华为云用户手册

功能特性 华为云标准直播提供了直播推流、直播播放、直播转码、直播录制等功能，广泛地用于在线教育、互动文娱等场景。具体如表1所示。 HTTP协议存在安全风险，建议使用HTTPS协议。 表1 功能特性 类别 特性名称 特性说明 直播推流 推流协议 支持RTMP协议推流，也支持纯音频或纯视频推流。 推流形式 支持常见的第三方软件例如OBS/XSplit/FMLE等。 上行加速 支持直播内容上行推流加速、用户接入点/设备调度（DNS/HTTP DNS）、访问鉴权、弹性伸缩。 直播播放 播放协议 标准直播场景：支持RTMP、HTTP-FLV和HLS三种播放协议。 低时延直播场景：支持WebRTC播放协议（支持降级到HTTP-FLV）。 播放形式 标准直播场景：支持常见的第三方播流软件，如VLC等。 低时延直播场景：支持通过低时延在线Demo或根据API接口开放web端播放。 下行加速 提供直播内容下行分发加速、用户接入点/设备调度（DNS/HTTP DNS）、访问鉴权、弹性伸缩。 直播流处理 录制 支持将直播流录制存储到对象存储服务（OBS），直播流录制格式为HLS、FLV和MP4。 转码 支持对直播流进行多规格转码，支持H.264和H.265标准转码和高清低码转码。 截图 支持对直播流进行截图存储到OBS桶中，截图文件暂只支持JPG格式。 延时 支持修改播放延时。 说明： 低时延直播场景下，不建议使用此功能。 拉流回源 支持将自有源站中的直播内容拉取到华为云直播源站进行加速分发。 直播管理 管理方式 支持通过视频直播控制台进行图形化管理，也支持调用API进行直播管理。 直播控制台 总览 支持查看直播的今日下行流量、下行带宽峰值等数据。 支持变更直播的CDN计费模式。 直播管理 支持查看在线流和禁推流信息。 支持查看录制文件。 域名管理 支持新增、删除、停用、启用直播推流域名和播放域名。 支持推流域名和播放域名关联或取消关联。 推流域名支持配置转码、录制、截图和开停播通知等，支持推流鉴权。 播放域名支持配置拉流回源、HTTPS证书和延时等，支持Key防盗链、Referer防盗链和IP黑名单。 用量统计 支持查看所有播放域名的下行带宽/流量使用统计信息，还支持查看所有推流域名的转码时长、录制最大并发数和截图数量统计信息。 业务监控 支持查看播放域名的下行带宽/流量使用量、播放画像信息、请求响应返回的所有状态码及对应直播流的在线观看人数等数据，还支持查看对应推流域名的上行带宽/流量使用量、总推流路数及推流帧率/码率等监控信息。 大屏监控 支持对所有直播资源的用量及分布情况进行实时监控。 日志管理 支持查看播放域名被网络用户访问的详细日志，可下载最近90天的日志文件。 支持实时查看播放域名被网络用户访问的详细日志记录。 云资源授权 支持将OBS桶授权给直播服务，允许直播服务将视频截图存储在对应的桶中。 工具库 支持使用防盗地址生成工具快速生成推流域名和播放域名的鉴权URL。 直播安全 URL鉴权 支持自定义鉴权Key，用于校验直播推流和播放请求的URL的合法性。 Referer防盗链 支持对播放请求的Referer进行识别和过滤。 IP黑白名单 支持对播放请求者的IP进行识别和过滤。 HTTPS安全加速 支持使用播放域名的证书配置HTTPS，并将其部署到CDN节点，从而实现HTTPS安全加速。 直播API 域名管理 支持通过API创建、删除、修改和查询直播域名。 支持为已创建的播放域名和推流域名建立或删除域名映射关系。 直播转码 支持通过API查询、修改、创建和删除直播转码模板。 流管理 支持通过API查询和修改禁推属性，查询直播加速数据等。 鉴权管理 支持通过API查询、更新和删除指定域名的Key防盗链配置。 截图管理 支持通过API创建、删除、修改和查询直播截图配置。 日志管理 支持通过API获取直播播放日志。 录制管理 支持通过API创建、查询、删除直播录制模板，实现直播流录制到OBS桶中，供用户预览和回看。 录制回调管理 支持通过API创建、删除、修改、查询直播录制状态回调消息。 支持通过API查询录制回调配置列表信息。 HTTPS证书管理 支持通过API查询、修改和删除指定域名的https证书配置。 OBS桶管理 支持通过API进行OBS桶授权及取消授权。 数据统计分析 支持通过API查询播放流量、带宽数据，查询指定时间范围内的播放带宽峰值、流量汇总数据等。 流监控 支持通过API查询单个直播流的推流帧率和码率数据。 直播SDK 服务端SDK 支持多种开发语言的SDK，帮助您轻松实现二次开发。目前支持：Java、Python、Go、PHP。

前提条件 域名或IP已接入CDN，且已完成如表1所示配置操作。 表1 WAF各模式配置说明 部署模式 配置说明 云模式-CNAME接入 已购买WAF云模式。 已将域名信息（源站服务器的IP、端口等信息）添加到WAF云模式。 说明： 当源站存在IPv6地址，默认开启IPv6防护。WAF为了防止客户IPv6的业务中断，禁止关闭IPv6的开关，如果确定不需要IPv6防护，需要先修改服务器配置，在源站删除IPv6的配置，具体的操作方法请参见修改服务器配置信息。 在域名的DNS服务商处有添加域名的权限。 （可选）放行WAF回源段IP。源站服务器上已启用非华为云安全软件（如安全狗、云锁）时，您需要在这些软件上设置放行WAF回源段IP，防止由WAF转发到源站的正常业务流量被拦截。具体请参考通过ECS/ELB访问控制策略保护源站安全。 云模式-ELB接入 已购买WAF云模式。 已将域名信息添加到ELB模式。 独享模式 已购买WAF独享模式。 已将域名信息（源站服务器的IP、端口等信息）添加到WAF独享模式，并完成以下操作： 已为WAF独享模式实例配置负载均衡。 已为弹性负载均衡绑定弹性公网IP。 放行独享引擎回源IP。

防护原理 当用户访问使用CDN服务的网站时，本地DNS服务器通过CNAME方式将最终域名请求重定向到CDN服务。CDN通过一组预先定义好的策略（如内容类型、地理区域、网络负载状况等），将当时能够最快响应用户的CDN节点IP地址提供给用户，使用户可以以最快的速度获得网站内容。 CDN支持的对象：域名，华为云、非华为云或云下的Web业务 Web应用防火墙通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 WAF支持云模式-CNAME接入、云模式-ELB接入和独享模式三种部署模式，各部署模式支持防护的对象说明如下： 云模式-CNAME接入：域名，华为云、非华为云或云下的Web业务 云模式-ELB接入：域名或IP，华为云的Web业务 独享模式：域名或IP，华为云的Web业务 CDN+WAF可以对华为云、非华为云或云下的域名进行联动防护，同时提升网站的响应速度和网站防护能力，配置原理图如图1所示。 图1 使用代理配置原理图 CDN+WAF配置后，流量被CDN加速后转发到WAF，WAF再将流量转到源站，在提升用户访问网站的响应速度与网站的可用性的同时，实现网站流量检测和攻击拦截。 相关配置说明如下： 云模式-CNAME接入 先将域名解析到CDN，再修改CDN源站信息，将源站域名修改为WAF的“CNAME”，同时，为了防止其他用户提前将您的域名配置到Web应用防火墙上，从而对您的域名防护造成干扰，建议您到DNS服务商处添加一条WAF的子域名和TXT记录。 云模式-ELB接入 先将域名解析到CDN，再修改CDN源站信息，将源站IP修改为ELB模式实例所绑定ELB的弹性公网IP。 独享模式 先将域名解析到CDN，再修改CDN源站信息，将源站IP修改为WAF独享引擎实例配置弹性负载均衡绑定的弹性公网IP。

