华为云用户手册

消费组监控指标 表4 消费组支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） messages_consumed 分区已消费消息数 该指标用于统计当前消费组已经消费的消息个数。 单位：Count 说明： 在“消费组”页签，“主题”为指定的Topic名称，“监控类型”为“分区监控”时，才包含该指标。 ≥ 0 Kafka实例的消费组 1分钟 messages_remained 分区可消费消息数 该指标用于统计消费组可消费的消息个数。 单位：Count 说明： 在“消费组”页签，“主题”为指定的Topic名称，“监控类型”为“分区监控”时，才包含该指标。 ≥ 0 Kafka实例的消费组 1分钟 topic_messages_remained 队列可消费消息数 该指标用于统计消费组指定队列可以消费的消息个数。 单位：个 说明： 在“消费组”页签，“主题”为指定的Topic名称，“监控类型”为“基本监控”时，才包含该指标。 0~（263-1） Kafka实例的消费组 1分钟 topic_messages_consumed 队列已消费消息数 该指标用于统计消费组指定队列当前已经消费的消息数。 单位：个 说明： 在“消费组”页签，“主题”为指定的Topic名称，“监控类型”为“基本监控”时，才包含该指标。 0~（263-1） Kafka实例的消费组 1分钟 consumer_messages_remained 消息堆积数（消费组可消费消息数） 该指标用于统计消费组剩余可以消费的消息个数。 单位：个 说明： 在“消费组”页签，“主题”为“全部队列”时，才包含该指标。 0~（263-1） Kafka实例的消费组 1分钟 consumer_messages_consumed 消费组已消费消息数 该指标用于统计消费组当前已经消费的消息数。 单位：个 说明： 在“消费组”页签，“主题”为“全部队列”时，才包含该指标。 0~（263-1） Kafka实例的消费组 1分钟 messages_consumed_per_min 分区消费速率 统计消费组指定队列分区每分钟的消费数。 单位：个/分钟 说明： 在“消费组”页签，“主题”为指定的Topic名称，“监控类型”为“分区监控”时，才包含该指标。 部分存量实例不支持此监控，具体以控制台为准。 0~30000000 Kafka实例的消费组 1分钟 topic_messages_consumed_per_min 队列消费速率 统计消费组指定队列每分钟的消费数。 单位：个/分钟 说明： 在“消费组”页签，“主题”为指定的Topic名称，“监控类型”为“基本监控”时，才包含该指标。 部分存量实例不支持此监控，具体以控制台为准。 0~30000000 Kafka实例的消费组 1分钟 consumer_messages_consumed_per_min 消费组消费速率 统计消费组每分钟的消费数。 单位：个/分钟 说明： 在“消费组”页签，“主题”为“全部Topic”时，才包含该指标。 部分存量实例不支持此监控，具体以控制台为准。 0~30000000 Kafka实例的消费组 1分钟

主题监控指标 表3 主题支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） topic_bytes_in_rate 生产流量 该指标用于统计每秒生产的字节数。 单位：Byte/s、KB/s、MB/s、GB/s 说明： 在“主题”页签，当“监控类型”为“基本监控”时，才包含该指标。 0~500000000 Kafka实例队列 1分钟 topic_bytes_out_rate 消费流量 该指标用于统计每秒消费的字节数。 单位：Byte/s、KB/s、MB/s、GB/s 说明： 在“主题”页签，当“监控类型”为“基本监控”时，才包含该指标。 0~500000000 Kafka实例队列 1分钟 topic_data_size 队列数据容量 该指标用于统计队列当前的消息数据大小。 单位：Byte、KB、MB、GB、TB、PB 说明： 在“主题”页签，当“监控类型”为“基本监控”时，才包含该指标。 0~5000000000000 Kafka实例队列 1分钟 topic_messages 队列消息总数 该指标用于统计队列当前的消息总数。 单位：Count 说明： 在“主题”页签，当“监控类型”为“基本监控”时，才包含该指标。 ≥ 0 Kafka实例队列 1分钟 topic_messages_in_rate 消息生产速率 该指标用于统计每秒生产的消息数量。 单位：Count/s 说明： 在“主题”页签，当“监控类型”为“基本监控”时，才包含该指标。 0~500000 Kafka实例队列 1分钟 partition_messages 分区消息数 该指标用于统计分区中当前的消息个数。 单位：Count 说明： 在“主题”页签，当“监控类型”为“分区监控”时，才包含该指标。 ≥ 0 Kafka实例队列 1分钟 produced_messages 生产消息数 该指标用于统计目前生产的消息总数。 单位：Count 说明： 在“主题”页签，当“监控类型”为“分区监控”时，才包含该指标。 ≥ 0 Kafka实例队列 1分钟

实例监控指标 表1 实例支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） current_partitions 分区数 该指标用于统计Kafka实例中已经使用的分区数量。 单位：Count 0~100000 Kafka实例 1分钟 current_topics 主题数 该指标用于统计Kafka实例中已经创建的主题数量。 单位：Count 0~100000 Kafka实例 1分钟 group_msgs 堆积消息数 该指标用于统计Kafka实例中所有消费组中总堆积消息数。 单位：Count 0~1000000000 Kafka实例 1分钟

验证接口连通性 参考使用客户端连接Kafka（明文接入）或者使用客户端连接Kafka（密文接入），测试是否可以生产和消费消息。 测试接口连通性时，注意以下几点： 连接Kafka实例的地址为“advertised.listeners IP:9011”，以图9为例，连接Kafka实例的地址为“192.168.0.71:9011,192.168.0.11:9011,192.168.0.21:9011”。 在Kafka实例安全组的入方向规则中放通9011端口，以及198.19.128.0/17网段的地址。 如果Kafka实例的子网配置了网络ACL功能，需要在网络ACL的入方向规则中放通198.19.128.0/17网段的地址，以及VPC终端节点涉及的子网。 198.19.128.0/17是为VPC终端节点分配的网段，使用VPC终端节点需要放通此网段。

背景描述 Kafka客户端和Kafka实例在同一区域的不同VPC中，由于VPC之间逻辑隔离，Kafka客户端和Kafka实例不能直接通信。您可以通过以下任意一个方式实现跨VPC访问： 创建VPC对等连接，将两个VPC的网络打通，实现跨VPC访问。具体步骤请参考对等连接。 创建一个云连接实例，然后在创建的云连接实例中加载需要互通的VPC，实现跨VPC访问。具体步骤请参考同区域同账号VPC互通。 利用VPC终端节点在不同VPC间建立跨VPC的连接通道，实现Kafka客户端通过内网访问Kafka实例。

操作场景 分布式消息服务Kafka版为实例、Topic、消费者提供了几个常用配置参数的默认值，您可以根据实际业务需求，在控制台自行修改参数值。其他在控制台未列出的配置参数，请参考Kafka配置进行修改。 Kafka实例的参数分为动态参数和静态参数： 动态参数：动态参数修改成功后，无需重启实例，立即生效。 静态参数：静态参数修改成功后，需要手动重启实例才能生效。 部分老实例不支持修改配置参数，具体以控制台为准，此时请联系客服解决。 单机版实例不支持修改配置参数。

Kafka实例连接数有限制吗？ 不同规格的Kafka实例，连接数限制如下： 表1 老规格Kafka实例的连接数 基准带宽 连接数上限 100MB/s 3000 300MB/s 10000 600MB/s 20000 1200MB/s 20000 表2 新规格Kafka实例的连接数 实例规格 单个代理客户端总连接数上限 kafka.2u4g.cluster.small 2000 kafka.2u4g.single.small 2000 kafka.2u4g.cluster 2000 kafka.2u4g.single 2000 kafka.4u8g.cluster 4000 kafka.8u16g.cluster 4000 kafka.12u24g.cluster 4000 kafka.16u32g.cluster 4000 父主题： 连接问题

