资源的空闲识别和优化建议，寻找节约成本的机会。 计费模式优化 不同类型的业务对资源使用周期有不同的要求，为每一类业务确定合适的计费模式，灵活组合以达到最优效果。 针对长期稳定的成熟业务，使用包年/包月计费模式。 针对不能中断的短期、突增或不可预测的业务，使用按需计费模式。

配置方法 在流水线首页搜索目标流水线，单击操作列，选择“编辑”，进入“任务编排”页面，搜索并添加“Jenkins任务”。 根据需要配置任务参数，参数说明如下： 参数项 说明 Jenkins实例 连接的Jenkins，Jenkins信息在服务扩展点中配置，如果没有，请单击“新建服务扩展点”。 JobName 调用Jenkins下面的某个任务，如：Api_Guard。 params 具体Jenkins任务的运行参数，调用时通过流水线传递，如：{'serviceVersion':${releaseVersion}}。 异步 配置是否异步执行。 描述 任务描述。

新建策略 单击“新建策略”，进入“新建策略”页面。输入策略名称，选择规则，然后单击“确定”即可生成一条租户级策略。 单个策略中最多可勾选配置20个规则。 在策略中勾选的规则会在界面右侧展示，可以每条规则进行如下操作： 开关：单击规则右上方的开关，可以打开/关闭规则，关闭后，该规则在应用到流水线准出条件中会自动关闭并不做拦截校验。 编辑：单击规则右上方“详情”，可以查看规则详情，继续单击右上方“编辑”，可根据需要修改规则。

租户策略 在项目级策略管理页面，单击页面右上角“租户策略”，打开“租户策略”侧滑框，可以查看、复制或继承租户级策略。 查看：单击操作列，系统将跳转相应租户级策略查看页面。 复制：单击操作列，系统将基于选择的租户级策略打开策略复制页面，编辑完成后单击“保存”，即可完成对租户级策略的复制。 继承：单击操作列，系统将基于选择的租户级策略打开策略继承页面，编辑完成后单击“保存”，即可完成对租户级策略的继承。 通过继承生成的项目级策略，父策略中配置的规则在子策略中不能取消或关闭。

依赖服务的权限设置 如果IAM用户需要在WAF Console控制台拥有相应功能的查看或使用权限，请确认已经对该用户所在的用户组设置了WAF Administrator、WAF FullAccess或WAF ReadOnlyAccess策略的权限，再按照如表1增加依赖服务的角色或策略。 表1 WAF Console中依赖服务的角色或策略 Console控制台功能 依赖服务 需配置角色/策略 安全总览 企业项目管理服务 EPS 需要增加EPS ReadOnlyAccess的系统策略后，才能查看企业项目下总览中数据图表。 购买WAF实例（独享模式） 统一身份认证服务 IAM 网络控制台 VPC 弹性云服务器 ECS 标签管理服务 TMS 如果使用IAM用户购买WAF独享模式，需要为该IAM用户创建统一身份认证服务管理权限。首次购买，需要授予IAM系统角色权限“Security Administrator”；非首次购买，需要授予IAM系统策略权限“IAM ReadOnlyAccess”或授予自定义权限。 需要增加VPC ReadOnlyAccess的系统策略，才能选择虚拟私有云、子网和安全组。 如果您选择的“普通租户类”，需要增加ECS ReadOnlyAccess的系统策略，才能选择ECS规格。 需要增加TMS ReadOnlyAccess的系统策略，才能查看预定义标签。 购买WAF实例（专属云） 云硬盘 EVS 需要增加EVS ReadOnlyAccess的系统策略，获取云硬盘资源的查询权限。 管理独享引擎 网络控制台 VPC 弹性公网IP EIP 弹性负载均衡 ELB 需要增加VPC ReadOnlyAccess的系统策略，才能查询虚拟私有云。 需要增加EIP ReadOnlyAccess的系统策略，才能查询独享引擎实例绑定的EIP。 需要增加ELB ReadOnlyAccess的系统策略，才能查询独享引擎实例绑定的ELB信息。 添加防护网站（ELB模式） 弹性负载均衡 ELB 需要增加ELB Administrator的系统角色，赋予IAM用户弹性负载均衡服务（ELB）管理员的角色，同时需要增加ELB FullAccess、ELB ReadOnlyAccess的权限，才能查询独享引擎实例绑定的ELB信息。 实例组管理 弹性负载均衡 ELB 需要增加ELB ReadOnlyAccess的系统策略，才能查询ELB实例组绑定的ELB信息。 添加防护网站（云模式、独享模式） 云证书管理服务 CCM 需要增加SCM ReadOnlyAccess系统策略，才能查询证书信息。 修改服务器信息 云证书管理服务 CCM 网站设置列表 云证书管理服务 CCM 告警通知 消息通知服务 SMN 需要增加SMN ReadOnlyAccess的系统策略，才能获取消息通知服务的主题群组。 开启全量日志 云日志服务 LTS 需要增加LTS ReadOnlyAccess的系统策略，才能选择在云日志服务中创建的日志组和日志流名称。

功能描述 用户在入会前可通过调用enableTopThreeAudioMode切换为音频最大三方模式。 会中通过调用switchAudioMode(2)将音频切换为订阅模式。订阅模式下，本地用户必须通过主动订阅远端用户音频流，才可接收该用户音频。 会中通过调用switchAudioMode(3)将音频切换为最大三方模式。最大三方模式下，本地用户不需要单独主动订阅某个远端用户音频流，即可接收当前房间内声音最大的三个用户的音频。

实现过程 加入房间前设置音频最大三方模式 入会前调用enableTopThreeAudioMode设置是否开启音频最大三方模式。true表示开启音频最大三方，false表示不开启。 示例代码如下： this.client.enableTopThreeAudioMode(true) 加入房间 参考接口调用流程中加入房间的时序图步骤。 设置音频最大三方音量值 调用setVolume4TopThree接口可以设置音频最大三方模式的音量值，取值范围为[0,100]。 示例代码如下： // volume：音量值 let volume = 50 this.client.setVolume4TopThree(volume) 开启/禁用音频最大三方模式的音轨 调用muteAudio4TopThree接口可以开启/禁用音频最大三方模式的音轨，true表示禁用音频最大三方模式的音轨，false表示开启音频最大三方模式的音轨。 示例代码如下： this.client.muteAudio4TopThree(true) 切换音频订阅模式/音频最大三方模式 调用switchAudioMode可以切换音频模式。 当调用switchAudioMode(2)时，表示当前为音频订阅模式；当调用switchAudioMode(3)时，表示当前为音频最大三方模式。 示例代码如下： this.client.switchAudioMode(2) this.client.switchAudioMode(3)

API参考 createStream isScreenShareSupported setScreenProfile initialize play bindScreenAudio2RelatedStream publish subscribe unpublish stream-added stream-subscribed stream-removed screen-sharing-stopped

