华为云用户手册

步骤2：OBS桶文件配置 如果需要创建OBS表，则需要先上传数据到OBS桶目录下。 本次演示的样例代码创建了OBS表，测试数据内容参考如下示例，创建名为的testdata.csv文件。 12,Michael 27,Andy 30,Justin 进入OBS管理控制台，在“桶列表”下，单击已创建的OBS桶名称，本示例桶名为“dli-test-obs01”，进入“概览”页面。 单击左侧列表中的“对象”，选择“上传对象”，将testdata.csv文件上传到OBS桶根目录下。 在OBS桶根目录下，单击“新建文件夹”，创建名为“warehousepath”的文件夹。该文件夹路径用来存储Spark创建表的元数据信息“spark.sql.warehouse.dir”。

环境准备 在进行Spark 作业访问DLI元数据开发前，请准备以下开发环境。 表1 Spark Jar作业开发环境 准备项 说明 操作系统 Windows系统，支持Windows7以上版本。 安装JDK JDK使用1.8版本。 安装和配置IntelliJ IDEA IntelliJ IDEA为进行应用开发的工具，版本要求使用2019.1或其他兼容版本。 安装Maven 开发环境的基本配置。用于项目管理，贯穿软件开发生命周期。

步骤4：编写代码 编写DliCatalogTest程序创建数据库、DLI表和OBS表。 完整的样例请参考Java样例代码，样例代码分段说明如下： 导入依赖的包。 import org.apache.spark.sql.SparkSession; 创建SparkSession会话。 创建SparkSession会话时需要指定Spark参数："spark.sql.session.state.builder"、"spark.sql.catalog.class"和"spark.sql.extensions"，按照样例配置即可。 Spark2.3.x版本 SparkSession spark = SparkSession .builder() .config("spark.sql.session.state.builder", "org.apache.spark.sql.hive.UQueryHiveACLSessionStateBuilder") .config("spark.sql.catalog.class", "org.apache.spark.sql.hive.UQueryHiveACLExternalCatalog") .config("spark.sql.extensions","org.apache.spark.sql.DliSparkExtension") .appName("java_spark_demo") .getOrCreate(); Spark2.4.x版本 SparkSession spark = SparkSession .builder() .config("spark.sql.session.state.builder", "org.apache.spark.sql.hive.UQueryHiveACLSessionStateBuilder") .config("spark.sql.catalog.class", "org.apache.spark.sql.hive.UQueryHiveACLExternalCatalog") .config("spark.sql.extensions","org.apache.spark.sql.DliSparkExtension") .config("spark.sql.hive.implementation","org.apache.spark.sql.hive.client.DliHiveClientImpl") .appName("java_spark_demo") .getOrCreate(); Spark3.1.x版本 SparkSession spark = SparkSession .builder() .config("spark.sql.session.state.builder", "org.apache.spark.sql.hive.UQueryHiveACLSessionStateBuilder") .config("spark.sql.catalog.class", "org.apache.spark.sql.hive.UQueryHiveACLExternalCatalog") .config("spark.sql.extensions","org.apache.spark.sql.DliSparkExtension") .appName("java_spark_demo") .getOrCreate(); Spark3.3.x版本 SparkSession spark = SparkSession .builder() .config("spark.sql.session.state.builder", "org.apache.spark.sql.hive.DliLakeHouseBuilder") .config("spark.sql.catalog.class", "org.apache.spark.sql.hive.DliLakeHouseCatalog") .appName("java_spark_demo") .getOrCreate(); 创建数据库。 如下样例代码演示，创建名为test_sparkapp的数据库。 spark.sql("create database if not exists test_sparkapp").collect(); 创建DLI表并插入测试数据。 spark.sql("drop table if exists test_sparkapp.dli_testtable").collect(); spark.sql("create table test_sparkapp.dli_testtable(id INT, name STRING)").collect(); spark.sql("insert into test_sparkapp.dli_testtable VALUES (123,'jason')").collect(); spark.sql("insert into test_sparkapp.dli_testtable VALUES (456,'merry')").collect(); 创建OBS表。如下示例中的OBS路径需要根据步骤2：OBS桶文件配置中的实际数据路径修改。 spark.sql("drop table if exists test_sparkapp.dli_testobstable").collect(); spark.sql("create table test_sparkapp.dli_testobstable(age INT, name STRING) using csv options (path 'obs://dli-test-obs01/testdata.csv')").collect(); 关闭SparkSession会话spark。 spark.stop();