操作步骤 登录视频直播控制台。 在左侧导航栏中，选择“域名管理”，进入域名管理页面。 单击“添加域名”。在弹出的“添加域名”页面输入已申请的播放或推流域名。 注意：若您的域名未备案，将添加失败，并提示“添加域名失败：ICP编号不存在”。 图2 添加域名 表1 域名参数说明 参数名 描述 域名 输入二级推流域名或播放域名。示例：“test-push.example.com”。 说明： 域名长度限制为42个字符，暂不支持大写的域名。 推流域名与播放域名不能相同，不支持添加泛域名。 默认每个账号下最多可创建64个域名。如需增加域名，请提交工单处理。 企业项目 将域名加入到企业项目中统一管理。 请参见创建企业项目完成企业项目的创建，默认为default企业项目。 在企业项目页面创建企业项目，然后将用户组添加到该企业项目。这时用户组内用户将获得用户组授权的该企业项目下的域名的相关操作权限。 说明： 仅企业账号能够配置企业项目。 域名类型 若“域名”中输入的是推流域名则选择推流域名，否则，选择播放域名。域名类型配置后不可更改。 子服务类型 直播服务的子服务类型。 包括如下选项： 云直播 媒体直播 请选择“云直播”。 直播源站 直播源站所在地域，可参考如何选择直播源站和加速区域？选择。直播源站配置后不可更改，建议您选择业务就近的源站。 目前支持如下区域： 中国站北京四入口，支持区域：华北-北京四、亚太-新加坡。 国际站新加坡入口，支持区域：亚太-新加坡、拉美-圣保罗一、华北-北京四。 说明： 推流域名的源站必须选择主播所在区域，不支持主播跨区域推流。比如主播需要同时在中国大陆和马来西亚直播，则需要创建两套推拉流域名，直播源站分别为中国大陆和新加坡。 需要关联的推流域名与播放域名的源站所在区域要保持一致。 用于存储直播录制、截图等的OBS桶必须与直播源站在同一区域，当您的存储已经在某个区域时，对应的直播源站必须选择为相同区域（region）。 加速区域 播放域名可执行加速的地域，可参考如何选择直播源站和加速区域？选择。仅对播放域名有效，推流域名不支持设置。设置完成后，不支持修改。 如果在所选加速区域之外播放，将无法保证功能和质量，请您根据实际业务，选择有效的加速区域。 包含如下选项： 中国大陆 当观众在中国大陆时，应选择此项。 域名需要在工信部备案，推荐您在华为云备案中心备案。 中国大陆境外 当观众在海外、中国香港、中国澳门、中国台湾时，应选择此项。 全球加速 当观众在中国大陆、中国香港、中国澳门、中国台湾或其他国家和地区时，应选择此项。 域名需要在工信部备案，推荐您在华为云备案中心备案。 单击“确定”。 在“域名管理”页面的列表中会新增一条“状态”为“配置中”的域名记录。大概3-5分钟时间，当“状态”为“正常”时，域名添加成功。 播放域名添加后，需要关联推流域名才可使用直播服务。关联的推流域名必须与播放域名归属同一个直播源站，详情请参见关联域名。 域名添加完成后，您需要在播放域名和推流域名的DNS服务商处配置CNAME，将您的域名指向CDN配置的CNAME地址。具体操作请见配置CNAME，配置完成后，对应的域名会自动启用直播加速服务。

添加域名 您需要将自有的已备案的推流域名、播放域名分别添加到视频直播服务中。下面以添加推流域名为例，播放域名的添加步骤与此相同。 登录视频直播控制台。 在左侧导航树中选择“域名管理”，进入域名管理页面。 单击“添加域名”。在弹出的“添加域名”页面输入已申请的推流域名。 注意：若您的域名未备案，将添加失败，并提示“添加域名失败：ICP编号不存在”。 表1 域名参数说明 参数名 描述 域名 输入二级推流域名或播放域名。示例：“test-push.example.com”。 说明： 域名长度限制为42个字符，暂不支持大写的域名。 推流域名与播放域名不能相同，不支持添加泛域名。 默认每个账号下最多可创建64个域名。如需增加域名，请提交工单处理。 企业项目 将域名加入到企业项目中统一管理。 请参见创建企业项目完成企业项目的创建，默认为default企业项目。 在企业项目页面创建企业项目，然后将用户组添加到该企业项目。这时用户组内用户将获得用户组授权的该企业项目下的域名的相关操作权限。 说明： 仅企业账号能够配置企业项目。 域名类型 若“域名”中输入的是推流域名则选择推流域名，否则，选择播放域名。域名类型配置后不可更改。 子服务类型 直播服务的子服务类型。 包括如下选项： 云直播 媒体直播 请选择“云直播”。 直播源站 直播源站所在地域，可参考如何选择直播源站和加速区域？选择。直播源站配置后不可更改，建议您选择业务就近的源站。 目前支持如下区域： 中国站北京四入口，支持区域：华北-北京四、亚太-新加坡。 国际站新加坡入口，支持区域：亚太-新加坡、拉美-圣保罗一、华北-北京四。 说明： 推流域名的源站必须选择主播所在区域，不支持主播跨区域推流。比如主播需要同时在中国大陆和马来西亚直播，则需要创建两套推拉流域名，直播源站分别为中国大陆和新加坡。 需要关联的推流域名与播放域名的源站所在区域要保持一致。 用于存储直播录制、截图等的OBS桶必须与直播源站在同一区域，当您的存储已经在某个区域时，对应的直播源站必须选择为相同区域（region）。 加速区域 播放域名可执行加速的地域，可参考如何选择直播源站和加速区域？选择。仅对播放域名有效，推流域名不支持设置。设置完成后，不支持修改。 如果在所选加速区域之外播放，将无法保证功能和质量，请您根据实际业务，选择有效的加速区域。 包含如下选项： 中国大陆 当观众在中国大陆时，应选择此项。 域名需要在工信部备案，推荐您在华为云备案中心备案。 中国大陆境外 当观众在海外、中国香港、中国澳门、中国台湾时，应选择此项。 全球加速 当观众在中国大陆、中国香港、中国澳门、中国台湾或其他国家和地区时，应选择此项。 域名需要在工信部备案，推荐您在华为云备案中心备案。 单击“确定”。 在“域名管理”页面的列表中会新增一条“状态”为“配置中”的域名记录。大概3-5分钟时间，当“状态”为“正常”时，域名添加成功。 执行步骤1-步骤4，完成对播放域名的添加。 播放域名添加后，需要关联添加的推流域名才可使用直播服务。关联的推流域名必须与播放域名归属同一个直播源站，具体请参见关联域名。

总览 登录视频直播控制台，进入“总览”页面。 图1 总览 在该页面可查看如下信息，也可以单击右上角的“使用指南”，查看操作文档。 今日数据 下行流量：今日所有播放域名使用播放加速产生的下行流量总和。 下行带宽峰值：今日所有播放域名使用播放加速产生的下行带宽峰值。 使用趋势：查询近期的直播用量趋势。 下行流量：所有播放域名在查询时间段内，使用播放加速消耗的总下行流量。 下行带宽：所有播放域名在查询时间段内，使用播放加速消耗的总下行带宽峰值。 上行带宽：所选播放域名在查询的时间段内，对应推流端产生的总上行带宽。 可将鼠标放置在图表上，查看具体数值，滚动鼠标滚轮可整体加长或缩短展示横轴的时间段。 计费模式：用户当前的CDN计费方式。可以单击“变更”，变更CDN计费方式。也可以单击“购买套餐包”，购买价格更优惠的套餐包使用。 客户等级为V0和V1的账户暂不支持变更计费方式，只能按流量计费。