生效条件 当“接入状态”为“已接入”，表示域名/IP接入成功。 WAF每隔一小时就会自动检测防护网站的 接入状态，当WAF统计防护网站在5分钟内达到20次访问请求时，将认定该防护网站已成功接入WAF。 WAF默认只检测两周内新增或更新的域名的接入状态，如果域名创建时间在两周前，且最近两周内没有任何修改，您可以在“接入状态”栏，单击，手动刷新接入状态。 如果域名接入失败，即域名接入状态为“未接入”，请参考域名/IP接入状态显示“未接入”，如何处理？排查处理。

前提条件 已购买DDoS高防实例并已完成DDoS高防网站类业务接入，且已完成如表1所示配置操作。 表1 WAF各模式配置说明 部署模式 配置说明 云模式-CNAME接入 已购买WAF云模式。 已将域名信息（源站服务器的IP、端口等信息）添加到WAF云模式。 说明： 当源站存在IPv6地址，默认开启IPv6防护。WAF为了防止客户IPv6的业务中断，禁止关闭IPv6的开关，如果确定不需要IPv6防护，需要先修改服务器配置，在源站删除IPv6的配置，具体的操作方法请参见修改服务器配置信息。 在域名的DNS服务商处有添加域名的权限。 （可选）放行WAF回源段IP。源站服务器上已启用非华为云安全软件（如安全狗、云锁）时，您需要在这些软件上设置放行WAF回源段IP，防止由WAF转发到源站的正常业务流量被拦截。具体请参考通过ECS/ELB访问控制策略保护源站安全。 云模式-ELB接入 已购买WAF云模式。 已将域名信息添加到ELB模式。 独享模式 已购买WAF独享模式。 已将域名信息（源站服务器的IP、端口等信息）添加到WAF独享模式，并完成以下操作： 已为WAF独享模式实例配置负载均衡。 已为弹性负载均衡绑定弹性公网IP。 放行独享引擎回源IP。

生效条件 当“接入状态”为“已接入”，表示域名/IP接入成功。 WAF每隔一小时就会自动检测防护网站的 接入状态，当WAF统计防护网站在5分钟内达到20次访问请求时，将认定该防护网站已成功接入WAF。 WAF默认只检测两周内新增或更新的域名的接入状态，如果域名创建时间在两周前，且最近两周内没有任何修改，您可以在“接入状态”栏，单击，手动刷新接入状态。 如果域名接入失败，即域名接入状态为“未接入”，请参考域名/IP接入状态显示“未接入”，如何处理？排查处理。

防护原理 DDoS高防通过高防IP代理源IP对外提供服务，将所有的公网流量都引流至高防IP，进而隐藏源站，避免源站（用户业务）遭受大流量DDoS攻击。 DDoS高防支持防护的对象：域名，华为云、非华为云或云下的Web业务 Web应用防火墙通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 WAF支持云模式-CNAME接入、云模式-ELB接入和独享模式三种部署模式，各部署模式支持防护的对象说明如下： 云模式-CNAME接入：域名，华为云、非华为云或云下的Web业务 云模式-ELB接入：域名或IP，华为云的Web业务 独享模式：域名或IP，华为云的Web业务 DDoS高防+WAF可以对华为云、非华为云或云下的域名进行联动防护，可以同时防御DDoS攻击（NTP Flood攻击、SYN Flood攻击、ACK Flood攻击、ICMP Flood攻击、HTTP Get Flood攻击等），以及Web应用攻击（SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等），确保业务持续可靠运行，配置原理图如图1所示。 图1 使用代理配置原理图 DDoS高防+WAF配置后，流量被DDoS高防转发到WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。 相关配置说明如下： 云模式-CNAME接入 先将域名解析到DDoS高防，再修改DDoS高防域名信息，将源站域名修改为WAF的“CNAME”。同时，为了防止其他用户提前将您的域名配置到WAF上，从而对您的域名防护造成干扰，建议您到DNS服务商处添加一条WAF的子域名和TXT记录。 云模式-ELB接入 先将域名解析到DDoS高防，再修改DDoS高防域名信息，将源站IP修改为添加到ELB模式中选择的ELB对应的弹性公网IP。 独享模式 先将域名解析到DDoS高防，再修改DDoS高防域名信息，将源站IP修改为WAF独享引擎实例配置弹性负载均衡绑定的弹性公网IP。

防护原理（云模式-CNAME接入、独享模式接入） 通过WAF云模式-CNAME接入或者独享模式将网站添加并接入WAF后，网站所有访问请求将先流转到WAF，WAF检测过滤恶意攻击流量后，将正常流量返回给源站，从而确保源站安全、稳定、可用。 图1 防护原理 流量经WAF返回源站的过程称为回源。WAF通过回源IP代替客户端发送请求到源站服务器，接入WAF后，在客户端看来，所有的目标IP都是WAF的IP，从而隐藏源站IP。 图2 回源IP

防护原理（云模式-ELB接入） 通过云模式-ELB接入的方式将网站接入WAF防护，其原理如下： 通过SDK模块化的方式将WAF集成在ELB的网关中，WAF通过内嵌在网关中的SDK提取流量并进行检测和防护。 WAF将检测结果同步给ELB，由ELB根据WAF的检测结果决定是否将客户端请求转发到源站。 该过程中，WAF不参与流量转发，避免因额外引入一层转发而带来各种兼容性和稳定性问题。 图3 ELB接入防护原理

各版本支持的功能特性 云模式各个版本、独享模式适用的安全功能特性如表3所示，请您根据业务需求选择对应的服务版本。其中，云模式支持入门版、标准版、专业版和铂金版，您可以通过变更WAF云模式版本和规格从较低版本升级到任一更高版本，以满足更多防护功能需求。 云模式的专业版和铂金版支持定制非标准端口，您可以提交工单申请开通定制的非标准端口。 标识说明： √：表示在当前版本中支持。 ×：表示在当前版本中不支持。 -：表示不涉及，通过ELB实现。ELB支持的功能特性详见弹性负载均衡功能特性对比。 表3 安全功能特性 功能模板 云模式-CNAME接入 云模式-ELB接入 独享模式 入门版 标准版 专业版 铂金版 域名/QPS/规则扩展包 × √ √ √ √（与CNAME接入共用配额） × 域名备案检查 √ √ √ √ × × 支持添加泛域名 × √ √ √ √ √ 非80、443标准端口防护 × √ √ √ - √ 非80、443标准端口定制 × × √ √ - × 批量灵活配置防护策略 √（仅支持批量配置全局白名单规则） × √ √ √ √ 为防护策略批量配置适用的防护域名 × × √ √ √ √ 支持IPv6防护 须知： 支持IPv6防护的版本，请参考哪些版本支持IPv6防护？ × × √ √ - × 常见的Web应用攻击防护，包括SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等 √ √ √ √ √ √ 云端自动更新最新0Day漏洞防护规则，及时下发0Day漏洞虚拟补丁 √ √ √ √ √ √ Webshell检测 √ √ √ √ √ √ 深度检测，同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸检测 √ √ √ √ √ √ header全检测，对请求里header中所有字段进行攻击检测 √ √ √ √ √ √ CC攻击防护 × √ √ √ √ √ 精准访问防护 × √（不支持全检测） √ √ √ √ 引用表管理 × × √ √ √ √ IP黑白名单设置，支持批量导入IP地址/IP地址段 × √ √ √ √ √ 支持对指定国家、省份的IP自定义访问控制 × × √ √ √ √ 网页防篡改 × √ √ √ × √ 检测并拦截搜索引擎、扫描器、脚本工具、其它爬虫等爬虫行为 × × √ √ √ √ 检测并拦截JS脚本反爬虫检测行为 × × √ √ × √ 防敏感信息泄露 × × √ √ × √ 全局白名单规则 √ √ √ √ √ √ 隐私屏蔽 × √ √ √ √ √ 资源建议 - - - - - 使用独享实例时，建议在云监控（CES）服务配置资源监控及告警：建议CPU使用率不超过70%，内存使用率不超过80% 说明： 当业务请求较大或自定义防护策略复杂时，会增加对CPU、内存的消耗；极端情况下，性能指标会有较大波动。建议根据业务模型压测后，做好性能规格的评估。