修订记录 发布日期 修改说明 2023-11-03 第一百九十二次正式发布。 增加WAF控制台的权限依赖。 2023-10-10 第一百九十一次正式发布。 文档架构调整： 增加：配置示例：添加防护域名 修改： WAF操作指南 配置防护策略 网站设置 防护配置引导 2023-09-13 第一百九十次正式发布。 修改： 开启IPv6防护 开启HTTP2协议 配置WAF到网站服务器的连接超时时间 配置Header字段转发 2023-09-08 第一百八十九次正式发布。 修改授权并关联企业项目。 2023-08-28 第一百八十八次正式发布。 修改步骤二：配置负载均衡。 2023-08-09 第一百八十七次正式发布。 修改WAF支持的端口范围 2023-07-10 第一百八十六次正式发布。 增加步骤五：独享引擎本地验证。 修改： 开启全量日志 云审计服务支持的WAF操作列表 2023-06-30 第一百八十五次正式发布。 增加： 配置安全报告 修改： 配置攻击惩罚的流量标识 配置精准访问防护规则定制化防护策略 配置CC攻击防护规则防御CC攻击 配置全局白名单（原误报屏蔽）规则对误报进行忽略 购买WAF云模式 变更WAF云模式版本和规格 QPS扩展包说明 查看防护日志 配置内容安全检测 2023-06-09 第一百八十四次正式发布。 修改： 升级独享引擎实例版本 2023-06-01 第一百八十三次正式发布。 修改： 步骤一：添加防护域名（云模式） 步骤四：修改域名DNS解析设置 更新证书 查看独享引擎实例信息 2023-05-23 第一百八十二次正式发布。 修改： 购买WAF云模式 配置内容安全检测 2023-04-30 第一百八十一次正式发布。 新增： 批量跨企业项目迁移域名 配置Header字段转发 配置内容安全检测 修改： 购买WAF云模式 购买WAF独享模式 变更WAF云模式版本和规格 WAF支持的端口范围 步骤一：添加防护网站（独享模式） 配置PCI DSS/3DS合规与TLS 配置Web基础防护规则防御常见Web攻击 配置网站反爬虫防护规则防御爬虫攻击 配置防敏感信息泄露规则避免敏感信息泄露 配置网页防篡改规则避免静态网页被篡改 管理独享引擎 2023-04-20 第一百八十次正式发布。 修改： 步骤二：配置负载均衡 步骤一：添加防护网站（独享模式） 2023-04-14 第一百七十九次正式发布。 修改： 配置WAF到网站服务器的连接超时时间 2023-04-07 第一百七十八次正式发布。 修改配置攻击惩罚的流量标识章节。 2023-03-16 第一百七十七次正式发布。 修改： 配置网站反爬虫防护规则防御爬虫攻击 管理独享引擎 2023-03-13 第一百七十六次正式发布。 修改管理独享引擎，增加了独享引擎的版本迭代。 2023-03-09 第一百七十五次正式发布。 修改WAF监控指标说明章节。 2023-03-07 第一百七十四次正式发布。 修改步骤二：放行WAF回源IP章节。 2023-03-03 第一百七十三次正式发布。 新增： 共享企业项目证书 新版Console上线，资料全文进行了适配： 购买WAF云模式 步骤一：添加防护域名（云模式） 查看基本信息 查看证书信息 管理独享引擎 安全总览 管理防护事件 2023-02-22 第一百七十二次正式发布。 修改以下 章节： QPS扩展包说明 购买WAF云模式 安全总览 2023-02-16 第一百七十一次正式发布。 修改步骤一：添加防护网站（独享模式）章节。 2023-01-31 第一百七十次正式发布。 修改步骤二：配置负载均衡章节。 2023-01-17 第一百六十九次正式发布。 修改配置示例-拦截字段为空值的请求章节。 2023-01-12 第一百六十八次正式发布。 增加导出网站设置列表章节。 2022-12-07 第一百六十七次正式发布。 修改步骤一：（可选）新增防护策略：增加“复制策略”。 2022-11-22 第一百六十六次正式发布。 修改配置精准访问防护规则定制化防护策略。 2022-11-18 第一百六十五次正式发布。 修改配置Web基础防护规则防御常见Web攻击：增加相关说明。 2022-11-15 第一百六十四次正式发布。 增加 配置威胁情报访问控制拦截/放行指定目标IP库平台内的来源IP 配置CC攻击防护规则防御CC攻击 查看防护网站的云监控信息 修改 配置攻击惩罚的流量标识：增加相关描述。 查看基本信息：增加参数描述。 删除防护域名 2022-11-11 第一百六十三次正式发布。 修改变更WAF云模式版本和规格章节。 2022-11-07 第一百六十二次正式发布。 修改如下章节： 安全总览：补充URL字段。 2022-10-25 第一百六十一次正式发布。 修改如下章节： 步骤一：添加防护域名（云模式） 步骤二：放行WAF回源IP 2022-10-08 第一百六十次正式发布。 修改购买WAF独享模式：修改约束条件。 2022-09-07 第一百五十八次正式发布。 修改WAF支持的端口范围章节。 2022-09-05 第一百五十七次正式发布。 修改以下章节： 步骤一：添加防护域名（云模式）：界面词条变化，资料同步修改， 步骤一：添加防护网站（独享模式）：界面词条变化，资料同步修改， 2022-08-24 第一百五十六次正式发布。 修改开启告警通知：告警通知改版。 2022-08-23 第一百五十五次正式发布。 修改以下章节： 查看防护日志：防护事件页面改版，资料随Console更新。 处理误报事件：增加“添加至地址组”和“添加至黑白名单”两个功能。 2022-08-19 第一百五十四次正式发布。 修改购买WAF独享模式：WAF实例创建类别下线“普通租户类”。 2022-08-16 第一百五十三次正式发布。 修改以下章节： 云审计服务支持的WAF操作列表：修改参数描述。 步骤二：配置负载均衡：增加了将WAF实例添加到ELB的操作步骤。 2022-08-03 第一百五十二次正式发布。 修改如下章节： 购买WAF云模式：增加新版WAF的操作方法。 购买WAF独享模式：增加新版WAF的操作方法。 步骤一：添加防护域名（云模式）：增加新版WAF的操作方法。 步骤一：添加防护网站（独享模式）：增加新版WAF的操作方法。 基本信息维护：增加新版WAF的操作方法。 步骤二：为策略配置防护规则：增加新版WAF的操作方法。 管理独享引擎：增加了将WAF实例添加到ELB的操作步骤。 WAF监控指标说明：修改了相关说明。 2022-07-21 第一百五十一次正式发布。 修改配置Web基础防护规则防御常见Web攻击：增加了应用类型和防护类型。 2022-07-18 第一百五十次正式发布。 修改配置全局白名单（原误报屏蔽）规则对误报进行忽略：优化参数描述。 2022-07-06 第一百四十九次正式发布。 修改如下章节： 配置CC攻击防护规则防御CC攻击：支持“全局计数”。 步骤一：添加防护域名（云模式） 开启IPv6防护 步骤一：添加防护网站（独享模式） 2022-07-04 第一百四十八次正式发布。 全局白名单功能上线，修改如下章节： 配置全局白名单（原误报屏蔽）规则对误报进行忽略 处理误报事件 （可选）批量添加防护规则 2022-06-27 第一百四十七次正式发布。 修改如下章节： 购买WAF云模式：购买界面更新了截图。 配置Web基础防护规则防御常见Web攻击：支持开启“Shiro解密检测”。 2022-06-22 第一百四十六次正式发布。 修改如下章节： 配置CC攻击防护规则防御CC攻击：根据界面变更刷新文档。 配置地理位置访问控制规则拦截/放行特定区域请求：修改描述。 2022-06-09 第一百四十五次正式发布。 修改如下章节： 配置WAF到网站服务器的连接超时时间：修改描述。 WAF支持的端口范围：增加新的端口。 2022-06-06 第一百四十四次正式发布。 修改如下章节： 步骤一：添加防护域名（云模式）：增加是否是使用代理的约束条件。 步骤四：修改域名DNS解析设置：修改描述。 2022-05-30 第一百四十三次正式发布。 增加WAF支持的端口范围章节。 修改配置地理位置访问控制规则拦截/放行特定区域请求章节。 2022-05-26 第一百四十二次正式发布。 修改如下章节： 购买WAF云模式：更新图片。 配置Web基础防护规则防御常见Web攻击：“检测版”更名为“入门版”，且“入门版”支持“拦截”模式。 配置全局白名单（原误报屏蔽）规则对误报进行忽略：支持修改误报屏蔽规则。 （可选）批量添加防护规则：“相关操作”中增加了批量修改、批量删除、批量关闭的操作。 安全总览：修改参数说明。 配置WAF到网站服务器的连接超时时间：增加区域限制。 开启连接保护：增加区域限制。 修改负载均衡算法：增加区域限制。 2022-05-13 第一百四十一次正式发布。 修改如下章节： 购买WAF：调整架构，将跟购买WAF相关的章节入放在一个目录下。 步骤一：添加防护域名（云模式）：导入新证书独立Section。 2022-05-06 第一百四十次正式发布。 修改如下章节： 配置全局白名单（原误报屏蔽）规则对误报进行忽略 2022-05-05 第一百三十九次正式发布。 修改查看证书信息，增加约束条件。 2022-04-27 第一百三十八次正式发布。 增加配置智能访问控制规则精准智能防御CC攻击章节。 2022-04-24 第一百三十七次正式发布。 增加如下章节： 开启连接保护 修改负载均衡算法 修改如下章节： 步骤一：添加防护域名（云模式） 修改负载均衡算法 2022-04-19 第一百三十六次正式发布。 增加如下章节： 开启IPv6防护 开启HTTP2协议 配置WAF到网站服务器的连接超时时间 修改如下章节： 步骤一：添加防护域名（云模式） 步骤一：添加防护网站（独享模式） 查看基本信息 WAF监控指标说明 2022-04-12 第一百三十五次正式发布。 WAF监控指标说明，根据规范修改了相关描述。 2022-04-07 第一百三十四次正式发布。 配置网站反爬虫防护规则防御爬虫攻击，增加了约束条件。 步骤二：配置负载均衡，增加了前提条件。 2022-03-29 第一百三十三次正式发布。 WAF操作指南，增加了网站业务梳理章节。 WAF监控指标说明，修改了包速率的单位。 切换工作模式，增加了Bypass模式的相关说明。 2022-03-25 第一百三十二次正式发布。 