功能列表 您可以在视频直播控制台的左侧导航栏中，选择相应的功能使用。 表1 控制台功能介绍 分类 功能 功能介绍 直播管理 直播管理 支持用户对直播在线流、历史流及录制文件的管理，也可以对直播流进行禁止和恢复推流等操作。 录制文件管理 支持用户获取录制文件基本信息。 域名管理 域名配置 支持用户添加并管理自有的加速域名，并对域名进行CNAME配置，Key防盗链、Referer防盗链、IP黑白名单配置，支持对直播视频进行录制、截图、转码模板配置。 推流配置 转码模板配置 支持将推送的直播流转码成多种分辨率和码率规格的，以满足不同网络环境的用户观看需求。 录制配置 支持为直播配置录制规则，直播流将按照录制规则进行录制，并存储到OBS桶中。 截图模板配置 支持按配置截图模板在推流过程中截取直播画面，并存储在OBS桶中。 直播推断流通知配置 支持为推流域名配置回调地址，用于接收直播推流和断流通知，从而实时获取直播状态。 推流鉴权配置 提供了Key防盗链和IP黑白名单鉴权机制，对访问者的身份进行识别和过滤，符合规则的才可进行直播推流。 播流配置 修改直播延时 支持RTMP、HTTP-FLV协议播放的延时配置。 直播拉流回源 支持用户将自建源站中的直播内容拉取到华为云直播源站进行加速分发。 安全加速 支持对播放域名开启HTTPS安全加速，保障您的直播数据在传输过程中受到加密保护。 鉴权机制配置 提供了Referer防盗链、Key防盗链和IP黑白名单鉴权机制，对访问者的身份进行识别和过滤，符合规则的才可使用直播服务。 用量统计 用量统计 支持查看所有播放域名的下行带宽/流量使用统计信息，还支持查看所有推流域名的转码时长、录制最大并发数和截图数量统计信息。 说明：暂不支持“华北-北京一”区域。 业务监控 业务监控 支持查看播放域名的下行带宽/流量使用量、播放画像信息、请求响应返回的所有状态码及对应直播流的在线观看人数等数据，还支持查看对应推流域名的上行带宽/流量使用量、总推流路数、历史推流详情及推流帧率/码率等监控信息。 说明：暂不支持“华北-北京一”区域。 大屏监控 大屏监控 支持对所有直播资源的用量及分布情况进行实时监控。 日志管理 离线日志下载 支持查看播放域名被网络用户访问的详细日志，可查询下载最近90天的日志文件。 说明：暂不支持“华北-北京一”区域。 实时日志配置 支持实时查看播放域名被网络用户访问的详细日志记录。 说明：暂只支持“华北-北京四”区域。 工具库 防盗地址生成 支持使用该工具快速生成推流域名和播放域名的鉴权URL。 说明：暂不支持“华北-北京一”区域。

功能特性 华为云标准直播提供了直播推流、直播播放、直播转码、直播录制等功能，广泛地用于在线教育、互动文娱等场景。具体如表1所示。 HTTP协议存在安全风险，建议使用HTTPS协议。 表1 功能特性 类别 特性名称 特性说明 直播推流 推流协议 支持RTMP协议推流，也支持纯音频或纯视频推流。 推流形式 支持常见的第三方软件例如OBS/XSplit/FMLE等。 上行加速 支持直播内容上行推流加速、用户接入点/设备调度（DNS/HTTP DNS）、访问鉴权、弹性伸缩。 直播播放 播放协议 标准直播场景：支持RTMP、HTTP-FLV和HLS三种播放协议。 低时延直播场景：支持WebRTC播放协议（支持降级到HTTP-FLV）。 播放形式 标准直播场景：支持常见的第三方播流软件，如VLC等。 低时延直播场景：支持通过低时延在线Demo或根据API接口开放web端播放。 下行加速 提供直播内容下行分发加速、用户接入点/设备调度（DNS/HTTP DNS）、访问鉴权、弹性伸缩。 直播流处理 录制 支持将直播流录制存储到对象存储服务（OBS），直播流录制格式为HLS、FLV和MP4。 转码 支持对直播流进行多规格转码，支持H.264和H.265标准转码和高清低码转码。 截图 支持对直播流进行截图存储到OBS桶中，截图文件暂只支持JPG格式。 延时 支持修改播放延时。 说明： 低时延直播场景下，不建议使用此功能。 拉流回源 支持将自有源站中的直播内容拉取到华为云直播源站进行加速分发。 直播管理 管理方式 支持通过视频直播控制台进行图形化管理，也支持调用API进行直播管理。 直播控制台 总览 支持查看直播的今日下行流量、下行带宽峰值等数据。 支持变更直播的CDN计费模式。 直播管理 支持查看在线流和禁推流信息。 支持查看录制文件。 域名管理 支持新增、删除、停用、启用直播推流域名和播放域名。 支持推流域名和播放域名关联或取消关联。 推流域名支持配置转码、录制、截图和开停播通知等，支持推流鉴权。 播放域名支持配置拉流回源、HTTPS证书和延时等，支持Key防盗链、Referer防盗链和IP黑名单。 用量统计 支持查看所有播放域名的下行带宽/流量使用统计信息，还支持查看所有推流域名的转码时长、录制最大并发数和截图数量统计信息。 业务监控 支持查看播放域名的下行带宽/流量使用量、播放画像信息、请求响应返回的所有状态码及对应直播流的在线观看人数等数据，还支持查看对应推流域名的上行带宽/流量使用量、总推流路数及推流帧率/码率等监控信息。 大屏监控 支持对所有直播资源的用量及分布情况进行实时监控。 日志管理 支持查看播放域名被网络用户访问的详细日志，可下载最近90天的日志文件。 支持实时查看播放域名被网络用户访问的详细日志记录。 云资源授权 支持将OBS桶授权给直播服务，允许直播服务将视频截图存储在对应的桶中。 工具库 支持使用防盗地址生成工具快速生成推流域名和播放域名的鉴权URL。 直播安全 URL鉴权 支持自定义鉴权Key，用于校验直播推流和播放请求的URL的合法性。 Referer防盗链 支持对播放请求的Referer进行识别和过滤。 IP黑白名单 支持对播放请求者的IP进行识别和过滤。 HTTPS安全加速 支持使用播放域名的证书配置HTTPS，并将其部署到CDN节点，从而实现HTTPS安全加速。 直播API 域名管理 支持通过API创建、删除、修改和查询直播域名。 支持为已创建的播放域名和推流域名建立或删除域名映射关系。 直播转码 支持通过API查询、修改、创建和删除直播转码模板。 流管理 支持通过API查询和修改禁推属性，查询直播加速数据等。 鉴权管理 支持通过API查询、更新和删除指定域名的Key防盗链配置。 截图管理 支持通过API创建、删除、修改和查询直播截图配置。 日志管理 支持通过API获取直播播放日志。 录制管理 支持通过API创建、查询、删除直播录制模板，实现直播流录制到OBS桶中，供用户预览和回看。 录制回调管理 支持通过API创建、删除、修改、查询直播录制状态回调消息。 支持通过API查询录制回调配置列表信息。 HTTPS证书管理 支持通过API查询、修改和删除指定域名的https证书配置。 OBS桶管理 支持通过API进行OBS桶授权及取消授权。 数据统计分析 支持通过API查询播放流量、带宽数据，查询指定时间范围内的播放带宽峰值、流量汇总数据等。 流监控 支持通过API查询单个直播流的推流帧率和码率数据。 直播SDK 服务端SDK 支持多种开发语言的SDK，帮助您轻松实现二次开发。目前支持：Java、Python、Go、PHP。