各版本支持的业务规格 WAF各个模式适用的业务规格如表2所示。其中，购买云模式时您可以选择购买域名扩展包、QPS扩展包和规则扩展包，以满足更多域名、更大流量的防护需求，也可以购买额外的扩展包或者通过变更WAF云模式版本和规格从较低版本升级到任一更高版本。 购买了云模式标准版、专业版或铂金版，才支持使用ELB接入的方式，其业务规格与购买的云模式版本的对应规格一致。 扩展包限制和规格说明如下： 一个域名包支持10个域名，限制仅支持1个一级域名和与一级域名相关的子域名或泛域名。 一个QPS扩展包的QPS限制和带宽限制： 对于部署在华为云的Web应用 业务带宽：50Mbit/s 每秒钟的请求量：1000QPS（Queries Per Second，例如一个HTTP GET请求就是一个Query） 对于未部署在华为云的Web应用 业务带宽：20Mbit/s 每秒钟的请求量：1000QPS（Queries Per Second，例如一个HTTP GET请求就是一个Query） 购买了云模式标准版、专业版或铂金版后，才支持使用ELB接入方式，域名、QPS、规则扩展包的配额与云模式的CNAME接入方式共用，且ELB接入方式的业务规格与购买的云模式版本的对应规格一致。 带宽限制仅对云模式-CNAME方式接入的网站有限制，通过ELB模式接入的网站，没有带宽限制，仅有QPS限制。 一个规则扩展包包含10条IP黑白名单防护规则。 域名个数为一级域名（例如，example.com）、单域名/二级域名等子域名（例如，www.example.com）和泛域名（例如，*.example.com）的总数。例如，标准版支持防护10个域名，可以添加1个一级域名和9个与其相关的子域名或泛域名。 同一个域名对应不同端口视为不同的域名，例如www.example.com:8080和www.example.com:8081视为两个不同的域名，将占用两个不同的域名防护额度。 WAF支持上传的证书套数和WAF支持防护的域名的个数相同。例如，购买了标准版WAF（支持防护10个域名）、1个独享版WAF（支持防护2,000个域名）和域名扩展包（20个域名），WAF可以防护2,030个域名，则WAF支持上传2,030套证书。 表2 适用的业务规格 业务规格 入门版 标准版 专业版 铂金版 独享模式 正常业务请求峰值 100 QPS业务请求 6,000 回源长连接（每域名） 2,000 QPS业务请求 6,000回源长连接（每域名） 5,000 QPS业务请求 6,000 回源长连接（每域名） 10,000 QPS业务请求 6,000 回源长连接（每域名） 以下数据为单实例规格： WAF实例规格选择WI-500，参考性能： HTTP业务：建议QPS 5,000；极限QPS 10,000 HTTPS业务：建议QPS 4,000；极限QPS 8,000 Websocket业务：支持最大并发连接5,000 最大回源长连接：60,000 WAF实例规格选择WI-100，参考性能： HTTP业务：建议QPS 1,000；极限QPS 2,000 HTTPS业务：建议QPS 800；极限QPS 1,600 Websocket业务：支持最大并发连接1,000 最大回源长连接：60,000 须知： 极限值为实验室测试值，高敏感业务请以实际业务测试数据为准。实际QPS与业务请求数据大小、自定义防护规则种类及数量相关 业务带宽阈值（源站服务器部署在华为云） 10Mbit/s 100Mbit/s 200Mbit/s 300Mbit/s WAF实例规格选择WI-500，参考性能： 吞吐量：500 Mbps WAF实例规格选择WI-100，参考性能： 吞吐量：100 Mbps 业务带宽阈值（源站服务器未部署在华为云） 10Mbit/s 30Mbit/s 50Mbit/s 100Mbit/s - 域名个数 10个（支持1个一级域名） 10个（支持1个一级域名） 50个（支持5个一级域名） 80个（支持8个一级域名） 2,000个（支持2,000个一级域名） 回源IP（单个防护域名支持的回源服务器IP个数） 10个 20个 50个 80个 - 支持的端口个数 说明： 云模式的专业版和铂金版支持定制非标准端口，您可以提交工单申请开通定制的非标准端口。 标准端口：2个（80，443） 标准端口：2个（80，443） 非标准端口：可任意使用WAF支持的端口列表中的端口，不限制数量。 标准端口：2个（80，443） 非标准端口：可任意使用WAF支持的端口列表中的端口，不限制数量。 标准端口：2个（80，443） 非标准端口：可任意使用WAF支持的端口列表中的端口，不限制数量。 标准端口：2个（80，443） 非标准端口：可任意使用WAF支持的端口列表中的端口，不限制数量。 CC攻击防护峰值 - 100,000QPS 200,000QPS 1,000,000QPS WAF实例规格选择WI-500，参考性能： 防护峰值：20,000QPS WAF实例规格选择WI-100，参考性能： 防护峰值：4,000QPS CC攻击防护规则 - 20条 50条 100条 100条 精准访问防护规则 - 20条 50条 100条 100条 引用表规则 - - 50条 100条 100条 IP黑白名单规则 - 1000条 2000条 5000条 1000条 地理位置封禁规则 - - 50条 100条 100条 网页防篡改规则 - 20条 50条 100条 100条 网站反爬虫规则 - - 50条 100条 100条 防敏感信息泄露 - - 50条 100条 100条 全局白名单规则 1000条 1000条 1000条 1000条 1000条 隐私屏蔽规则 - 20条 50条 100条 100条 安全报告模板 5个 5个 10个 20个 20个

云模式和独享模式使用说明 请您根据业务需求选择使用云模式-CNAME接入、云模式-ELB接入或独享模式，三种模式的部署架构如图1所示，主要差异说明如表1所示。 图1 部署架构 表1 各模式使用说明 项目 云模式 独享模式 CNAME接入 ELB接入 计费方式 包周期（包年/包月） 购买了云模式标准版、专业版或铂金版后，支持使用ELB接入，域名、QPS、规则扩展包的配额与云模式的CNAME接入方式共用。 按需计费 服务版本 入门版 标准版 专业版 铂金版 - - 使用场景 业务服务器部署在华为云、非华为云或线下。 各服务版本推荐使用的场景说明如下： 入门版 个人网站防护 标准版 中小型网站，对业务没有特殊的安全需求 专业版 中型企业级网站或服务对互联网公众开放，关注数据安全且具有高标准的安全需求 铂金版 中大型企业网站，具备较大的业务规模，或是具有制定个性化防护的安全需求 业务服务器部署在华为云。 大型企业网站，对业务稳定性有较高要求的安全防护需求。 业务服务器部署在华为云。 大型企业网站，具备较大的业务规模且基于业务特性具有制定个性化防护规则的安全需求。 防护对象 域名 域名 IP地址 域名 IP地址 优势 弹性扩容能力强，通过升级规格可以扩容防护能力 可以防护华为云、非华为云和云下的Web业务 支持IPv6防护 不改变业务架构，水平扩展防护能力 旁路部署，业务零影响 可靠性高 当WAF发生故障时，流量将直接通过ELB发送给后端，不影响客户正常业务。 部署灵活 独享引擎实例资源由用户独享 可以满足大规模流量攻击场景防护需求 独享引擎实例部署在VPC内，网络链路时延低