步骤5：调试、编译代码并导出Jar包 双击IntelliJ IDEA工具右侧的“Maven”，参考下图分别双击“clean”、“compile”对代码进行编译。 编译成功后，双击“package”对代码进行打包。 图10 编译打包 打包成功后，生成的Jar包会放到target目录下，以备后用。本示例将会生成到：“D:\DLITest\SparkJarMetadata\target”下名为“SparkJarMetadata-1.0-SNAPSHOT.jar”。 图11 导出jar包

步骤1：创建DLI通用队列 第一次提交Spark作业，需要先创建队列，例如创建名为“sparktest”的队列，队列类型选择为“通用队列”。 在DLI管理控制台的左侧导航栏中，选择“队列管理”。 单击“队列管理”页面右上角“购买队列”进行创建队列。 创建名为“sparktest”的队列，队列类型选择为“通用队列”。创建队列详细介绍请参考创建队列。 图2 创建队列 单击“立即购买”，确认配置。 配置确认无误，单击“提交”完成队列创建。

约束限制 如果使用Spark 3.1访问元数据，则必须新建队列。 不支持的场景： 在SQL作业中创建了数据库（database），编写程序代码指定在该数据库下创建表。 例如在DLI的SQL编辑器中的某SQL队列下，创建了数据库testdb。后续通过编写程序代码在testdb下创建表testTable，编译打包后提交的Spark Jar作业则会运行失败。 支持的场景 在SQL作业中创建数据库（database），表（table） , 通过SQL或Spark程序作业读取插入数据。 在Spark程序作业中创建数据库（database），表（table）, 通过SQL或Spark程序作业读取插入数据。

为什么100或214开头的IP在频繁访问后端服务器？ 共享型负载均衡实例以100.125.0.0/16网段中的IP作为源地址，向后端服务器转发前端业务流量及发起健康检查探测（如果您已开启健康检查）。 所以这些100.125开头的IP为弹性负载均衡服务与后端服务器通信所使用的内部IP，为了保证您的共享型负载均衡实例可正常提供服务，请确保后端服务器的安全策略已放通100.125.0.0/16网段。 如果共享型负载均衡实例所在区域已无100.125.0.0/16网段可供使用，将启用214.0.0.0/8网段中的IP作为源IP转发业务流量及发起健康检查探测。 父主题： 后端服务器

API规范示例 为了对外API在调用时有用户信息，API调用时需要在header中传递Modifier、Creator字段。 值格式为：用户名+空格+用户id，如图1所示。 图1 示例 具有AccessControlled功能的实体，其API做了权限管控，权限管理依赖团队信息，因此在传递机机token时需要添加团队信息，即机机的jwt token中iss字段。 格式为：用户名:用户id:租户id:团队名

步骤一：创建自定义线路 进入自定义线路列表页面。 单击“添加自定义线路”，开始创建自定义线路。 图1 添加自定义线路 根据界面提示配置参数，参数说明如表1所示。 表1 添加自定义线路参数说明 参数 参数说明 取值样例1 取值样例2 线路名称 自定义线路名称。 Line1 Line2 IP地址范围 DNS访问者的IP网段。 最多可输入50个IP地址范围，起始IP地址和结束IP地址以中划线“-”分隔，IP地址范围之间不能相互重叠。 1.0.0.1-1.0.0.2 1.0.0.3-1.0.0.4 单击“确定”，完成自定义线路的设置。