前提条件 域名或IP已接入CDN，且已完成如表1所示配置操作。 表1 WAF各模式配置说明 部署模式 配置说明 云模式-CNAME接入 已购买WAF云模式。 已将域名信息（源站服务器的IP、端口等信息）添加到WAF云模式。 说明： 当源站存在IPv6地址，默认开启IPv6防护。WAF为了防止客户IPv6的业务中断，禁止关闭IPv6的开关，如果确定不需要IPv6防护，需要先修改服务器配置，在源站删除IPv6的配置，具体的操作方法请参见修改服务器配置信息。 在域名的DNS服务商处有添加域名的权限。 （可选）放行WAF回源段IP。源站服务器上已启用非华为云安全软件（如安全狗、云锁）时，您需要在这些软件上设置放行WAF回源段IP，防止由WAF转发到源站的正常业务流量被拦截。具体请参考通过ECS/ELB访问控制策略保护源站安全。 云模式-ELB接入 已购买WAF云模式。 已将域名信息添加到ELB模式。 独享模式 已购买WAF独享模式。 已将域名信息（源站服务器的IP、端口等信息）添加到WAF独享模式，并完成以下操作： 已为WAF独享模式实例配置负载均衡。 已为弹性负载均衡绑定弹性公网IP。 放行独享引擎回源IP。

防护原理 当用户访问使用CDN服务的网站时，本地DNS服务器通过CNAME方式将最终域名请求重定向到CDN服务。CDN通过一组预先定义好的策略（如内容类型、地理区域、网络负载状况等），将当时能够最快响应用户的CDN节点IP地址提供给用户，使用户可以以最快的速度获得网站内容。 CDN支持的对象：域名，华为云、非华为云或云下的Web业务 Web应用防火墙通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 WAF支持云模式-CNAME接入、云模式-ELB接入和独享模式三种部署模式，各部署模式支持防护的对象说明如下： 云模式-CNAME接入：域名，华为云、非华为云或云下的Web业务 云模式-ELB接入：域名或IP，华为云的Web业务 独享模式：域名或IP，华为云的Web业务 CDN+WAF可以对华为云、非华为云或云下的域名进行联动防护，同时提升网站的响应速度和网站防护能力，配置原理图如图1所示。 图1 使用代理配置原理图 CDN+WAF配置后，流量被CDN加速后转发到WAF，WAF再将流量转到源站，在提升用户访问网站的响应速度与网站的可用性的同时，实现网站流量检测和攻击拦截。 相关配置说明如下： 云模式-CNAME接入 先将域名解析到CDN，再修改CDN源站信息，将源站域名修改为WAF的“CNAME”，同时，为了防止其他用户提前将您的域名配置到Web应用防火墙上，从而对您的域名防护造成干扰，建议您到DNS服务商处添加一条WAF的子域名和TXT记录。 云模式-ELB接入 先将域名解析到CDN，再修改CDN源站信息，将源站IP修改为ELB模式实例所绑定ELB的弹性公网IP。 独享模式 先将域名解析到CDN，再修改CDN源站信息，将源站IP修改为WAF独享引擎实例配置弹性负载均衡绑定的弹性公网IP。

生效条件 当“接入状态”为“已接入”，表示域名/IP接入成功。 WAF每隔一小时就会自动检测防护网站的 接入状态，当WAF统计防护网站在5分钟内达到20次访问请求时，将认定该防护网站已成功接入WAF。 WAF默认只检测两周内新增或更新的域名的接入状态，如果域名创建时间在两周前，且最近两周内没有任何修改，您可以在“接入状态”栏，单击，手动刷新接入状态。 如果域名接入失败，即域名接入状态为“未接入”，请参考域名/IP接入状态显示“未接入”，如何处理？排查处理。

防护原理 DDoS高防通过高防IP代理源IP对外提供服务，将所有的公网流量都引流至高防IP，进而隐藏源站，避免源站（用户业务）遭受大流量DDoS攻击。 DDoS高防支持防护的对象：域名，华为云、非华为云或云下的Web业务 Web应用防火墙通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 WAF支持云模式-CNAME接入、云模式-ELB接入和独享模式三种部署模式，各部署模式支持防护的对象说明如下： 云模式-CNAME接入：域名，华为云、非华为云或云下的Web业务 云模式-ELB接入：域名或IP，华为云的Web业务 独享模式：域名或IP，华为云的Web业务 DDoS高防+WAF可以对华为云、非华为云或云下的域名进行联动防护，可以同时防御DDoS攻击（NTP Flood攻击、SYN Flood攻击、ACK Flood攻击、ICMP Flood攻击、HTTP Get Flood攻击等），以及Web应用攻击（SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等），确保业务持续可靠运行，配置原理图如图1所示。 图1 使用代理配置原理图 DDoS高防+WAF配置后，流量被DDoS高防转发到WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。 相关配置说明如下： 云模式-CNAME接入 先将域名解析到DDoS高防，再修改DDoS高防域名信息，将源站域名修改为WAF的“CNAME”。同时，为了防止其他用户提前将您的域名配置到WAF上，从而对您的域名防护造成干扰，建议您到DNS服务商处添加一条WAF的子域名和TXT记录。 云模式-ELB接入 先将域名解析到DDoS高防，再修改DDoS高防域名信息，将源站IP修改为添加到ELB模式中选择的ELB对应的弹性公网IP。 独享模式 先将域名解析到DDoS高防，再修改DDoS高防域名信息，将源站IP修改为WAF独享引擎实例配置弹性负载均衡绑定的弹性公网IP。

前提条件 已购买DDoS高防实例并已完成DDoS高防网站类业务接入，且已完成如表1所示配置操作。 表1 WAF各模式配置说明 部署模式 配置说明 云模式-CNAME接入 已购买WAF云模式。 已将域名信息（源站服务器的IP、端口等信息）添加到WAF云模式。 说明： 当源站存在IPv6地址，默认开启IPv6防护。WAF为了防止客户IPv6的业务中断，禁止关闭IPv6的开关，如果确定不需要IPv6防护，需要先修改服务器配置，在源站删除IPv6的配置，具体的操作方法请参见修改服务器配置信息。 在域名的DNS服务商处有添加域名的权限。 （可选）放行WAF回源段IP。源站服务器上已启用非华为云安全软件（如安全狗、云锁）时，您需要在这些软件上设置放行WAF回源段IP，防止由WAF转发到源站的正常业务流量被拦截。具体请参考通过ECS/ELB访问控制策略保护源站安全。 云模式-ELB接入 已购买WAF云模式。 已将域名信息添加到ELB模式。 独享模式 已购买WAF独享模式。 已将域名信息（源站服务器的IP、端口等信息）添加到WAF独享模式，并完成以下操作： 已为WAF独享模式实例配置负载均衡。 已为弹性负载均衡绑定弹性公网IP。 放行独享引擎回源IP。

生效条件 当“接入状态”为“已接入”，表示域名/IP接入成功。 WAF每隔一小时就会自动检测防护网站的 接入状态，当WAF统计防护网站在5分钟内达到20次访问请求时，将认定该防护网站已成功接入WAF。 WAF默认只检测两周内新增或更新的域名的接入状态，如果域名创建时间在两周前，且最近两周内没有任何修改，您可以在“接入状态”栏，单击，手动刷新接入状态。 如果域名接入失败，即域名接入状态为“未接入”，请参考域名/IP接入状态显示“未接入”，如何处理？排查处理。

防护原理（云模式-CNAME接入、独享模式接入） 通过WAF云模式-CNAME接入或者独享模式将网站添加并接入WAF后，网站所有访问请求将先流转到WAF，WAF检测过滤恶意攻击流量后，将正常流量返回给源站，从而确保源站安全、稳定、可用。 图1 防护原理 流量经WAF返回源站的过程称为回源。WAF通过回源IP代替客户端发送请求到源站服务器，接入WAF后，在客户端看来，所有的目标IP都是WAF的IP，从而隐藏源站IP。 图2 回源IP

防护原理（云模式-ELB接入） 通过云模式-ELB接入的方式将网站接入WAF防护，其原理如下： 通过SDK模块化的方式将WAF集成在ELB的网关中，WAF通过内嵌在网关中的SDK提取流量并进行检测和防护。 WAF将检测结果同步给ELB，由ELB根据WAF的检测结果决定是否将客户端请求转发到源站。 该过程中，WAF不参与流量转发，避免因额外引入一层转发而带来各种兼容性和稳定性问题。 图3 ELB接入防护原理