功能特性 通过Web应用防火墙，轻松应对各种Web安全风险，Web应用防火墙支持功能如下表。 功能类别 功能说明 业务配置 域名（泛域名、一级域名、二级域名等各级域名）/IP防护 说明： WAF云模式支持域名备案检查，添加防护域名时，WAF会检查域名备案情况，未备案域名将无法添加到WAF。 WAF支持云模式-CNAME接入、云模式-ELB接入和独享模式三种部署模式，各部署模式支持防护的对象说明如下： 云模式-CNAME接入：域名，华为云、非华为云或云下的Web业务 云模式-ELB接入：域名或IP，华为云的Web业务 独享模式：域名或IP，华为云的Web业务 HTTP/HTTPS业务防护 支持对网站的HTTP、HTTPS流量进行安全防护。 支持WebSocket/WebSockets协议 WAF支持WebSocket/WebSockets协议，且默认为开启状态。 非标端口防护 说明： 云模式的专业版和铂金版支持定制非标准端口，您可以提交工单申请开通定制的非标准端口。 Web应用防火墙除了可以防护标准的80，443端口外，还支持非标准端口的防护。 Web应用安全防护 Web基础防护 说明： 防护动作为“拦截”时，可使用攻击惩罚标准功能，即当恶意请求被拦截时，可自动封禁访问者一段时间。 覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对漏洞攻击、网页木马等威胁进行检测和拦截。 常规检测 防护SQL注入、XSS跨站脚本、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击。 Webshell检测 防护通过上传接口植入网页木马。 识别精准 内置语义分析+正则双引擎，黑白名单配置，误报率更低。 支持防逃逸，自动还原常见编码，识别变形攻击能力更强。 默认支持的编码还原类型：url_encode、Unicode、xml、OCT（八进制）、HEX（十六进制）、html转义、base64、大小写混淆、javascript/shell/php等拼接混淆。 深度检测 深度反逃逸识别（支持同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等的防护）。 header全检测 支持对请求里header中所有字段进行攻击检测。 Shiro解密检测 支持对Cookie中的rememberMe内容做AES，Base64解密后再检测。 CC攻击防护规则 限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，WAF会根据您配置的规则，精准识别CC攻击以及有效缓解CC攻击。 精准访问防护规则 说明： 防护动作为“阻断”时，可使用攻击惩罚标准功能，即当恶意请求被拦截时，可自动封禁访问者一段时间。 对常见的HTTP字段（如IP、路径、Referer、User Agent、Params等）进行条件组合，配置强大的精准访问控制策略；支持盗链防护、空字段拦截等防护场景。 黑白名单规则 说明： 防护动作为“拦截”时，可使用攻击惩罚标准功能，即当恶意请求被拦截时，可自动封禁访问者一段时间。 配置黑白名单规则，阻断、仅记录或放行指定IP的访问请求，即设置IP黑/白名单。 地理位置访问控制规则 针对指定国家、地区的来源IP自定义访问控制。 网页防篡改规则 当用户需要防护静态页面被篡改时，可配置网页防篡改规则。 网站反爬虫规则 动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别700+种爬虫行为。 特征反爬虫 自定义扫描器与爬虫规则，用于阻断网页爬取行为，添加定制的恶意爬虫、扫描器特征，使爬虫防护更精准。 JS脚本反爬虫 通过自定义规则识别并阻断JS脚本爬虫行为。 防敏感信息泄露规则 该规则可添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 全局白名单规则 针对特定请求忽略某些攻击检测规则，用于处理误报事件。 隐私屏蔽规则 隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。 高级配置 PCI DSS/PCI 3DS合规认证和TLS TLS支持TLS v1.0、TLS v1.1、TLS v1.2三个版本和七种加密套件，可以满足各种行业客户的安全需求。 WAF支持PCI DSS和PCI 3DS合规认证功能。 IPv6防护 Web应用防火墙支持IPv6/IPv4双栈，针对同一域名可以同时提供IPv6和IPv4的流量防护。 针对仍然使用IPv4协议栈的Web业务，Web应用防火墙支持NAT64机制（NAT64是一种通过网络地址转换（NAT）形式促成IPv6与IPv4主机间通信的IPv6转换机制），即WAF可以将IPv4源站转化成IPv6网站，将外部IPv6访问流量转化成对内的IPv4流量。 熔断保护 当502/504请求数量或读等待URL请求数量以及占比阈值达到您设置的值时，将触发WAF熔断功能开关，实现宕机保护和读等待URL请求保护。 配置攻击惩罚的流量标识 WAF根据配置的流量标识识别客户端IP、Session或User标记，以分别实现IP、Cookie或Params恶意请求的攻击惩罚功能。 手动设置网站连接超时时间 浏览器到WAF引擎的连接超时时长默认是120秒，该值取决于浏览器的配置，该值在WAF界面不可以手动设置。 WAF到客户源站的连接超时时长默认为30秒，该值可以在WAF界面手动设置，但仅“独享模式”和“云模式”的专业版、铂金版支持手动设置连接超时时长。 高阶功能 内容安全检测服务 基于丰富的违规样例库和内容审核专家经验，通过机器审核加人工审核结合的方式，帮助您准确检测出Web网站和新媒体平台上的关于涉黄、涉赌、涉毒、暴恐、违禁等敏感违规内容，并提供文本内容纠错审校，助您降低内容违规风险 防护事件管理 当Web应用防火墙拦截或者仅记录的攻击事件为误报时，用户可通过Web应用防火墙处理误报事件、查看事件详情。 用户可以通过Web应用防火墙服务下载5天内的全量防护事件数据。 WAF支持全量日志功能，您可以将攻击日志、访问日志记录到华为云的云日志服务（Log Tank Service，简称LTS）。 告警通知 通过对攻击日志进行通知设置，WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式（例如邮件或短信）发送给用户。 同时，您也可以配置证书到期通知，证书即将到期时，WAF将通过用户设置的接收通知方式（例如邮件或短信）通知用户。 安全可视化 提供简洁友好的控制界面，实时查看攻击信息和事件日志。 策略事件集中配置 在Web应用防火墙服务的控制台集中配置适用于多个防护域名的策略，快速下发，快速生效。 流量及事件统计信息 实时查看访问次数、安全事件的数量与类型、详细的日志信息。 灵活性、可靠性 多区域多集群部署，支持负载均衡，可在线平滑扩容，没有单点故障，最大限度保护业务运行稳定。