管理证书，更新界面截图和内容描述。 2022-03-22 第一百三十一次正式发布。 优化步骤一：添加防护网站（独享模式）章节。 2022-03-17 第一百三十次正式发布。 修改防护配置引导章节。 2022-02-22 第一百二十九次正式发布。 购买WAF独享模式，修改相关描述。 2022-02-11 第一百二十八次正式发布。 配置网页防篡改规则避免静态网页被篡改，修改相关描述。 2022-02-10 第一百二十七次正式发布。 购买WAF独享模式，优化内容描述。 2022-01-30 第一百二十六次正式发布。 配置Web基础防护规则防御常见Web攻击，优化内容描述。 2022-01-24 第一百二十五次正式发布。 防护配置引导，优化内容描述。 2022-01-06 第一百二十四次正式发布。 管理独享引擎，更新界面截图和内容描述。 2021-12-30 第一百二十三次正式发布。 新增“监控”章节。 2021-12-20 第一百二十二次正式发布。 添加黑白名单IP地址组，优化内容描述。 配置IP黑白名单规则拦截/放行指定IP，优化内容描述。 2021-12-10 第一百二十一次正式发布。 配置地理位置访问控制规则拦截/放行特定区域请求，新增新版配置规则内容描述。 2021-11-24 第一百二十次正式发布。 “配置防护规则”章节，新增配置示例。 2021-11-17 第一百一十九次正式发布。 配置Web基础防护规则防御常见Web攻击，新增防护示例。 配置CC攻击防护规则防御CC攻击，新增防护示例。 2021-11-08 第一百一十八次正式发布。 “开通WAF”章节，更新界面截图以及内容描述。 2021-11-04 第一百一十七次正式发布。 QPS扩展包说明，修改规格描述。 2021-10-25 第一百一十六次正式发布。 新增“管理黑白名单IP地址组”章节。 “管理证书”章节，更新界面截图以及相关内容描述。 配置IP黑白名单规则拦截/放行指定IP，更新界面截图以及相关内容描述。 2021-10-22 第一百一十五次正式发布。 查看防护日志，优化内容描述。 配置精准访问防护规则定制化防护策略，补充配置示例说明。 2021-10-12 第一百一十四次正式发布。 配置Web基础防护规则防御常见Web攻击，增加防护效果示例。 WAF权限及授权项，更新授权项。 2021-09-27 第一百一十三次正式发布。 步骤一：添加防护域名（云模式），更新界面截图。 步骤一：添加防护网站（独享模式），更新界面截图。 2021-09-15 第一百一十二次正式发布。 步骤一：添加防护域名（云模式），优化内容描述。 2021-08-31 第一百一十一次正式发布。 步骤一：添加防护域名（云模式），优化内容描述。 2021-08-20 第一百一十次正式发布。 安全总览，优化内容描述。 2021-08-12 第一百零九次正式发布。 步骤一：添加防护域名（云模式），优化内容描述。 2021-08-06 第一百零八次正式发布。 云模式服务版本名称变更：原专业版变更为标准版、原企业版变更为专业版、原旗舰版变更为铂金版。 2021-08-03 第一百零七次正式发布。 购买WAF独享模式，优化内容描述。 2021-07-19 第一百零六次正式发布。 更新管理控制台入口描述。 2021-07-14 第一百零五次正式发布。 上传证书，补充SCM证书推送约束限制说明。 2021-07-08 第一百零四次正式发布。 变更WAF云模式版本和规格，优化内容描述。 配置精准访问防护规则定制化防护策略，补充约束限制说明。 2021-06-30 第一百零三次正式发布。 新增步骤四：放行独享引擎回源IP。 2021-06-23 第一百零二次正式发布。 配置IP黑白名单规则拦截/放行指定IP，优化约束限制内容描述。 2021-06-16 第一百零一次正式发布。 步骤一：添加防护网站（独享模式），优化内容描述。 2021-06-08 第一百次正式发布。 更新证书，优化内容描述。 2021-05-27 第九十九次正式发布。 步骤一：添加防护域名（云模式），优化内容描述。 2021-05-24 第九十八次正式发布。 步骤一：添加防护域名（云模式），优化内容描述。 2021-05-18 第九十七次正式发布。 配置IP黑白名单规则拦截/放行指定IP，优化内容描述。 2021-05-12 第九十六次正式发布。 新增网站接入流程（云模式）。 新增网站接入流程（独享模式）。 2021-04-30 第九十五次正式发布。 新增规则扩展包说明。 安全总览，更新界面截图。 购买WAF云模式，更新界面截图和内容描述。 2021-04-15 第九十四次正式发布。 步骤三：本地验证，优化内容描述。 配置网站反爬虫防护规则防御爬虫攻击，优化检测项说明。 2021-04-07 第九十三次正式发布。 步骤一：添加防护域名（云模式），优化约束限制描述。 步骤一：添加防护网站（独享模式），优化约束限制描述。 2021-03-11 第九十二次正式发布。 管理独享引擎，补充独享引擎升级注意事项。 新增查看产品信息。 2021-02-25 第九十次正式发布。 新增授权并关联企业项目。 配置Web基础防护规则防御常见Web攻击，新增header全检测功能描述。 WAF权限及授权项，更新授权项。 2021-02-09 第八十九次正式发布。 配置网站反爬虫防护规则防御爬虫攻击，新增JS脚本反爬虫检测机制内容描述。 2021-02-02 第八十八次正式发布。 开启全量日志，优化内容描述。 2021-01-29 第八十七次正式发布。 步骤一：添加防护域名（云模式），优化内容描述。 配置CC攻击防护规则防御CC攻击，更新界面截图。 2021-01-07 第八十五次正式发布。 购买WAF独享模式，优化内容描述。 2020-12-31 第八十四次正式发布。 配置Web基础防护规则防御常见Web攻击，更新界面截图以及相关内容描述。 配置网站反爬虫防护规则防御爬虫攻击，更新界面截图以及相关内容描述。 安全总览，更新界面截图以及相关内容描述。 2020-12-25 第八十三次正式发布。 下载防护事件数据，新增防护数据文件字段说明。 2020-12-16 第八十二次正式发布。 购买WAF云模式，更新界面截图以及相关内容描述。 购买WAF独享模式，更新界面截图以及相关内容描述。 2020-12-11 第八十一次正式发布。 删除云模式按需计费相关描述。 2020-11-18 第八十次正式发布。 处理误报事件，优化内容描述。 管理独享引擎，优化内容描述。 2020-11-09 第七十九次正式发布。 配置CC攻击防护规则防御CC攻击，优化内容描述。 配置精准访问防护规则定制化防护策略，优化内容描述。 2020-10-28 第七十八次正式发布。 删除产品专家服务相关内容描述。 2020-10-22 第七十七次正式发布。 配置PCI DSS/3DS合规与TLS，优化内容描述。 更新证书，更新界面截图。 配置CC攻击防护规则防御CC攻击，优化内容描述。 创建引用表对防护指标进行批量配置，优化内容描述。 2020-09-23 第七十六次正式发布。 云审计服务支持的WAF操作列表，优化内容描述。 查看云审计日志，优化内容描述。 配置CC攻击防护规则防御CC攻击，优化高级模式使用限制说明。 2020-09-11 第七十五次正式发布。 购买WAF云模式，补充云模式按需计费购买操作步骤。 “配置防护规则”章节，补充云模式按需计费相关说明。 2020-08-27 第七十四次正式发布。 配置PCI DSS/3DS合规与TLS，补充开启安全合规相关内容描述。 2020-08-25 第七十三次正式发布。 新增配置攻击惩罚的流量标识。 新增配置攻击惩罚标准自动封禁访问者指定时长。 配置Web基础防护规则防御常见Web攻击、配置精准访问防护规则定制化防护策略、配置IP黑白名单规则拦截/放行指定IP，补充攻击惩罚相关内容描述。 2020-08-19 第七十二次正式发布。 开启全量日志，补充日志字段参数说明。 2020-08-12 第七十一次正式发布。 新增“管理证书”章节。 步骤一：添加防护域名（云模式），更新证书内容描述。 2020-08-06 第七十次正式发布。 配置Web基础防护规则防御常见Web攻击，补充防护规则相关内容描述。 2020-07-20 第六十九次正式发布。 配置CC攻击防护规则防御CC攻击，补充操作限制内容描述。 管理独享引擎，更新界面截图。 2020-07-16 第六十八次正式发布。 处理误报事件，补充操作限制内容描述。 2020-07-08 第六十七次正式发布。 新增“网站接入（独享模式）”章节。 新增管理独享引擎。 “入门教程”章节，更新独享模式相关内容描述。 “网站接入（云模式）”章节，更新界面截图以及相关内容描述。 “配置防护规则”章节，更新独享模式相关内容描述。 “管理防护事件”章节，更新界面截图。 配置PCI DSS/3DS合规与TLS，补充加密套件4相关内容描述。 2020-06-24 第六十六次正式发布。 购买WAF云模式，补充入门版相关内容说明。 “配置防护规则”章节，补充入门版支持功能说明。 “策略管理”章节，补充入门版支持功能说明。 2020-06-22 第六十五次正式发布。 新增WAF自定义策略和WAF权限及授权项。 2020-06-18 第六十四次正式发布。 步骤一：添加防护域名（云模式），修改证书格式转化内容。 开启全量日志，新增日志字段说明。 2020-06-16 第六十三次正式发布。 更新证书，优化内容描述。 2020-06-11 第六十二次正式发布。 配置网站反爬虫防护规则防御爬虫攻击，更新界面截图。 2020-05-09 第六十一次正式发布。 配置PCI DSS/3DS合规与TLS，新增加密套件兼容性说明。 配置网页防篡改规则避免静态网页被篡改，优化路径参数描述。 2020-04-28 第六十次正式发布。 新增开启全量日志。 配置PCI DSS/3DS合规与TLS，优化相关内容描述。 “管理防护事件”章节，更新界面截图。 2020-03-31 第五十九次正式发布。 更新界面截图。 2020-03-12 第五十八次正式发布。 创建用户组并授权使用WAF，修改引用链接。 2020-02-27 第五十七次正式发布。 新增配置PCI DSS/3DS合规与TLS。 安全总览，刷新界面截图并修改参数描述。 配置全局白名单（原误报屏蔽）规则对误报进行忽略，刷新截图并优化内容描述。 