各版本支持的功能特性 云模式各个版本、独享模式适用的安全功能特性如表3所示，请您根据业务需求选择对应的服务版本。其中，云模式支持入门版、标准版、专业版和铂金版，您可以通过变更WAF云模式版本和规格从较低版本升级到任一更高版本，以满足更多防护功能需求。 云模式的专业版和铂金版支持定制非标准端口，您可以提交工单申请开通定制的非标准端口。 标识说明： √：表示在当前版本中支持。 ×：表示在当前版本中不支持。 -：表示不涉及，通过ELB实现。ELB支持的功能特性详见弹性负载均衡功能特性对比。 表3 安全功能特性 功能模板 云模式-CNAME接入 云模式-ELB接入 独享模式 入门版 标准版 专业版 铂金版 域名/QPS/规则扩展包 × √ √ √ √（与CNAME接入共用配额） × 域名备案检查 √ √ √ √ × × 支持添加泛域名 × √ √ √ √ √ 非80、443标准端口防护 × √ √ √ - √ 非80、443标准端口定制 × × √ √ - × 批量灵活配置防护策略 √（仅支持批量配置全局白名单规则） × √ √ √ √ 为防护策略批量配置适用的防护域名 × × √ √ √ √ 支持IPv6防护 须知： 支持IPv6防护的版本，请参考哪些版本支持IPv6防护？ × × √ √ - × 常见的Web应用攻击防护，包括SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等 √ √ √ √ √ √ 云端自动更新最新0Day漏洞防护规则，及时下发0Day漏洞虚拟补丁 √ √ √ √ √ √ Webshell检测 √ √ √ √ √ √ 深度检测，同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸检测 √ √ √ √ √ √ header全检测，对请求里header中所有字段进行攻击检测 √ √ √ √ √ √ CC攻击防护 × √ √ √ √ √ 精准访问防护 × √（不支持全检测） √ √ √ √ 引用表管理 × × √ √ √ √ IP黑白名单设置，支持批量导入IP地址/IP地址段 × √ √ √ √ √ 支持对指定国家、省份的IP自定义访问控制 × × √ √ √ √ 网页防篡改 × √ √ √ × √ 检测并拦截搜索引擎、扫描器、脚本工具、其它爬虫等爬虫行为 × × √ √ √ √ 检测并拦截JS脚本反爬虫检测行为 × × √ √ × √ 防敏感信息泄露 × × √ √ × √ 全局白名单规则 √ √ √ √ √ √ 隐私屏蔽 × √ √ √ √ √ 资源建议 - - - - - 使用独享实例时，建议在云监控（CES）服务配置资源监控及告警：建议CPU使用率不超过70%，内存使用率不超过80% 说明： 当业务请求较大或自定义防护策略复杂时，会增加对CPU、内存的消耗；极端情况下，性能指标会有较大波动。建议根据业务模型压测后，做好性能规格的评估。

各版本支持的业务规格 WAF各个模式适用的业务规格如表2所示。其中，购买云模式时您可以选择购买域名扩展包、QPS扩展包和规则扩展包，以满足更多域名、更大流量的防护需求，也可以购买额外的扩展包或者通过变更WAF云模式版本和规格从较低版本升级到任一更高版本。 购买了云模式标准版、专业版或铂金版，才支持使用ELB接入的方式，其业务规格与购买的云模式版本的对应规格一致。 扩展包限制和规格说明如下： 一个域名包支持10个域名，限制仅支持1个一级域名和与一级域名相关的子域名或泛域名。 一个QPS扩展包的QPS限制和带宽限制： 对于部署在华为云的Web应用 业务带宽：50Mbit/s 每秒钟的请求量：1000QPS（Queries Per Second，例如一个HTTP GET请求就是一个Query） 对于未部署在华为云的Web应用 业务带宽：20Mbit/s 每秒钟的请求量：1000QPS（Queries Per Second，例如一个HTTP GET请求就是一个Query） 购买了云模式标准版、专业版或铂金版后，才支持使用ELB接入方式，域名、QPS、规则扩展包的配额与云模式的CNAME接入方式共用，且ELB接入方式的业务规格与购买的云模式版本的对应规格一致。 带宽限制仅对云模式-CNAME方式接入的网站有限制，通过ELB模式接入的网站，没有带宽限制，仅有QPS限制。 一个规则扩展包包含10条IP黑白名单防护规则。 域名个数为一级域名（例如，example.com）、单域名/二级域名等子域名（例如，www.example.com）和泛域名（例如，*.example.com）的总数。例如，标准版支持防护10个域名，可以添加1个一级域名和9个与其相关的子域名或泛域名。 同一个域名对应不同端口视为不同的域名，例如www.example.com:8080和www.example.com:8081视为两个不同的域名，将占用两个不同的域名防护额度。 WAF支持上传的证书套数和WAF支持防护的域名的个数相同。例如，购买了标准版WAF（支持防护10个域名）、1个独享版WAF（支持防护2,000个域名）和域名扩展包（20个域名），WAF可以防护2,030个域名，则WAF支持上传2,030套证书。 表2 适用的业务规格 业务规格 入门版 标准版 专业版 铂金版 独享模式 正常业务请求峰值 100 QPS业务请求 6,000 回源长连接（每域名） 2,000 QPS业务请求 6,000回源长连接（每域名） 5,000 QPS业务请求 6,000 回源长连接（每域名） 10,000 QPS业务请求 6,000 回源长连接（每域名） 以下数据为单实例规格： WAF实例规格选择WI-500，参考性能： HTTP业务：建议QPS 5,000；极限QPS 10,000 HTTPS业务：建议QPS 4,000；极限QPS 8,000 Websocket业务：支持最大并发连接5,000 最大回源长连接：60,000 WAF实例规格选择WI-100，参考性能： HTTP业务：建议QPS 1,000；极限QPS 2,000 HTTPS业务：建议QPS 800；极限QPS 1,600 Websocket业务：支持最大并发连接1,000 最大回源长连接：60,000 须知： 极限值为实验室测试值，高敏感业务请以实际业务测试数据为准。实际QPS与业务请求数据大小、自定义防护规则种类及数量相关 业务带宽阈值（源站服务器部署在华为云） 10Mbit/s 100Mbit/s 200Mbit/s 300Mbit/s WAF实例规格选择WI-500，参考性能： 吞吐量：500 Mbps WAF实例规格选择WI-100，参考性能： 吞吐量：100 Mbps 业务带宽阈值（源站服务器未部署在华为云） 10Mbit/s 30Mbit/s 50Mbit/s 100Mbit/s - 域名个数 10个（支持1个一级域名） 10个（支持1个一级域名） 50个（支持5个一级域名） 80个（支持8个一级域名） 2,000个（支持2,000个一级域名） 回源IP（单个防护域名支持的回源服务器IP个数） 10个 20个 50个 80个 - 支持的端口个数 说明： 云模式的专业版和铂金版支持定制非标准端口，您可以提交工单申请开通定制的非标准端口。 标准端口：2个（80，443） 标准端口：2个（80，443） 非标准端口：可任意使用WAF支持的端口列表中的端口，不限制数量。 标准端口：2个（80，443） 非标准端口：可任意使用WAF支持的端口列表中的端口，不限制数量。 标准端口：2个（80，443） 非标准端口：可任意使用WAF支持的端口列表中的端口，不限制数量。 标准端口：2个（80，443） 非标准端口：可任意使用WAF支持的端口列表中的端口，不限制数量。 CC攻击防护峰值 - 100,000QPS 200,000QPS 1,000,000QPS WAF实例规格选择WI-500，参考性能： 防护峰值：20,000QPS WAF实例规格选择WI-100，参考性能： 防护峰值：4,000QPS CC攻击防护规则 - 20条 50条 100条 100条 精准访问防护规则 - 20条 50条 100条 100条 引用表规则 - - 50条 100条 100条 IP黑白名单规则 - 1000条 2000条 5000条 1000条 地理位置封禁规则 - - 50条 100条 100条 网页防篡改规则 - 20条 50条 100条 100条 网站反爬虫规则 - - 50条 100条 100条 防敏感信息泄露 - - 50条 100条 100条 全局白名单规则 1000条 1000条 1000条 1000条 1000条 隐私屏蔽规则 - 20条 50条 100条 100条 安全报告模板 5个 5个 10个 20个 20个