修订记录 发布日期 修改说明 2024-06-05 第八十三次正式发布。 增加： 约束与限制 2024-04-10 第八十二次正式发布。 修改： 功能特性 2024-01-31 第八十一次正式发布。 修改： 什么是Web应用防火墙 服务版本差异 2023-11-10 第八十次正式发布。 修改服务版本差异章节。 2023-10-23 第七十九次正式发布。 增加内容安全检测。 修改功能特性。 2023-07-26 第七十八次正式发布。 修改与云审计服务的关系章节。 2023-06-30 第七十七次正式发布。 修改服务版本差异章节。 2023-06-21 第七十六次正式发布。 修改服务版本差异：增加资源建议。 2023-06-01 第七十五次正式发布。 修改： 服务版本差异 功能特性 2023-05-09 第七十四次正式发布。 修改： 功能特性 应用场景 服务版本差异 2023-03-25 第七十三次正式发布。 修改服务版本差异章节。 2023-03-03 第七十二次正式发布。 修改： 服务版本差异 功能特性 2023-02-08 第七十一次正式发布。 修改： 服务版本差异 计费说明 2022-11-16 第七十次正式发布。 修改服务版本差异：增加相关证书的说明。 2022-11-09 第六十九次正式发布。 新增安全章节。 2022-11-04 第六十八次正式发布。 修改以下章节： 服务版本差异 计费说明 2022-10-25 第六十七次正式发布。 修改什么是Web应用防火墙章节。 2022-10-10 第六十六次正式发布。 修改“计费说明”章节。 2022-09-07 第六十五次正式发布。 修改以下章节： 服务版本差异 功能特性 2022-08-03 第六十四次正式发布。 删除独享模式通过提交工单方式开通的描述，修改如下章节： 服务版本差异 计费说明 2022-07-04 第六十三次正式发布。 全局白名单功能上线，修改如下章节： 功能特性 服务版本差异 WAF权限管理 与其他云服务的关系 2022-06-22 第六十二次正式发布。 修改服务版本差异章节。 2022-06-09 第六十一次正式发布。 修改功能特性章节：增加了网站连接超时时间和连接保护。 2022-05-30 第六十次正式发布。 修改功能特性章节：非标准端口排序。 2022-05-26 第五十九次正式发布。 修改如下章节： 服务版本差异：“检测版”更名为“入门版”。 计费说明：“检测版”更名为“入门版”。 功能特性 2022-05-12 第五十八次正式发布。 修改如下章节： 服务版本差异 计费说明 产品优势 2022-05-07 第五十七次正式发布。 修改个人数据保护机制章节。 2022-03-07 第五十六次正式发布。 支持独享模式，修改如下章节： 服务版本差异 计费说明 2022-02-10 第五十五次正式发布。 服务版本差异，优化内容描述。 2022-01-21 第五十四次正式发布。 服务版本差异，优化内容描述。 2021-12-30 第五十三次正式发布。 与其他云服务的关系，新增与云监控服务相关内容。 2021-12-10 第五十二次正式发布。 服务版本差异，修改规格描述。 2021-11-08 第五十一次正式发布。 服务版本差异，修改规格描述。 2021-11-04 第五十次正式发布。 服务版本差异，修改规格描述。 2021-10-12 第四十九次正式发布。 功能特性，优化部分文字描述。 2021-09-23 第四十八次正式发布。 WAF权限管理，修改策略内容描述。 2021-09-17 第四十七次正式发布。 服务版本差异，优化部分文字描述。 2021-08-12 第四十六次正式发布。 服务版本差异，优化部分文字描述。 2021-08-06 第四十五次正式发布。 云模式服务版本名称变更：原专业版变更为标准版、原企业版变更为专业版、原旗舰版变更为铂金版。 2021-08-02 第四十四次正式发布。 功能特性，优化部分文字内容描述。 2021-07-06 第四十三次正式发布。 什么是Web应用防火墙，优化部分文字内容描述。 2021-06-16 第四十二次正式发布。 服务版本差异，优化部分文字内容描述。 2021-05-27 第四十一次正式发布。 服务版本差异，优化部分文字内容描述。 2021-05-24 第四十次正式发布。 功能特性，新增功能特性描述。 2021-05-18 第三十九次正式发布。 什么是Web应用防火墙，新增防护对象内容描述。 2021-04-30 第三十八次正式发布。 计费说明，增加QPS扩展包包计费说明。 2021-04-07 第三十七次正式发布。 服务版本差异，新增安全特性描述。 2021-03-02 第三十六次正式发布。 服务版本差异，修改部署架构图。 2021-02-25 第三十五次正式发布。 新增项目和企业项目。 与其他云服务的关系，增加与企业管理关系说明。 2021-02-23 第三十四次正式发布。 服务版本差异，修改内容描述。 2021-02-05 第三十三次正式发布。 服务版本差异，优化部分文字内容描述。 2021-01-25 第三十二次正式发布。 服务版本差异，优化部分文字内容描述。 2020-12-31 第三十一次正式发布。 功能特性，优化部分文字内容描述。 2020-12-25 第三十次正式发布。 服务版本差异，优化部分文字内容描述。 计费说明，优化部分文字内容描述。 2020-12-11 第二十九次正式发布。 删除云模式按需计费相关描述。 2020-10-22 第二十八次正式发布。 服务版本差异，修改按需计费规格。 2020-09-23 第二十七次正式发布。 与其他云服务的关系，优化部分文字内容描述。 2020-09-11 第二十六次正式发布。 功能特性，补充云模式按需计费支持端口说明。 计费说明，补充云模式按需计费相关内容说明。 2020-07-31 第二十五次正式发布。 计费说明，优化部分文字内容描述。 2020-07-08 第二十四次正式发布。 服务版本差异，补充独享模式相关内容描述。 计费说明，优化部分文字内容描述。 2020-06-24 第二十三次正式发布。 服务版本差异，补充入门版内容。 2020-06-22 第二十二次正式发布。 WAF权限管理，补充细粒度策略内容。 2020-06-16 第二十一次正式发布。 服务版本差异，优化域名描述。 2020-06-11 第二十次正式发布。 服务版本差异，优化部分文字内容描述。 2020-05-26 第十九次正式发布。 计费说明，优化部分文字内容描述。 2020-05-19 第十八次正式发布。 新增“计费说明”。 2020-03-19 第十七次正式发布。 功能特性，修改非标准端口。 2020-01-20 第十六次正式发布。 WAF权限管理，优化部分文字内容描述。 2019-12-26 第十五次正式发布。 功能特性，优化部分文字内容描述。 2019-12-09 第十四次正式发布。 服务版本差异，优化部分文字内容描述。 功能特性，优化部分文字内容描述。 2019-11-28 第十三次正式发布。 功能特性，优化部分文字内容描述。 服务版本差异，优化部分文字内容描述。 2019-10-25 第十二次正式发布。 新增个人数据保护机制。 2019-10-14 第十一次正式发布。 什么是Web应用防火墙，优化部分文字内容描述。 功能特性，优化部分文字内容描述。 服务版本差异，优化部分文字内容描述。 应用场景，优化部分文字内容描述。 2019-05-16 第十次正式发布。 功能特性，优化部分文字内容描述。 2019-05-14 第九次正式发布。 新增功能特性。 什么是Web应用防火墙，优化部分文字内容描述。 与其他云服务的关系，优化部分文字内容描述。 2018-11-08 第八次正式发布。 设置短描述和关键字。 2018-10-29 第七次正式发布。 什么是Web应用防火墙，优化部分文字内容描述。 2018-04-26 第六次正式发布。 新增WAF权限管理。 2018-04-12 第五次正式发布。 什么是Web应用防火墙，增加防敏感信息泄露相关内容。 2018-04-02 第四次正式发布。 什么是Web应用防火墙，优化部分文字内容描述。 2018-03-27 第三次正式发布。 什么是Web应用防火墙，增加功能介绍内容描述。 删除“概念”章节。 2018-01-11 第二次正式发布。 与其他云服务的关系，增加与云审计服务的关系描述内容。 2017-10-30 第一次正式发布。