处理误报事件，刷新截图并优化内容描述。 2020-02-18 第五十六次正式发布。 开启告警通知，修改内容描述并新增告警通知示例。 2020-01-20 第五十五次正式发布。 创建用户组并授权使用WAF，优化内容描述。 2020-01-02 第五十四次正式发布。 创建用户组并授权使用WAF，优化内容描述。 查看云审计日志，优化内容描述。 2019-12-26 第五十三次正式发布。 步骤一：添加防护域名（云模式），优化内容描述。 2019-12-24 第五十二次正式发布。 购买WAF云模式，优化内容描述。 变更WAF云模式版本和规格，优化内容描述。 域名扩展包说明，优化内容描述。 开启告警通知，优化内容描述。 2019-12-16 第五十一次正式发布。 操作入口连环图更新。 2019-12-13 第五十次正式发布。 创建用户组并授权使用WAF，优化内容描述。 2019-12-09 第四十九次正式发布。 步骤一：添加防护域名（云模式），优化内容描述。 域名扩展包说明，优化内容描述。 创建引用表对防护指标进行批量配置，优化内容描述。 步骤一：（可选）新增防护策略，优化内容描述。 步骤三：添加策略适用的防护域名，优化内容描述。 2019-11-28 第四十八次正式发布。 步骤一：添加防护域名（云模式），优化内容描述。 2019-11-12 第四十七次正式发布。 新增查看防护日志。 2019-11-07 第四十六次正式发布。 新增修改拦截返回页面。 查看基本信息，优化内容描述。 配置CC攻击防护规则防御CC攻击，优化内容描述。 创建引用表对防护指标进行批量配置，优化内容描述。 2019-11-05 第四十五次正式发布。 步骤一：添加防护域名（云模式），优化内容描述。 修改服务器配置信息，优化内容描述。 配置精准访问防护规则定制化防护策略，优化内容描述。 配置IP黑白名单规则拦截/放行指定IP，优化内容描述。 2019-10-17 第四十四次正式发布。 步骤一：添加防护域名（云模式），优化内容描述。 步骤四：修改域名DNS解析设置，优化内容描述。 修改服务器配置信息，优化内容描述。 更新证书，优化内容描述。 配置Web基础防护规则防御常见Web攻击，优化内容描述。 2019-10-14 第四十三次正式发布。 步骤一：添加防护域名（云模式），优化内容描述。 修改服务器配置信息，优化内容描述。 更新证书，优化内容描述。 配置Web基础防护规则防御常见Web攻击，优化内容描述。 配置CC攻击防护规则防御CC攻击，优化内容描述。 配置IP黑白名单规则拦截/放行指定IP，优化内容描述。 2019-10-11 第四十二次正式发布。 修改“配置防护规则”章节，增加了“规则状态”和“仅记录”模式。 修改“策略管理”章节，增加了“规则状态”。 2019-09-25 第四十一次正式发布。 购买WAF云模式，增加了qps提示。 处理误报事件，增加备注信息。 2019-09-06 第四十次正式发布。 更新证书，优化内容描述。 配置Web基础防护规则防御常见Web攻击，优化内容描述。 2019-09-04 第三十九次正式发布。 步骤四：修改域名DNS解析设置，优化内容描述。 2019-08-28 第三十八次正式发布。 配置CC攻击防护规则防御CC攻击，优化防护效果。 配置精准访问防护规则定制化防护策略，优化防护效果。 2019-08-20 第三十七次正式发布。 文档优化：使用连环图。 2019-08-15 第三十六次正式发布。 步骤一：添加防护域名（云模式），增加TXT记录的配置说明。 步骤四：修改域名DNS解析设置，增加TXT记录的配置说明章节。 下载防护事件数据，增加了相关说明。 2019-08-08 第三十五次正式发布。 购买WAF云模式，优化内容描述。 修改“配置防护规则”章节，自定义规则里添加了“规则描述”参数。 2019-08-02 第三十四次正式发布。 修改创建用户组并授权使用WAF，优化内容描述。 2019-07-02 第三十三次正式发布。 步骤一：添加防护域名（云模式），优化内容描述。 步骤四：修改域名DNS解析设置，优化内容描述。 2019-06-18 第三十二次正式发布。 步骤一：添加防护域名（云模式），优化内容描述。 配置IP黑白名单规则拦截/放行指定IP，优化内容描述。 2019-06-06 第三十一次正式发布。 步骤一：添加防护域名（云模式），增加配置示例。 处理误报事件，优化内容描述。 2019-05-30 第三十次正式发布。 步骤一：添加防护域名（云模式），优化内容描述。 步骤四：修改域名DNS解析设置，优化内容描述。 2019-05-16 第二十九次正式发布。 新增创建用户组并授权使用WAF。 2019-05-14 第二十八次正式发布。 更新证书，优化内容描述。 2019-05-05 第二十七次正式发布。 修改服务器配置信息，优化内容描述。 2019-04-25 第二十六次正式发布。 查看基本信息，增加了“最低TLS版本”说明。 步骤三：本地验证，优化内容描述 。 步骤一：添加防护域名（云模式），增加了本地验证的说明。 步骤四：修改域名DNS解析设置，增加了本地验证的说明。 配置精准访问防护规则定制化防护策略，增加了3个字段。 2019-03-30 第二十五次正式发布。 查看基本信息，增加了域名列表参数说明。 2019-01-03 第二十四次正式发布。 调整文档布局。 2018-12-05 第二十三次正式发布。 开启告警通知，优化内容描述。 2018-11-15 第二十二次正式发布。 修改“配置防护规则”章节，修改了截图和相关描述。 步骤四：修改域名DNS解析设置，优化内容描述。 开启告警通知，优化内容描述。 2018-11-08 第二十一次正式发布。 设置短描述和关键字。 2018-10-29 第二十次正式发布。 步骤一：添加防护域名（云模式），优化内容描述。 2018-10-16 第十九次正式发布。 步骤一：（可选）新增防护策略，优化内容描述。 （可选）批量添加防护规则，优化内容描述。 步骤三：添加策略适用的防护域名，优化内容描述。 2018-08-09 第十八次发布。 新增步骤四：修改域名DNS解析设置。 新增创建引用表对防护指标进行批量配置。 处理误报事件，优化内容描述。 2018-08-02 第十七次发布。 新增下载防护事件数据。 查看基本信息，优化内容描述。 处理误报事件，优化内容描述。 查看防护日志，优化内容描述。 开启告警通知，优化内容描述。 2018-07-19 第十六次发布。 线路设置，优化内容描述。 查看基本信息，优化内容描述。 处理误报事件，优化内容描述。 根据界面变化修改了截图。 2018-07-05 第十五次发布。 配置Web基础防护规则防御常见Web攻击，优化内容描述。 配置CC攻击防护规则防御CC攻击，优化内容描述。 配置精准访问防护规则定制化防护策略，优化内容描述。 配置IP黑白名单规则拦截/放行指定IP，优化内容描述。 配置地理位置访问控制规则拦截/放行特定区域请求，优化内容描述。 配置网页防篡改规则避免静态网页被篡改，优化内容描述。 配置网站反爬虫防护规则防御爬虫攻击，优化内容描述。 配置防敏感信息泄露规则避免敏感信息泄露，优化内容描述。 配置全局白名单（原误报屏蔽）规则对误报进行忽略，优化内容描述。 配置隐私屏蔽规则防隐私信息泄露，优化内容描述。 （可选）批量添加防护规则，优化内容描述。 2018-06-14 第十四次发布。 步骤一：添加防护域名（云模式），优化内容描述。 删除防护域名，优化内容描述。 根据界面变化修改了截图。 2018-06-07 第十三次发布。 配置CC攻击防护规则防御CC攻击，优化内容描述。 2018-05-31 第十二次正式发布。 配置Web基础防护规则防御常见Web攻击，优化内容描述。 配置精准访问防护规则定制化防护策略，优化内容描述。 2018-05-17 第十一次正式发布。 修改步骤一：添加防护域名（云模式），优化内容描述。 2018-04-26 第十次正式发布。 新增云审计服务支持的WAF操作列表。 步骤一：添加防护域名（云模式），优化内容描述。 配置Web基础防护规则防御常见Web攻击，优化内容描述。 2018-04-12 第九次正式发布。 新增配置防敏感信息泄露规则避免敏感信息泄露。 步骤一：添加防护域名（云模式），优化内容描述。 2018-04-02 第八次正式发布。 步骤一：添加防护域名（云模式），优化内容描述。 根据界面变化更新了界面描述和截图。 2018-03-31 第七次正式发布。 步骤一：添加防护域名（云模式），优化内容描述。 配置网站反爬虫防护规则防御爬虫攻击，优化内容描述。 根据界面变化更新了界面描述和截图。 2018-03-27 第六次正式发布。 新增线路设置。 步骤一：添加防护域名（云模式），增加非标准端口描述。 删除防护域名，优化内容描述。 查看基本信息，优化内容描述。 配置精准访问防护规则定制化防护策略，支持自定义设置规则生效时间段。 根据界面变化更新了界面描述和截图。 2018-03-02 第五次正式发布。 新增配置隐私屏蔽规则防隐私信息泄露。 步骤一：添加防护域名（云模式），增加“HTTP&HTTPS”协议类型。 查看基本信息，优化内容描述。 配置Web基础防护规则防御常见Web攻击，增加高级设置内容描述。 配置CC攻击防护规则防御CC攻击，增加阻断时长相关内容描述。 删除“配置扫描器爬虫防护规则”章节。 2018-02-01 第四次正式发布。 新增配置地理位置访问控制规则拦截/放行特定区域请求。 新增配置网页防篡改规则避免静态网页被篡改。 新增配置网站反爬虫防护规则防御爬虫攻击。 修改“配置白名单规则”章节和“配置黑名单规则”章节为“配置黑白名单规则”章节。 删除“设置防护动作”章节。 删除“配置基础防护”章节。 删除“配置隐私屏蔽规则”章节。 删除“配置CSRF防护规则”章节。 2018-01-16 第三次正式发布。 新增查看基本信息。 修改步骤一：添加防护域名（云模式）： 支持泛域名。 “源站IP”的配置修改为“服务器配置”。 删除“源站IP”章节。 2018-01-11 第二次正式发布。 新增步骤一：添加防护域名（云模式）。 新增配置Web基础防护规则防御常见Web攻击。 新增处理误报事件。 删除“查看WAF实例”章节。 根据界面变化优化描述及截图。 2017-10-30 第一次正式发布。