云模式和独享模式使用说明 请您根据业务需求选择使用云模式-CNAME接入、云模式-ELB接入或独享模式，三种模式的部署架构如图1所示，主要差异说明如表1所示。 图1 部署架构 表1 各模式使用说明 项目 云模式 独享模式 CNAME接入 ELB接入 计费方式 包周期（包年/包月） 购买了云模式标准版、专业版或铂金版后，支持使用ELB接入，域名、QPS、规则扩展包的配额与云模式的CNAME接入方式共用。 按需计费 服务版本 入门版 标准版 专业版 铂金版 - - 使用场景 业务服务器部署在华为云、非华为云或线下。 各服务版本推荐使用的场景说明如下： 入门版 个人网站防护 标准版 中小型网站，对业务没有特殊的安全需求 专业版 中型企业级网站或服务对互联网公众开放，关注数据安全且具有高标准的安全需求 铂金版 中大型企业网站，具备较大的业务规模，或是具有制定个性化防护的安全需求 业务服务器部署在华为云。 大型企业网站，对业务稳定性有较高要求的安全防护需求。 业务服务器部署在华为云。 大型企业网站，具备较大的业务规模且基于业务特性具有制定个性化防护规则的安全需求。 防护对象 域名 域名 IP地址 域名 IP地址 优势 弹性扩容能力强，通过升级规格可以扩容防护能力 可以防护华为云、非华为云和云下的Web业务 支持IPv6防护 不改变业务架构，水平扩展防护能力 旁路部署，业务零影响 可靠性高 当WAF发生故障时，流量将直接通过ELB发送给后端，不影响客户正常业务。 部署灵活 独享引擎实例资源由用户独享 可以满足大规模流量攻击场景防护需求 独享引擎实例部署在VPC内，网络链路时延低

功能特性 通过Web应用防火墙，轻松应对各种Web安全风险，Web应用防火墙支持功能如下表。 功能类别 功能说明 业务配置 域名（泛域名、一级域名、二级域名等各级域名）/IP防护 说明： WAF云模式支持域名备案检查，添加防护域名时，WAF会检查域名备案情况，未备案域名将无法添加到WAF。 WAF支持云模式-CNAME接入、云模式-ELB接入和独享模式三种部署模式，各部署模式支持防护的对象说明如下： 云模式-CNAME接入：域名，华为云、非华为云或云下的Web业务 云模式-ELB接入：域名或IP，华为云的Web业务 独享模式：域名或IP，华为云的Web业务 HTTP/HTTPS业务防护 支持对网站的HTTP、HTTPS流量进行安全防护。 支持WebSocket/WebSockets协议 WAF支持WebSocket/WebSockets协议，且默认为开启状态。 非标端口防护 说明： 云模式的专业版和铂金版支持定制非标准端口，您可以提交工单申请开通定制的非标准端口。 Web应用防火墙除了可以防护标准的80，443端口外，还支持非标准端口的防护。 Web应用安全防护 Web基础防护 说明： 防护动作为“拦截”时，可使用攻击惩罚标准功能，即当恶意请求被拦截时，可自动封禁访问者一段时间。 覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对漏洞攻击、网页木马等威胁进行检测和拦截。 常规检测 防护SQL注入、XSS跨站脚本、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击。 Webshell检测 防护通过上传接口植入网页木马。 识别精准 内置语义分析+正则双引擎，黑白名单配置，误报率更低。 支持防逃逸，自动还原常见编码，识别变形攻击能力更强。 默认支持的编码还原类型：url_encode、Unicode、xml、OCT（八进制）、HEX（十六进制）、html转义、base64、大小写混淆、javascript/shell/php等拼接混淆。 深度检测 深度反逃逸识别（支持同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等的防护）。 header全检测 支持对请求里header中所有字段进行攻击检测。 Shiro解密检测 支持对Cookie中的rememberMe内容做AES，Base64解密后再检测。 CC攻击防护规则 限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，WAF会根据您配置的规则，精准识别CC攻击以及有效缓解CC攻击。 精准访问防护规则 说明： 防护动作为“阻断”时，可使用攻击惩罚标准功能，即当恶意请求被拦截时，可自动封禁访问者一段时间。 对常见的HTTP字段（如IP、路径、Referer、User Agent、Params等）进行条件组合，配置强大的精准访问控制策略；支持盗链防护、空字段拦截等防护场景。 黑白名单规则 说明： 防护动作为“拦截”时，可使用攻击惩罚标准功能，即当恶意请求被拦截时，可自动封禁访问者一段时间。 配置黑白名单规则，阻断、仅记录或放行指定IP的访问请求，即设置IP黑/白名单。 地理位置访问控制规则 针对指定国家、地区的来源IP自定义访问控制。 网页防篡改规则 当用户需要防护静态页面被篡改时，可配置网页防篡改规则。 网站反爬虫规则 动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别700+种爬虫行为。 特征反爬虫 自定义扫描器与爬虫规则，用于阻断网页爬取行为，添加定制的恶意爬虫、扫描器特征，使爬虫防护更精准。 JS脚本反爬虫 通过自定义规则识别并阻断JS脚本爬虫行为。 防敏感信息泄露规则 该规则可添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 全局白名单规则 针对特定请求忽略某些攻击检测规则，用于处理误报事件。 隐私屏蔽规则 隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。 高级配置 PCI DSS/PCI 3DS合规认证和TLS TLS支持TLS v1.0、TLS v1.1、TLS v1.2三个版本和七种加密套件，可以满足各种行业客户的安全需求。 WAF支持PCI DSS和PCI 3DS合规认证功能。 IPv6防护 Web应用防火墙支持IPv6/IPv4双栈，针对同一域名可以同时提供IPv6和IPv4的流量防护。 针对仍然使用IPv4协议栈的Web业务，Web应用防火墙支持NAT64机制（NAT64是一种通过网络地址转换（NAT）形式促成IPv6与IPv4主机间通信的IPv6转换机制），即WAF可以将IPv4源站转化成IPv6网站，将外部IPv6访问流量转化成对内的IPv4流量。 熔断保护 当502/504请求数量或读等待URL请求数量以及占比阈值达到您设置的值时，将触发WAF熔断功能开关，实现宕机保护和读等待URL请求保护。 配置攻击惩罚的流量标识 WAF根据配置的流量标识识别客户端IP、Session或User标记，以分别实现IP、Cookie或Params恶意请求的攻击惩罚功能。 手动设置网站连接超时时间 浏览器到WAF引擎的连接超时时长默认是120秒，该值取决于浏览器的配置，该值在WAF界面不可以手动设置。 WAF到客户源站的连接超时时长默认为30秒，该值可以在WAF界面手动设置，但仅“独享模式”和“云模式”的专业版、铂金版支持手动设置连接超时时长。 高阶功能 内容安全检测服务 基于丰富的违规样例库和内容审核专家经验，通过机器审核加人工审核结合的方式，帮助您准确检测出Web网站和新媒体平台上的关于涉黄、涉赌、涉毒、暴恐、违禁等敏感违规内容，并提供文本内容纠错审校，助您降低内容违规风险 防护事件管理 当Web应用防火墙拦截或者仅记录的攻击事件为误报时，用户可通过Web应用防火墙处理误报事件、查看事件详情。 用户可以通过Web应用防火墙服务下载5天内的全量防护事件数据。 WAF支持全量日志功能，您可以将攻击日志、访问日志记录到华为云的云日志服务（Log Tank Service，简称LTS）。 告警通知 通过对攻击日志进行通知设置，WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式（例如邮件或短信）发送给用户。 同时，您也可以配置证书到期通知，证书即将到期时，WAF将通过用户设置的接收通知方式（例如邮件或短信）通知用户。 安全可视化 提供简洁友好的控制界面，实时查看攻击信息和事件日志。 策略事件集中配置 在Web应用防火墙服务的控制台集中配置适用于多个防护域名的策略，快速下发，快速生效。 流量及事件统计信息 实时查看访问次数、安全事件的数量与类型、详细的日志信息。 灵活性、可靠性 多区域多集群部署，支持负载均衡，可在线平滑扩容，没有单点故障，最大限度保护业务运行稳定。