与企业管理的关系 企业中有多个项目，多个项目的资源需要分开结算，且分属不同人员进行管理。同时项目可以单独启动或停止，对其他项目没有影响。企业管理可以针对企业中的每个项目，分别建立企业项目，管理各自的资源，并且针对不同的企业项目，设置不同的人员进行管理。 Web应用防火墙支持企业管理，您可以将Web应用防火墙上的资源按照企业项目进行管理，并设置每个企业项目的用户权限。 目前华北-乌兰察布一区域不支持企业管理功能。

购买规格限制 云模式入门版不支持购买扩展包。 同一账号在同一个大区域（例如，华东区域（华东-上海一、华东-上海二）只能选择一个服务版本。 有关支持购买WAF的区域说明，请参见Web应用防火墙支持防护哪些区域？。 原则上，在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率，建议您在购买WAF时，根据防护业务的所在区域就近选择购买的WAF区域。 如果WAF独享引擎实例与源站不在同一个VPC中，可通过对等连接打通两个VPC之间网络，但受限于网络的不稳定性，建议WAF独享引擎实例与源站在同一个VPC中。 购买了云模式标准版、专业版或铂金版后，才支持使用ELB接入方式，域名、QPS、规则扩展包的配额与云模式的CNAME接入方式共用，且ELB接入方式的业务规格与购买的云模式版本的对应规格一致。 扩展包规格： 一个域名包支持10个域名，限制仅支持1个一级域名和与一级域名相关的子域名或泛域名。 一个QPS扩展包的QPS限制和带宽限制： 对于部署在华为云的Web应用 业务带宽：50Mbit/s 每秒钟的请求量：1000QPS（Queries Per Second，例如一个HTTP GET请求就是一个Query） 对于未部署在华为云的Web应用 业务带宽：20Mbit/s 每秒钟的请求量：1000QPS（Queries Per Second，例如一个HTTP GET请求就是一个Query） 购买了云模式标准版、专业版或铂金版后，才支持使用ELB接入方式，域名、QPS、规则扩展包的配额与云模式的CNAME接入方式共用，且ELB接入方式的业务规格与购买的云模式版本的对应规格一致。 带宽限制仅对云模式-CNAME方式接入的网站有限制，通过ELB模式接入的网站，没有带宽限制，仅有QPS限制。 一个规则扩展包包含10条IP黑白名单防护规则。

网站接入限制 接入模式限制： 云模式-CNAME接入只能防护域名，不能防护IP；云模式-ELB接入和独享模式能防护域名和IP，但只能防护业务服务器部署在华为云的网站。 云模式入门版不支持添加泛域名。 云模式仅专业版和铂金版支持IPv6防护、HTTP2协议、负载均衡算法。 云模式入门版、标准版在添加防护域名时，“策略配置”只能选择“系统自动生成策略”，不支持选择自定义的策略。 域名限制： WAF支持防护多级别单域名（例如，一级域名example.com，二级域名www.example.com等）和泛域名（例如，*.example.com）。 泛域名添加说明如下： WAF支持添加“*”的泛域名，域名配置为“*”时，只能防护除80、443端口以外的非标端口。 如果各子域名对应的服务器IP地址相同：输入防护的泛域名。例如：子域名a.example.com，b.example.com和c.example.com对应的服务器IP地址相同，可以直接添加泛域名*.example.com。 如果各子域名对应的服务器IP地址不相同：请将子域名按“单域名”方式逐条添加。 同一防护域名不能重复添加到WAF。 同一个域名对应不同非标准端口视为不同的防护对象，例如www.example.com:8080和www.example.com:8081为两个不同的防护对象，且占用两个域名防护配额。如果您需要防护同一域名的多个端口，您需要将该域名和端口逐一添加到WAF。 通过云模式-CNAME接入方式接入的域名，请确保域名已经过ICP备案，WAF会检查域名备案情况，未备案域名将无法添加。 ELB限制： 准备以独享模式接入WAF的网站已经使用独享型ELB（Elastic Load Balance）作为负载均衡。有关ELB类型的详细介绍，请参见共享型弹性负载均衡与独享型负载均衡的功能区别。 2023年4月之前的独享引擎版本，不支持与独享ELB网络型配合使用。因此，如果您使用了独享ELB网络型（TCP/UDP）负载均衡，请确认独享WAF实例已升级到最新版本（2023年4月及之后的版本）。 准备以云模式-ELB接入WAF的网站仅支持与独享型ELB配套使用，且“规格”必须为“应用型（HTTP/HTTPS）”，不支持“网络型（TCP/UDP）”的独享型的ELB。 证书限制： WAF当前仅支持PEM格式证书。 目前华为云SCM证书只能推送到“default”企业项目下。如果您使用其他企业项目，则不能选择使用SCM推送的SSL证书。 拥有“SCM Administrator”和“SCM FullAccess”权限的账号才能选择SCM证书。 规格限制： 将网站接入WAF后，网站的文件上传请求限制为10G。

计费模式概述 CodeArts采用包年/包月计费模式，提供CodeArts套餐、资源扩展、增值特性。 CodeArts套餐：包括体验版、基础版、专业版、企业版。使用CodeArts前必须选择一种CodeArts套餐，完成开通购买。 资源扩展：提供并发扩展、存储扩展、流量扩展、执行时长扩展。购买资源扩展前，须购买CodeArts基础版及以上规格套餐。 增值特性：包括代码安全检查增强包、构建加速包、测试设计、效能洞察增强包。购买代码安全检查增强包前，须购买CodeArts专业版或企业版套餐；购买构建加速包、测试设计、效能洞察增强包前，须购买CodeArts基础版及以上规格套餐。 父主题： 计费模式

效能洞察增强包 表4 效能洞察增强包 计费方式 包年/包月 适用场景 效能洞察增强包扩展了数据开放性，适用于打通第三方数据源，连接数据孤岛，以及数据的第三方集成。支持数据连接、数据集、自助取数、研发数字化大屏等高阶特性。 计费项 人数 购买限制 购买效能洞察增强包前，须完成CodeArts基础版及以上规格套餐购买，购买的套餐到期后，效能洞察增强包将无法继续使用。 购买人数需≥CodeArts套餐购买人数以上。 计费公式 单价*人数*购买时长。 计费周期 根据购买时长确定（以GMT+8时间为准）。一个计费周期的起点是您开通或续费效能洞察增强包的时间（精确到秒），终点则是到期日的23:59:59。 例如，如果您在2023/03/08 15:50:04购买时长为一个月的效能洞察增强包，那么其计费周期为：2023/03/08 15:50:04 ~ 2023/04/08 23:59:59。 变更配置 效能洞察增强包性支持变更配置，可以增加或减少人数，变更时系统将按照如下规则为您计算变更费用。 资源升配：变更后的人数高于变更前，此时您需要支付新老配置的差价。 资源降配：变更后的人数低于变更前，此时会将新老配置的差价退给您。 更多信息请参见变更资源规格费用说明。 到期后影响 效能洞察增强包到期未续费时，效能洞察相关功能将无法继续使用。