什么是条件字段 条件字段指需要WAF检测的请求特征。您在设置CC攻击防护规则、精准访问防护规则或误报屏蔽规则全局白名单（原误报屏蔽）规则时，通过定义条件字段，指定要检测的请求特征。如果某个请求满足规则中设置的条件，则该请求命中对应规则；WAF会依据规则中设置的规则动作，对请求执行相应处置（例如，放行、拦截、仅记录等）。 图1 条件字段 条件字段由字段、逻辑、和内容组成。配置示例如下： 示例1：“字段”为“路径”、“逻辑”为“包含”、内容为“/admin”，表示被请求的路径包含“/admin”时，则请求命中该规则。 示例2：“字段”为“IP”、“逻辑”为“等于”、内容为“192.XX.XX.3”，表示当发起连接的客户端IP为192.XX.XX.3时，则请求命中该规则。

约束条件 如果您在SCM管理控制台购买证书并成功推送到WAF，该证书将直接添加到“证书管理”页面的证书列表中，且该证书会统计到创建的证书套数中。有关SCM证书推送到WAF的详细操作，请参见推送证书到云产品。 目前华为云SCM证书只能推送到“default”企业项目下。如果您使用其他企业项目，则不能使用SCM推送的SSL证书。 添加防护网站或更新证书时导入的新证书，将直接添加到“证书管理”页面的证书列表中，且导入的新证书会统计到创建的证书套数中。