修订记录 发布日期 修改说明 2024-06-05 第八十三次正式发布。 增加： 约束与限制 2024-04-10 第八十二次正式发布。 修改： 功能特性 2024-01-31 第八十一次正式发布。 修改： 什么是Web应用防火墙 服务版本差异 2023-11-10 第八十次正式发布。 修改服务版本差异章节。 2023-10-23 第七十九次正式发布。 增加内容安全检测。 修改功能特性。 2023-07-26 第七十八次正式发布。 修改与云审计服务的关系章节。 2023-06-30 第七十七次正式发布。 修改服务版本差异章节。 2023-06-21 第七十六次正式发布。 修改服务版本差异：增加资源建议。 2023-06-01 第七十五次正式发布。 修改： 服务版本差异 功能特性 2023-05-09 第七十四次正式发布。 修改： 功能特性 应用场景 服务版本差异 2023-03-25 第七十三次正式发布。 修改服务版本差异章节。 2023-03-03 第七十二次正式发布。 修改： 服务版本差异 功能特性 2023-02-08 第七十一次正式发布。 修改： 服务版本差异 计费说明 2022-11-16 第七十次正式发布。 修改服务版本差异：增加相关证书的说明。 2022-11-09 第六十九次正式发布。 新增安全章节。 2022-11-04 第六十八次正式发布。 修改以下章节： 服务版本差异 计费说明 2022-10-25 第六十七次正式发布。 修改什么是Web应用防火墙章节。 2022-10-10 第六十六次正式发布。 修改“计费说明”章节。 2022-09-07 第六十五次正式发布。 修改以下章节： 服务版本差异 功能特性 2022-08-03 第六十四次正式发布。 删除独享模式通过提交工单方式开通的描述，修改如下章节： 服务版本差异 计费说明 2022-07-04 第六十三次正式发布。 全局白名单功能上线，修改如下章节： 功能特性 服务版本差异 WAF权限管理 与其他云服务的关系 2022-06-22 第六十二次正式发布。 修改服务版本差异章节。 2022-06-09 第六十一次正式发布。 修改功能特性章节：增加了网站连接超时时间和连接保护。 2022-05-30 第六十次正式发布。 修改功能特性章节：非标准端口排序。 2022-05-26 第五十九次正式发布。 修改如下章节： 服务版本差异：“检测版”更名为“入门版”。 计费说明：“检测版”更名为“入门版”。 功能特性 2022-05-12 第五十八次正式发布。 修改如下章节： 服务版本差异 计费说明 产品优势 2022-05-07 第五十七次正式发布。 修改个人数据保护机制章节。 2022-03-07 第五十六次正式发布。 支持独享模式，修改如下章节： 服务版本差异 计费说明 2022-02-10 第五十五次正式发布。 服务版本差异，优化内容描述。 2022-01-21 第五十四次正式发布。 服务版本差异，优化内容描述。 2021-12-30 第五十三次正式发布。 与其他云服务的关系，新增与云监控服务相关内容。 2021-12-10 第五十二次正式发布。 服务版本差异，修改规格描述。 2021-11-08 第五十一次正式发布。 服务版本差异，修改规格描述。 2021-11-04 第五十次正式发布。 服务版本差异，修改规格描述。 2021-10-12 第四十九次正式发布。 功能特性，优化部分文字描述。 2021-09-23 第四十八次正式发布。 WAF权限管理，修改策略内容描述。 2021-09-17 第四十七次正式发布。 服务版本差异，优化部分文字描述。 2021-08-12 第四十六次正式发布。 服务版本差异，优化部分文字描述。 2021-08-06 第四十五次正式发布。 云模式服务版本名称变更：原专业版变更为标准版、原企业版变更为专业版、原旗舰版变更为铂金版。 2021-08-02 第四十四次正式发布。 功能特性，优化部分文字内容描述。 2021-07-06 第四十三次正式发布。 什么是Web应用防火墙，优化部分文字内容描述。 2021-06-16 第四十二次正式发布。 服务版本差异，优化部分文字内容描述。 2021-05-27 第四十一次正式发布。 服务版本差异，优化部分文字内容描述。 2021-05-24 第四十次正式发布。 功能特性，新增功能特性描述。 2021-05-18 第三十九次正式发布。 什么是Web应用防火墙，新增防护对象内容描述。 2021-04-30 第三十八次正式发布。 计费说明，增加QPS扩展包包计费说明。 2021-04-07 第三十七次正式发布。 服务版本差异，新增安全特性描述。 2021-03-02 第三十六次正式发布。 服务版本差异，修改部署架构图。 2021-02-25 第三十五次正式发布。 新增项目和企业项目。 与其他云服务的关系，增加与企业管理关系说明。 2021-02-23 第三十四次正式发布。 服务版本差异，修改内容描述。 2021-02-05 第三十三次正式发布。 服务版本差异，优化部分文字内容描述。 2021-01-25 第三十二次正式发布。 服务版本差异，优化部分文字内容描述。 2020-12-31 第三十一次正式发布。 功能特性，优化部分文字内容描述。 2020-12-25 第三十次正式发布。 服务版本差异，优化部分文字内容描述。 计费说明，优化部分文字内容描述。 2020-12-11 第二十九次正式发布。 删除云模式按需计费相关描述。 2020-10-22 第二十八次正式发布。 服务版本差异，修改按需计费规格。 2020-09-23 第二十七次正式发布。 与其他云服务的关系，优化部分文字内容描述。 2020-09-11 第二十六次正式发布。 功能特性，补充云模式按需计费支持端口说明。 计费说明，补充云模式按需计费相关内容说明。 2020-07-31 第二十五次正式发布。 计费说明，优化部分文字内容描述。 2020-07-08 第二十四次正式发布。 服务版本差异，补充独享模式相关内容描述。 计费说明，优化部分文字内容描述。 2020-06-24 第二十三次正式发布。 服务版本差异，补充入门版内容。 2020-06-22 第二十二次正式发布。 WAF权限管理，补充细粒度策略内容。 2020-06-16 第二十一次正式发布。 服务版本差异，优化域名描述。 2020-06-11 第二十次正式发布。 服务版本差异，优化部分文字内容描述。 2020-05-26 第十九次正式发布。 计费说明，优化部分文字内容描述。 2020-05-19 第十八次正式发布。 新增“计费说明”。 2020-03-19 第十七次正式发布。 功能特性，修改非标准端口。 2020-01-20 第十六次正式发布。 WAF权限管理，优化部分文字内容描述。 2019-12-26 第十五次正式发布。 功能特性，优化部分文字内容描述。 2019-12-09 第十四次正式发布。 服务版本差异，优化部分文字内容描述。 功能特性，优化部分文字内容描述。 2019-11-28 第十三次正式发布。 功能特性，优化部分文字内容描述。 服务版本差异，优化部分文字内容描述。 2019-10-25 第十二次正式发布。 新增个人数据保护机制。 2019-10-14 第十一次正式发布。 什么是Web应用防火墙，优化部分文字内容描述。 功能特性，优化部分文字内容描述。 服务版本差异，优化部分文字内容描述。 应用场景，优化部分文字内容描述。 2019-05-16 第十次正式发布。 功能特性，优化部分文字内容描述。 2019-05-14 第九次正式发布。 新增功能特性。 什么是Web应用防火墙，优化部分文字内容描述。 与其他云服务的关系，优化部分文字内容描述。 2018-11-08 第八次正式发布。 设置短描述和关键字。 2018-10-29 第七次正式发布。 什么是Web应用防火墙，优化部分文字内容描述。 2018-04-26 第六次正式发布。 新增WAF权限管理。 2018-04-12 第五次正式发布。 什么是Web应用防火墙，增加防敏感信息泄露相关内容。 2018-04-02 第四次正式发布。 什么是Web应用防火墙，优化部分文字内容描述。 2018-03-27 第三次正式发布。 什么是Web应用防火墙，增加功能介绍内容描述。 删除“概念”章节。 2018-01-11 第二次正式发布。 与其他云服务的关系，增加与云审计服务的关系描述内容。 2017-10-30 第一次正式发布。