构建加速包 表2 构建加速包 计费方式 包年/包月 适用场景 编译构建服务提供了构建加速能力，使用构建加速能力前需购买构建加速包。构建加速场景请参考构建加速。 构建加速包只支持执行主机为“内置执行机”的构建任务，可选择x86或arm。构建主机配置方法请参考构建环境配置。 构建加速包提供三种加速级别，请根据需要选择。 L1级别：对于C/C++的工程，典型的编译过程是CPU消耗型任务，编译效率受限于编译并发度，编译并发度受限于单机资源规格，传统的单机构建模式很难突破资源规格的瓶颈。L1级别通过分布式编译技术，将单机编译任务分发到加速包后台资源上进行编译，支持远超单机资源的并发数，突破单机资源规格的限制，从而实现提升编译效率的目标。 L2级别：对于大多数开发过程，构建之间只有少量代码变更，除去更新的部分外，其余的代码编译均为重复构建。L2级别通过增量构建提升编译效率，在编译过程中对编译结果进行缓存，下次编译时通过对源码的变更来判断是否可以命中缓存，通过缓存大幅减少重复编译任务的执行，从而实现提升编译效率的目标。 L3级别：L3级别同时提供分布式编译和增量编译的能力，对于没有变化的代码提供增量编译，对于变化的代码提供分布式编译，最大限度地提升构建效率。 资源规格说明：构建加速L1级别/L2级别/L3级别均包含64 vCPU算力。 购买限制 购买构建加速包前，须完成CodeArts基础版及以上规格套餐的购买。 单次购买上限为16个。 计费公式 单价*数量*购买时长 计费周期 根据购买时长确定（以GMT+08:00时间为准）。一个计费周期的起点是您开通或续费构建加速包的时间（精确到秒），终点则是到期日的23:59:59。 例如，如果您在2023/03/08 15:50:04购买时长为一个月的构建加速包，那么其计费周期为：2023/03/08 15:50:04 ~ 2023/04/08 23:59:59。 变更配置 不支持变更配置。如果完成购买后发现配置有误，需退订后重新购买。 到期后影响 到期未续费时，该构建加速包中包含的并发数将失效。

测试设计 表3 测试设计增值特性 计费方式 包年/包月 适用场景 测试设计能力包含启发式测试策略与设计、用例批量自动生成、支持Xmind导入生成用例、四层测试分解设计能力、优秀测试思维导图脑图模板等关键特性。 计费项 人数 购买限制 购买测试设计增值特性前，须完成CodeArts基础版及以上规格套餐购买，购买的套餐到期后，测试设计增值特性将无法继续使用。 购买人数需≤CodeArts套餐购买人数。 计费公式 单价*人数*购买时长。 计费周期 根据购买时长确定（以GMT+8时间为准）。一个计费周期的起点是您开通或续费测试设计增值特性的时间（精确到秒），终点则是到期日的23:59:59。 例如，如果您在2023/03/08 15:50:04购买时长为一个月的测试设计增值特性，那么其计费周期为：2023/03/08 15:50:04 ~ 2023/04/08 23:59:59。 变更配置 测试设计增值特性支持变更配置，可以增加或减少人数，变更时系统将按照如下规则为您计算变更费用。 资源升配：变更后的人数高于变更前，此时您需要支付新老配置的差价。 资源降配：变更后的人数低于变更前，此时会将新老配置的差价退给您。 更多信息请参见变更资源规格费用说明。 到期后影响 测试设计增值特性到期未续费时，测试设计相关能力将无法继续使用。

代码安全检查增强包 表1 代码安全检查增强包 计费方式 包年/包月 适用场景 代码检查服务提供了100+条代码安全检查增强包规则，使用这些规则时需购买代码安全检查增强包。 资源规格 1个并发 购买限制 购买代码安全检查增强包前，须完成CodeArts专业版或企业版的购买。 购买上限为100个。 计费公式 单价*数量*购买时长 计费周期 根据购买时长确定（以GMT+08:00时间为准）。一个计费周期的起点是您开通或续费代码安全检查增强包的时间（精确到秒），终点则是到期日的23:59:59。 例如，如果您在2023/03/08 15:50:04购买时长为一个月的代码安全检查增强包，那么其计费周期为：2023/03/08 15:50:04 ~ 2023/04/08 23:59:59。 变更配置 不支持变更配置。如果完成购买后发现配置有误，需退订后重新购买。 到期后影响 到期未续费时，该代码安全检查增强包中包含的并发数将失效。

排查步骤 单击已创建的迁移任务名称，进入迁移日志。 查看迁移日志。参照迁移故障处理，根据对应的错误日志信息，做对应排查，例如： 图1 查看迁移日志 检查迁移方案是否选择正确。 根据自建Redis迁移至DCS、DCS实例间迁移、其他云厂商Redis服务迁移至DCS的不同场景，选择合适的迁移方案，例如，DCS实例间迁移，高版本不支持迁移到低版本。 迁移方案选择不正确，会导致迁移失败，具体迁移方案，请查看迁移方案介绍。 检查源Redis是否放通SYNC和PSYNC命令，迁移任务底层资源与源Redis、目标Redis网络是否连通。 如果是在线迁移，才涉及该操作。 在线迁移，必须满足源Redis和目标Redis的网络相通、源Redis已放通SYNC和PSYNC命令这两个前提，否则，会迁移失败。 网络 检查源Redis、目标Redis、迁移任务所需虚拟机是否在同一个VPC，如果是同一个VPC，则检查安全组（Redis 3.0/Redis 6.0企业版实例）或白名单（Redis 4.0/5.0/6.0基础版实例）是否放通端口和IP，确保网络是连通的；如果不在同一个VPC，则需要建立VPC对等连接，打通网络。 源Redis和目标Redis必须允许迁移任务底层虚拟机访问。实例安全组或白名单配置，请参考配置安全组、配置白名单。 迁移任务的安全组“出方向规则”需放通端口和IP，确保迁移任务底层虚拟机可以访问源Redis和目标Redis，请参考配置安全组。 源Redis和目标Redis属于不同的云厂商，请参考云专线打通网络。 Redis 4.0/5.0/6.0基础版实例需要放通白名单的目的，是允许迁移任务底层虚拟机可以访问源Redis和目标Redis（迁移任务底层虚拟机会占用一个IP）。同样，如果是Redis 3.0/Redis 6.0企业版实例，需要配置实例安全组的入方向规则对迁移任务底层虚拟机放通。 命令 默认情况下，一般云厂商都是禁用了SYNC和PSYNC命令，如果要放通，需要联系云厂商运维人员放通命令。 华为云内部进行迁移： 自建Redis迁移至DCS，默认没有禁用SYNC和PSYNC命令； 华为云DCS服务之间进行迁移，如果是同一账号相同Region进行在线迁移，在执行迁移时，会自动放通SYNC和PSYNC命令； 如果是不同Region或相同Region不同账号进行在线迁移，不会自动放通SYNC和PSYNC命令，无法使用在线迁移。推荐使用备份文件导入方式迁移。 其他云厂商迁移到华为云： 一般云厂商都是禁用了SYNC和PSYNC命令，如果使用在线迁移功能，需要联系源端的云厂商运维人员放通此命令，离线迁移，推荐使用备份文件导入方式。 检查源Redis是否存在大Key。操作请参见分析源Redis是否存在大Key。 如果源Redis存在大key，建议将大key打散成多个小key后再迁移。 检查目标Redis的规格是否大于迁移数据大小、是否有其他任务在执行。 如果目标Redis的实例规格小于迁移数据大小，迁移过程中，内存被占满，会导致迁移失败。 如果目标Redis存在正在执行的主备倒换，建议联系技术支持关闭主备倒换后，重新执行数据迁移。待迁移完成后，重新开启主备倒换。 如果是单机/主备实例迁移到集群实例，请检查： 如果是单机/主备实例迁移到Proxy集群实例，Proxy集群默认不开启多DB，仅有一个DB0，请先确保单机/主备实例DB0以外的DB是否有数据，如果有，请先参考开启多DB操作开启Proxy集群多DB设置。 如果是单机/主备实例迁移到Cluster集群实例，Cluster集群不支持多DB，仅有一个DB0，请先确保单机/主备实例DB0以外的DB是否有数据，如果有，请将数据转存到DB0，否则会出现迁移失败，将数据转存到DB0的操作请参考使用Rump在线迁移。 检查迁移操作是否正确。 检查填写的IP地址、实例密码是否正确。 排查白名单。 如果无法解决，请联系技术支持。