应用场景 开启防护：开启防护模式后，WAF会根据您配置的策略进行攻击检测。 暂停防护：如果大量的正常业务被拦截，比如大量返回418返回码，可以将“工作模式”切换为“暂停防护”。该模式下，WAF对所有的流量请求只转发不检测，日志也不会记录。该模式存在风险，建议您优先选择全局白名单（原误报屏蔽）规则处理正常业务拦截问题。 Bypass：该域名的请求直接到达其后端服务器，不再经过WAF，此时需要先放通源站业务的安全策略端口，才能保证模式切换后，业务运行正常。只有出现以下情况，才能将“工作模式”切换为“Bypass”： 当有测试等特殊场景，需要将业务恢复到没有接入WAF的状态，可以通过Bypass功能切换。 排查网站异常，例如报502、504或其他不兼容等问题。 在Web应用防火墙前面未使用代理。

WAF访问日志access_log字段说明 字段 类型 字段说明 描述 access_log.requestid string 随机ID标识 与攻击日志的“req_id” 字段末尾8个字符一致。 access_log.time string 访问请求的时间 日志内容记录的GMT时间。 access_log.connection_requests string 标识该长链接第几个请求 - access_log.eng_ip string WAF引擎IP - access_log.pid string 标识处理该请求的引擎 引擎（worker PID）。 access_log.hostid string 访问请求的域名标识 防护域名ID(upstream_id)。 access_log.tenantid string 防护域名的租户ID 一个华为账号对应一个租户ID。 access_log.projectid string 防护域名的项目ID 用户在对应区域下的项目ID。 access_log.remote_ip string 标识请求的四层远端 IP 请求的客户端IP。 须知： 如果在WAF前部署了7层代理，本字段表示最靠近WAF的代理节点的IP地址。此时，真实访问者IP参考“x-forwarded-for”，“x_real_ip”字段。 access_log.remote_port string 标识请求的四层远端端口号 请求的客户端端口号。 access_log.sip string 标识请求的客户端 IP 如，XFF等。 access_log.scheme string 请求协议类型 请求所使用的协议有： http https access_log.response_code string 请求响应码 源站返回给WAF的响应状态码。 access_log.method string 请求方法 请求行中的请求类型。通常为“GET”或“POST”。 access_log.http_host string 请求的服务器域名 浏览器的地址栏中输入的地址，域名或IP地址。 access_log.url string 请求URL URL链接中的路径（不包含域名）。 access_log.request_length string 请求的长度 包括请求地址、HTTP请求头和请求体的字节数。 access_log.bytes_send string 发送给客户端的总字节数 WAF返回给客户端的总字节数。 access_log.body_bytes_sent string 发送给客户端的响应体字节数 WAF返回给客户端的响应体字节数。 access_log.upstream_addr string 选择的后端服务器地址 请求所对应的源站IP。例如，WAF回源到ECS，则返回源站ECS的IP。 access_log.request_time string 标识请求处理时间 从读取客户端的第一个字节开始计时（单位：s）。 access_log.upstream_response_time string 标识后端服务器响应时间 后端服务器响应WAF请求的时间（单位：s）。 access_log.upstream_status string 标识后端服务器的响应码 后端服务器返回给WAF的响应状态码。 access_log.upstream_connect_time string 后端服务器连接用时 源站与后端服务建立连接的时间。如果后端服务使用了加密协议，该参数包括握手的时间（单位：s）。 access_log.upstream_header_time string 后端服务器接收到第一个响应头字节的用时 - access_log.bind_ip string WAF引擎回源IP WAF引擎所使用的回源IP。 access_log.group_id string 对接LTS服务的日志组ID WAF对接云日志服务日志组ID。 access_log.access_stream_id string 日志流ID 与“group_id”相关，是日志组下用户的access_stream的ID。 access_log.engine_id string WAF引擎标识 WAF引擎的唯一标识。 access_log.time_iso8601 string 日志的ISO 8601格式时间 - access_log.sni string 通过SNI请求的域名 - access_log.tls_version string 建立SSL连接的协议版本 请求所使用的TLS协议版本。 access_log.ssl_curves string 客户端支持的曲线列表 - access_log.ssl_session_reused string SSL会话是否被重用。 表示SSL会话是否被重用。 r：是 .：否 access_log.process_time string 引擎的检测用时（单位：ms） - access_log.args string 标识URL中的参数数据 - access_log.x_forwarded_for string 当WAF前部署代理时，代理节点IP链 代理节点IP链，为1个或多个IP组成的字符串。 最左边为最原始客户端的IP地址，代理服务器每成功收到一个请求，就将请求来源IP地址添加到右边。 access_log.cdn_src_ip string 当WAF前部署CDN时CDN识别到的客户端IP 当WAF前部署CDN时，此字段记录的为CDN节点识别到的真实客户端IP。 须知： 部分CDN厂商可能使用其他字段，WAF仅记录最常见的字段。 access_log.x_real_ip string 当WAF前部署代理时，真实的客户端IP 代理节点识别到的真实客户端IP。 access_log.intel_crawler string 用于情报反爬虫分析 - access_log.ssl_ciphers_md5 string 标识ssl_ciphers的md5值 - access_log.ssl_cipher string 标识使用的ssl_cipher - access_log.web_tag string 标识网站名称 - access_log.user_agent string 标识请求header中的user-agent - access_log.upstream_response_length string 标识后端响应的大小 - access_log.region_id string 标识请求所属Region - access_log.enterprise_project_id string 标识请求域名所属企业项目ID - access_log.referer string 标识请求头中的Referer内容 最大长度为128字符，大于128字符会被截断。 access_log.rule string 标识请求命中的规则 命中多条规则此处也只会显示一条。