与企业管理的关系 企业中有多个项目，多个项目的资源需要分开结算，且分属不同人员进行管理。同时项目可以单独启动或停止，对其他项目没有影响。企业管理可以针对企业中的每个项目，分别建立企业项目，管理各自的资源，并且针对不同的企业项目，设置不同的人员进行管理。 Web应用防火墙支持企业管理，您可以将Web应用防火墙上的资源按照企业项目进行管理，并设置每个企业项目的用户权限。 目前华北-乌兰察布一区域不支持企业管理功能。

购买规格限制 云模式入门版不支持购买扩展包。 同一账号在同一个大区域（例如，华东区域（华东-上海一、华东-上海二）只能选择一个服务版本。 有关支持购买WAF的区域说明，请参见Web应用防火墙支持防护哪些区域？。 原则上，在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率，建议您在购买WAF时，根据防护业务的所在区域就近选择购买的WAF区域。 如果WAF独享引擎实例与源站不在同一个VPC中，可通过对等连接打通两个VPC之间网络，但受限于网络的不稳定性，建议WAF独享引擎实例与源站在同一个VPC中。 购买了云模式标准版、专业版或铂金版后，才支持使用ELB接入方式，域名、QPS、规则扩展包的配额与云模式的CNAME接入方式共用，且ELB接入方式的业务规格与购买的云模式版本的对应规格一致。 扩展包规格： 一个域名包支持10个域名，限制仅支持1个一级域名和与一级域名相关的子域名或泛域名。 一个QPS扩展包的QPS限制和带宽限制： 对于部署在华为云的Web应用 业务带宽：50Mbit/s 每秒钟的请求量：1000QPS（Queries Per Second，例如一个HTTP GET请求就是一个Query） 对于未部署在华为云的Web应用 业务带宽：20Mbit/s 每秒钟的请求量：1000QPS（Queries Per Second，例如一个HTTP GET请求就是一个Query） 购买了云模式标准版、专业版或铂金版后，才支持使用ELB接入方式，域名、QPS、规则扩展包的配额与云模式的CNAME接入方式共用，且ELB接入方式的业务规格与购买的云模式版本的对应规格一致。 带宽限制仅对云模式-CNAME方式接入的网站有限制，通过ELB模式接入的网站，没有带宽限制，仅有QPS限制。 一个规则扩展包包含10条IP黑白名单防护规则。

网站接入限制 接入模式限制： 云模式-CNAME接入只能防护域名，不能防护IP；云模式-ELB接入和独享模式能防护域名和IP，但只能防护业务服务器部署在华为云的网站。 云模式入门版不支持添加泛域名。 云模式仅专业版和铂金版支持IPv6防护、HTTP2协议、负载均衡算法。 云模式入门版、标准版在添加防护域名时，“策略配置”只能选择“系统自动生成策略”，不支持选择自定义的策略。 域名限制： WAF支持防护多级别单域名（例如，一级域名example.com，二级域名www.example.com等）和泛域名（例如，*.example.com）。 泛域名添加说明如下： WAF支持添加“*”的泛域名，域名配置为“*”时，只能防护除80、443端口以外的非标端口。 如果各子域名对应的服务器IP地址相同：输入防护的泛域名。例如：子域名a.example.com，b.example.com和c.example.com对应的服务器IP地址相同，可以直接添加泛域名*.example.com。 如果各子域名对应的服务器IP地址不相同：请将子域名按“单域名”方式逐条添加。 同一防护域名不能重复添加到WAF。 同一个域名对应不同非标准端口视为不同的防护对象，例如www.example.com:8080和www.example.com:8081为两个不同的防护对象，且占用两个域名防护配额。如果您需要防护同一域名的多个端口，您需要将该域名和端口逐一添加到WAF。 通过云模式-CNAME接入方式接入的域名，请确保域名已经过ICP备案，WAF会检查域名备案情况，未备案域名将无法添加。 ELB限制： 准备以独享模式接入WAF的网站已经使用独享型ELB（Elastic Load Balance）作为负载均衡。有关ELB类型的详细介绍，请参见共享型弹性负载均衡与独享型负载均衡的功能区别。 2023年4月之前的独享引擎版本，不支持与独享ELB网络型配合使用。因此，如果您使用了独享ELB网络型（TCP/UDP）负载均衡，请确认独享WAF实例已升级到最新版本（2023年4月及之后的版本）。 准备以云模式-ELB接入WAF的网站仅支持与独享型ELB配套使用，且“规格”必须为“应用型（HTTP/HTTPS）”，不支持“网络型（TCP/UDP）”的独享型的ELB。 证书限制： WAF当前仅支持PEM格式证书。 目前华为云SCM证书只能推送到“default”企业项目下。如果您使用其他企业项目，则不能选择使用SCM推送的SSL证书。 拥有“SCM Administrator”和“SCM FullAccess”权限的账号才能选择SCM证书。 规格限制： 将网站接入WAF后，网站的文件上传请求限制为10G。

计费模式概述 CodeArts采用包年/包月计费模式，提供CodeArts套餐、资源扩展、增值特性。 CodeArts套餐：包括体验版、基础版、专业版、企业版。使用CodeArts前必须选择一种CodeArts套餐，完成开通购买。 资源扩展：提供并发扩展、存储扩展、流量扩展、执行时长扩展。购买资源扩展前，须购买CodeArts基础版及以上规格套餐。 增值特性：包括代码安全检查增强包、构建加速包、测试设计、效能洞察增强包。购买代码安全检查增强包前，须购买CodeArts专业版或企业版套餐；购买构建加速包、测试设计、效能洞察增强包前，须购买CodeArts基础版及以上规格套餐。 父主题： 计费模式

效能洞察增强包 表4 效能洞察增强包 计费方式 包年/包月 适用场景 效能洞察增强包扩展了数据开放性，适用于打通第三方数据源，连接数据孤岛，以及数据的第三方集成。支持数据连接、数据集、自助取数、研发数字化大屏等高阶特性。 计费项 人数 购买限制 购买效能洞察增强包前，须完成CodeArts基础版及以上规格套餐购买，购买的套餐到期后，效能洞察增强包将无法继续使用。 购买人数需≥CodeArts套餐购买人数以上。 计费公式 单价*人数*购买时长。 计费周期 根据购买时长确定（以GMT+8时间为准）。一个计费周期的起点是您开通或续费效能洞察增强包的时间（精确到秒），终点则是到期日的23:59:59。 例如，如果您在2023/03/08 15:50:04购买时长为一个月的效能洞察增强包，那么其计费周期为：2023/03/08 15:50:04 ~ 2023/04/08 23:59:59。 变更配置 效能洞察增强包性支持变更配置，可以增加或减少人数，变更时系统将按照如下规则为您计算变更费用。 资源升配：变更后的人数高于变更前，此时您需要支付新老配置的差价。 资源降配：变更后的人数低于变更前，此时会将新老配置的差价退给您。 更多信息请参见变更资源规格费用说明。 到期后影响 效能洞察增强包到期未续费时，效能洞察相关功能将无法继续使用。