如何分析Redis 3.0实例的热Key？ 由于Redis 3.0本身不提供热Key能力，您可以参考以下方法进行分析。 方法1：进行业务结构和业务实现分析，找到可能的热Key。 例如，某商品在秒杀，或者用户登录，对业务代码分析，很容易找到热Key。 优点：简单易行。 缺点：需要对业务代码比较了解，另外对于一些复杂的业务场景，不太容易分析。 方法2：在客户端代码中，调用Redis的函数中，进行访问Key的记录，进而统计出热Key。 缺点：需要代码进行侵入式修改。 方法3：抓包分析。 优点：简单易行。 父主题： 大Key/热Key分析/过期Key扫描

查看Redis实例实时并发连接数 当您需要查看DCS实例收到的实时连接数时，在控制台缓存管理页面，单击需要查看的实例右侧的“查看监控”，进入云监控页面。 图1 查看监控 进入监控页面后，找到“活跃的客户端数量”监控项。您可以单击该监控项的右上角的查看按钮，使用大图模式查看。 在弹出的“活跃的客户端数量”页面，根据需要选择查看的时间段，例如，需要查看10分钟内的连接数，您可以将时间自定义为10分钟。由于监控数据采集的是周期内增加的连接数，您可以通过监控图表，查看这个时间段的连接数的走势，并统计10分钟内的连接总数。 监控指标“活跃的客户端数量”用于统计已连接的客户端数量，包括系统监控、配置同步和业务相关的连接数，不包括来自从节点的连接。 您还可以通过控制台会话管理，查看连接实例的客户端会话信息。

Redis命令执行是否有超时时间？超时了会出现什么结果？ Redis超时分为客户端超时和服务端超时。 客户端命令超时时间一般由客户端代码自行控制，业务侧需要根据自己的业务特点选择合适的超时时间（例如Java的Lettuce客户端，该参数名为timeout）。 客户端如果发生命令执行超时，根据不同客户端的逻辑控制，可能会发生超时报错、命令堵塞、客户端连接重试等情况。 Redis服务端Timeout默认配置为0，不会主动断开连接，如果需要修改配置，可以参考修改实例配置参数。 如果实例配置了该Timeout参数值（不为0），当客户端与服务端空闲连接超过该参数值时，连接会断开。 父主题： Redis命令

Redis命令执行失败的可能原因 Redis命令执行失败，一般有以下可能原因： 命令拼写不正确 如下图所示，命令拼写有误，Redis实例返回“ERR unknown command”，删除key的正确命令为del。 在低版本Redis实例运行高版本命令 如下图所示，在Redis 3.0版本运行Redis 5.0新增的Stream相关命令，Redis实例返回命令出错信息。 DCS Redis不支持的部分命令。 出于安全原因，DCS禁用了部分命令，具体参考Redis命令的兼容性，查看禁用命令与受限使用命令。 在控制台提供的Web CLI界面执行命令失败。 Web CLI工具除了同样不支持上述列出的禁用命令与受限命令，对keys命令也有一定的使用限制。 执行lua脚本失败。 例如报错：ERR unknown command 'EVAL' ，说明您的Redis实例属早期创建的低版本Redis实例，不支持lua脚本，这种情况请提工单联系技术支持，升级您的Redis实例。 执行setname和getname失败。 说明您的Redis实例属早期创建的低版本Redis实例，不支持这两个命令，这种情况请提工单联系技术支持，升级您的Redis实例。 2018年7月10日前创建的Redis集群实例，以下命令被禁用，客户端执行时也会收到命令出错信息。如果需要支持，请提工单联系技术支持，升级集群实例。 SINTER、SDIFF、SUNION、PFCOUNT、PFMERGE、SINTERSTORE、SUNIONSTORE、SDIFFSTORE、SMOVE、BLPOP、BRPOP、BRPOPLPUSH、ZUNIONSTORE,、ZINTERSTORE、EVAL、EVALSHA、BITOP、RENAME、RENAMENX、RPOPLPUSH、MSETNX、SCRIPT LOAD、SCRIPT KILL、SCRIPT EXISTS、SCRIPT FLUSH。 父主题： Redis命令

高危命令如何重命名？ 当前支持重命名的高危命令为command、keys、flushdb、flushall、hgetall、scan、hscan、sscan、和zscan，Proxy集群实例还支持dbsize和dbstats命令重命名，其他命令暂不支持重命名。高危命令重命名的操作方式，请参考命令重命名。 目前Redis不支持直接禁用命令，涉及到以上高危命令，可以使用命令重命名。关于DCS实例支持和禁用的命令请参考开源命令兼容性。 提交命令重命名操作后，系统会自动重启该实例，重命名操作完成后立即生效。因为涉及安全性，页面不支持查询重命名后的命令。 同一个命令支持多次重命名，每次新的重命名操作会覆盖之前的重命名命令。 Redis 4.0及以上版本的实例支持命令重命名，Redis 3.0不支持。 父主题： Redis命令

Redis迁移失败有哪些常见原因？ 在进行数据迁移时，如果Redis实例发生了主备倒换，可能会导致迁移失败。可联系技术支持，将主备倒换关闭，待迁移成功后，再开启主备倒换。 如果是在线迁移，请确认源Redis实例，是否禁用了SYNC和PSYNC命令，如果禁用了，需要先开启，允许数据同步。 如果是单机/主备实例迁移到Proxy集群实例，Proxy集群默认不开启多DB，仅有一个DB0，请先确保单机/主备实例DB0以外的DB是否有数据，如果有，请先参考开启多DB操作开启Proxy集群多DB设置。 如果是单机/主备实例迁移到Cluster集群实例，Cluster集群不支持多DB，仅有一个DB0，请先确保单机/主备实例DB0以外的DB是否有数据，如果有，请将数据转存到DB0，否则会出现迁移失败，将数据转存到DB0的操作请参考使用Rump在线迁移。 父主题： 数据备份/导出/迁移

DCS实例如何缩容？ DCS实例支持扩容和缩容明细如下表1。 表1 实例规格变更明细 缓存类型 单机实例 主备实例 Cluster集群实例 Proxy集群实例 读写分离实例 Redis 3.0 支持扩容和缩容 支持扩容和缩容 - 仅支持扩容 - Redis 4.0 支持扩容和缩容 支持扩容、缩容和副本数变更 支持扩容、缩容和副本数变更 支持扩容和缩容 支持扩容、缩容和副本数变更 Redis 5.0 支持扩容和缩容 支持扩容、缩容和副本数变更 支持扩容、缩容和副本数变更 支持扩容和缩容 支持扩容、缩容和副本数变更 Redis 6.0 基础版 支持扩容和缩容 支持扩容和缩容 支持扩容、缩容和副本数变更 - - Redis 6.0 企业版 - 支持扩容和缩容 - - - Memcached 支持扩容和缩容 支持扩容和缩容 - - - 实例扩容、缩容操作请参考规格变更。 如果Redis 3.0 Proxy集群需要缩容，可以先进行数据备份，然后另外创建对应规格的Proxy集群实例，使用备份文件导入方式，将备份数据文件导入到新的Proxy集群实例。待数据迁移完成后，再释放原来规格的Proxy集群实例。在线迁移操作，可以参考备份文件导入方式。 父主题： 扩容缩容与实例升级