（可选）单独验证独享WAF是否正常工作 创建一台与独享WAF实例在同一VPC下的ECS用于发送请求。 通过1中创建的ECS向独享WAF发送请求。 转发测试 curl -kv -H "Host: {添加到WAF的防护对象}" {服务器配置中的对外协议}://{独享WAF的IP}:{防护对象端口} 例如： curl -kv -H "Host: a.example.com" http://192.168.0.1 返回码为 200 则说明转发成功。如果转发未成功，请参见如何排查404/502/504错误？进行排查。 攻击拦截测试。 确保网站对应策略已开启基础防护的拦截模式。 执行以下命令： curl -kv -H "Host: {添加到WAF的防护对象}" {服务器配置中的对外协议}://{独享WAF的IP}:{防护对象端口} --data “id=1 and 1=’1” 例如: curl -kv -H “Host: a.example.com” http:// 192.168.X.X --data “id=1 and 1=’1” 返回码为 418 则说明拦截成功，独享WAF工作正常。

验证独享WAF和ELB是否都正常工作 转发测试 curl -kv -H "Host: {添加到WAF的防护对象}" {ELB对外协议}://{ELB私网的IP}:{ELB监听端口} 如果 ELB 添加了 EIP，可以使用任意公网机器直接进行测试。 curl -kv -H “Host: {添加到WAF的防护对象}” {ELB对外协议}://{ELB公网的IP}:{ELB监听端口} 例如: curl -kv -H “Host: a.example.com” http://192.168.X.Y curl -kv -H “Host: a.example.com” http://100.10.X.X 返回码为200则说明转发成功。 在确保独享引擎工作正常的情况下，如果转发失败，则优先检查ELB配置是否有误（如果ELB健康检查异常可先关闭ELB健康检查再重新执行以上的操作）。 攻击拦截测试 确保网站对应策略已开启基础防护的拦截模式。 执行以下命令： curl -kv -H "Host: {添加到WAF的防护对象}" {ELB对外协议}://{ELB私网的IP}:{ELB监听端口} --data “id=1 and 1=’1” 如果ELB添加了EIP ，可以使用任意公网机器直接进行测试。 curl -kv -H "Host: {添加到WAF的防护对象}" {ELB对外协议}://{ELB公网的IP}:{ELB监听端口} --data “id=1 and 1=’1” 例如: curl -kv -H “Host: a.example.com” http:// 192.168.0.2 --data “id=1 and 1=’1” curl -kv -H “Host: a.example.com” http:// 100.10.X.X --data “id=1 and 1=’1” 返回码为418则说明拦截成功，独享WAF、ELB均工作正常。

系统影响 防护网站“部署模式”为“云模式”时，如果要删除的防护网站已经接入Web应用防火墙，在删除防护网站前，请您先到DNS服务商处将域名重新解析，指向源站服务器IP地址，否则该域名的流量将无法切回服务器，影响正常访问。 勾选“强制删除WAF的接入CNAME”后，WAF不再检测业务域名解析配置，立即删除WAF的CNAME，如果业务域名解析未做修改，可能会导致业务异常。 删除网站后，1分钟内生效，且不可恢复，请谨慎删除防护网站。

示例四：不同访问模式的协议配置规则 根据您的业务场景的不同，WAF提供灵活的协议类型配置。假设您的网站为www.example.com，WAF可配置如下四种访问模式： HTTP访问模式，如图7所示。 图7 HTTP协议访问模式 此种配置表示用户只能通过http://www.example.com访问网站，如果用户通过https://www.example.com访问网站，会收到302跳转响应，浏览器跳转到http://www.example.com。 HTTPS访问模式，客户端协议全部配置为HTTPS时，当使用HTTP协议访问服务器时，会强制跳转为HTTPS协议，如图8所示。 图8 HTTPS协议访问强制跳转模式 用户直接通过https://www.example.com访问网站，网站返回正常内容。 用户通过http://www.example.com访问网站，用户会收到302跳转响应，浏览器跳转到https://www.example.com。 HTTP/HTTPS分别转发模式，如图9所示。 图9 HTTP/HTTPS分别转发模式 用户通过http://www.example.com访问网站，网站返回正常内容，没有跳转，网站内容不加密传输。 用户通过https://www.example.com访问网站，网站返回正常内容，没有跳转，网站内容加密传输。 使用WAF做HTTPS卸载模式，如图10所示。 图10 使用WAF做HTTPS卸载模式 用户通过https://www.example.com访问网站，但是WAF到源站依然使用HTTP协议。

示例一：防护同一端口的不同源站IP的标准端口业务 在“防护域名端口”下拉框中，选择“标准端口”。 “对外协议”统一选择“HTTP”或者“HTTPS”。HTTP标准端口防护配置如图1所示，HTTPS标准端口防护配置如图2所示。 图1 80端口业务 图2 443端口业务 “对外协议”选择“HTTPS”时，需要配置证书。 访问网站时，域名后可以不加端口号进行访问。例如，在浏览器中直接输入“http://www.example.com”访问网站。

示例二：防护同一端口的不同源站IP的非标准端口业务 在“防护域名端口”下拉框中，选择需要防护的非标准端口。 “对外协议”全部选择“HTTP”或者“HTTPS”。HTTP协议的非标准端口的配置如图3，HTTPS协议的非标准端口的配置如图4。 图3 除80端口的其他HTTP协议端口的业务 图4 除443端口的其他HTTPS协议端口的业务 “对外协议”选择“HTTPS”时，需要配置证书。 访问网站时，域名后必须加上配置的非标准端口，否则会报404错误。假如配置的非标准端口为8080，则在浏览器中直接输入的地址为“http://www.example.com:8080”。

独享引擎版本迭代 引擎版本 特性 2023年4月 HTTP2全局开启，不需要手动开启。 默认支持流量可通过四次WAF，如果回源还是失败，会返回523错误码。 支持multipart严格格式校验。 支持独享型-网络型规格ELB实例（历史版本仅支持共享性ELB、独享性-应用型ELB实例）。 2022年11月 命中内置规则后攻击日志（hit_data）增加内置标签信息。 CC规则支持目的限速和响应码条件。 2022年9月 支持TLS v1.3。 支持IDC检测功能。 新增多种类型的攻击数据统计至心跳日志。 增加 300 个 HTTPS 端口：60700-60999。 2022年7月 支持泛域名标准匹配逻辑。 支持全局白名单功能。 2022年5月 新增基于实例配置TLS最低版本的功能。 2022年3月 支持从管理面下发更新规则。 误报屏蔽支持全流量域名及全流量自定义域名。 误报屏蔽支持配置所有条件。 2022年2月 优化请求日志机制。 2022年1月 优化部分正则匹配机制。 2021年11月 敏感信息泄露规则增加仅记录模式。 新增非法请求类的攻击日志。 精准防护IP条件支持全匹配XFF请求头内所有IP（仅限 IPv4）。 新增按域名设置超时时间功能。 优化部分功能。 2021年10月 提升部分功能的性能。 2021年9月 支持对“request body”的精准防护。 精准防护支持正则匹配功能、全部子字段选择。 部分日志支持对接到 LTS 服务。 2021年6月 HTTPS 端口支持 HTTP/2 协议。 在请求日志（access log）中增加“region ID”。 在攻击日志中增加“region ID”和引擎 IP。

操作步骤 下载image-syncer，解压并运行工具。 以v1.3.1版本为例，您也可以选择其他版本。 wget https://github.com/AliyunContainerService/image-syncer/releases/download/v1.3.1/image-syncer-v1.3.1-linux-amd64.tar.gz tar -zvxf image-syncer-v1.3.1-linux-amd64.tar.gz 创建镜像仓库的认证信息文件auth.json。 image-syncer支持基于Docker Registry V2搭建的docker镜像仓库，按格式填写即可。将源仓库及目标仓库认证信息写入，示例如下。 { "swr.××××.myhuaweicloud.com": { "username": "××××@F1I3Q……", "password": "2fd4c869ea0……" }, "swr.××××.myhuaweicloud.com": { "username": "××××@4N3FA……", "password": "f1c82b57855f9d35……" } } 其中swr.××××.myhuaweicloud.com为镜像仓库地址，username、password可以在登录命令中获取，获取方法如下： 登录SWR控制台，在右上角单击“登录指令”，在弹出的窗口中获取登录指令，如下图所示。 图1 登录指令 在图2 登录指令中，××××@4N3FA……为username； f1c82b57855f9d3564ee……为password； swr.××××.myhuaweicloud.com为镜像仓库地址。 因安全性要求，以上示例中所有username和password均有部分内容进行省略，请以控制台获取到的实际用户名和密码为准。 创建同步镜像描述文件images.json。 如下示例，左边是源仓库的地址，右边是目的仓库地址。image-syncer还支持其他描述方式，具体请参见README-zh_CN.md。 { "swr.cn-north-4.myhuaweicloud.com/org-ss/canary-consumer": "swr.cn-east-3.myhuaweicloud.com/dev-container/canary-consumer" } 执行如下命令将镜像迁移至SWR。 ./image-syncer --auth=./auth.json --images=./images.json --namespace=dev-container --registry=swr.cn-east-3.myhuaweicloud.com --retries=3 --log=./log 表1 命令行参数说明 参数 说明 --config 设置用户提供的配置文件路径，使用之前需要创建此文件，默认为当前工作目录下的config.json文件。这个参数与 --auth和--images 的作用相同，分解成两个参数可以更好地区分认证信息与镜像仓库同步规则。建议使用 --auth 和 --images。 --images 设置用户提供的镜像同步规则文件所在路径，使用之前需要创建此文件，默认为当前工作目录下的images.json文件。 --auth 设置用户提供的认证文件所在路径，使用之前需要创建此认证文件，默认为当前工作目录下的auth.json文件。 --log 打印出来的log文件路径，默认打印到标准错误输出，如果将日志打印到文件将不会有命令行输出，此时需要通过cat对应的日志文件查看。 --namespace 设置默认的目标namespace，当配置文件内一条images规则的目标仓库为空，并且默认registry也不为空时有效，可以通过环境变量DEFAULT_NAMESPACE设置，同时传入命令行参数会优先使用命令行参数值。 --proc 并发数，进行镜像同步的并发goroutine数量，默认为5。 --retries 失败同步任务的重试次数，默认为2，重试会在所有任务都被执行一遍之后开始，并且也会重新尝试对应次数生成失败任务的生成。一些偶尔出现的网络错误比如io timeout、TLS handshake timeout，都可以通过设置重试次数来减少失败的任务数量。 --registry 设置默认的目标registry，当配置文件内一条images规则的目标仓库为空，并且默认namespace也不为空时有效，可以通过环境变量DEFAULT_REGISTRY设置，同时传入命令行参数会优先使用命令行参数值。 迁移命令执行后，可登录目标镜像仓库，查看已迁移的镜像。

步骤三：对接第三方监控平台 登录CCE控制台，选择一个已安装云原生监控插件的集群，单击集群名称。 在左侧导航栏中选择“配置中心”，并切换至“监控运维配置”页签。 开启“对接第三方监控平台”，将云原生监控插件采集到的数据上报至第三方监控平台。 数据上报地址：即步骤一中获取的Remote Write URL，例如：https://127.0.0.1:9090/api/v1/write。 认证方式：选择步骤二中第三方监控平台支持的认证方式。 Basic Auth：填写账号及密码。 Bearer Token：填写身份凭据（Token）。 修改完成后，单击“确认配置”。

步骤一：获取数据上报地址 Prometheus提供了Remote Write标准接口，您可以在CCE云原生监控插件中填写数据上报地址（Remote Write URL），将本地采集到的监控数据远程存储到Prometheus中。 如果您用于接受数据的目的端为第三方厂商提供的Prometheus，您可以前往对应厂商的控制台中查看Remote Write URL。 如果您用于接受数据的目的端为自建的Prometheus，则Remote Write URL为https://{prometheus_addr}/api/v1/write，其中{prometheus_addr}为Prometheus提供对外访问的地址及端口号。

步骤二：获取认证方式 如果您用于接受数据的目的端为第三方厂商提供的Prometheus，您可以前往对应厂商的控制台中查看用于授权访问的Token或账号密码。 如果您用于接受数据的目的端为自建的Prometheus，则获取Token的方式如下： 若您自建的Prometheus同样部署在K8s集群中，可进入Prometheus容器中查看。若您自建的Prometheus部署在虚拟机上，则可跳过本步骤。 kubectl exec -ti -n monitoring prometheus-server-0 sh 命令中变量可根据实际情况进行替换： monitoring：Prometheus所在的命名空间。 prometheus-server-0：Prometheus Pod实例的名称。 查看配置文件位置。 ps -aux | grep prometheus 回显如下： 查看并记录prometheus.env.yaml配置文件中的Token信息。 cat /etc/prometheus/config_out/prometheus.env.yaml

操作步骤 您需要将已创建的IP地址组关联至对应的资源投入使用，操作指导如表1所示。 表1 IP地址组关联资源指导 资源 说明 操作指导 安全组 添加安全组规则的时候，源地址和目的地址可以选择IP地址组。 添加安全组规则： 添加入方向规则：“源地址”选择IP地址组。 添加出方向规则：“目的地址”选择IP地址组。 网络ACL 添加网络ACL规则的时候，源地址和目的地址可以选择IP地址组。 添加网络ACL规则： 添加入方向规则：“源地址”或者“目的地址”选择IP地址组，源地址和目的地址只能有一方使用IP地址组。 添加出方向规则：“源地址”或者“目的地址”选择IP地址组，源地址和目的地址只能有一方使用IP地址组。

高危端口 访问公有云特定端口时，在部分地区部分运营商无法访问，而其它端口访问正常。可能原因是部分运营商判断表2中的端口为高危端口，默认被屏蔽。 此时，建议您修改敏感端口为其它非高危端口来承载业务。 表2 高危端口 协议 端口 TCP 42 135 137 138 139 444 445 593 1025 1068 1433 1434 3127 3128 3129 3130 4444 4789 5554 5800 5900 8998 9995 9996 UDP 135~139 1026 1027 1028 1068 1433 1434 4789 5554 9995 9996

URI POST /v2/{project_id}/instances/{instance_id}/topics 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID，获取方式请参见获取项目ID。 instance_id 是 String 实例ID。 表2 Query参数 参数 是否必选 参数类型 描述 action 否 String 批量删除topic时使用，不配置则为创建接口。