操作场景 公网解析功能为您提供多达300+的运营商解析线路和地域线路，还支持您根据特定的IP网段自定义解析线路。自定义线路解析，支持DNS根据访问者的IP地址返回特定的IP地址。 如果访问者所用宽带服务商的Local DNS不支持扩展DNS机制（Extension Mechanisms for DNS，EDNS），则权威DNS根据宽带服务商Local DNS的公网IP地址进行自定义线路网段匹配解析。 如果访问者所用宽带服务商的Local DNS支持EDNS机制，则权威DNS根据EDNS里封装的访问者的公网IP地址进行自定义线路网段匹配解析。 如果您在特定地区或特定运营商使用DNS智能线路IP调度不准，可以通过配置自定义线路解析来规避。 在普通的域名解析中，DNS根据访问请求中的域名直接返回对应的IP地址，不考虑访问者的网络、地域或者IP地址等来源信息，所有的访问请求都被路由到同样的IP地址。 如果有一个网站，对外的域名为example.com，想要实现外部用户访问网站服务器A（对应IP地址为1.1.1.1），内部用户访问网站服务器B（2.2.2.2），可以通过自定义线路功能实现。

操作步骤 进入云解析服务控制台。 在左侧树状导航栏，选择“公网域名”或者“内网域名”。 进入域名列表页面。 （可选）如果选择“内网解析”，请单击管理控制台左上角的，选择区域和项目。 在域名列表中，单击待导出的域名“example.com”，进入域名详情页面。 在左侧导航栏，单击“批量导入/导出”，进入批量导入/导出详情页面。 单击页面右上角的“批量导出”，开始批量导出域名“example.com”的解析记录。 导出完成后，会生成格式为“域名.xlsx”的解析记录表格。例如“example.com.xlsx”。 在“example.com.xlsx”中可以查看导出的解析记录，包括域名、记录类型、TTL值、记录值、状态以及描述信息。

准备Flink作业数据 创建Flink作业需要输入数据源和数据输出通道，即常说的Source和Sink。用户使用其他服务作为数据源或输出通道时，需要先开通相应服务。 Flink作业支持以下数据源和输出通道： DIS数据源和输出通道 如果用户作业需要DIS作为数据源和输出通道时，则要先开通数据接入服务（DIS）。 用户如何开通DIS服务，具体操作请参见《数据接入服务用户指南》中的“开通DIS通道”章节。 申请DIS通道后，用户可以将本地数据通过DIS通道不断上传至DIS服务，实现向Flink作业提供实时流数据源，具体操作请参见《数据接入服务用户指南》中的“发送数据到DIS服务”章节。 样例数据如下所示： 1,lilei,bmw320i,28 2,hanmeimei,audia4,27 OBS数据源 如果用户作业需要对象存储服务（OBS）作为数据源，则要先开通OBS服务，具体操作请参见《对象存储服务控制台指南》中的“开通OBS服务”章节。 开通OBS服务后，用户需要将本地文件通过Internet上传至OBS指定的位置，具体操作请参见《对象存储服务控制台指南》中的“上传文件”章节。 RDS输出通道 如果用户作业需要RDS作为输出通道，需要创建RDS实例，具体操作请参见《关系型数据库快速入门》中“购买实例”章节。 SMN输出通道 如果用户作业需要SMN作为输出通道，需要先在SMN中创建主题，获取URN资源标识，再添加订阅。具体操作请参见《消息通知服务快速入门》。 Kafka数据源和输出通道 如果用户作业需要Kafka作为数据源和输出通道，则必须要通过创建增强型跨源连接与Kafka进行对接，具体操作请参见增强型跨源连接。 如果Kafka服务端的端口监听在hostname上，则需要将Kafka Broker节点的hostname和ip的对应关系添加到跨源连接中。 CloudTable数据源和输出通道 如果用户作业需要CloudTable作为数据源和输出通道，需要先在CloudTable中创建集群，获取集群ID。具体操作请参见《表格存储服务用户指南》《表格存储服务用户指南》中的“入门”章节。 云搜索服务输出通道 如果用户作业需要云搜索服务作为输出通道，需要先在云搜索服务中创建集群，获取集群内网访问地址。具体操作请参见《云搜索服务用户指南》中的“入门”章节。 DCS输出通道 如果用户作业需要DCS作为输出通道，需要先在DCS中创建Redis类型的缓存实例，获取Redis实例连接地址。具体操作请参见购买Redis实例。 父主题： Flink作业管理

修订记录 发布日期 修改说明 2024-04-10 第一百四十八次正式发布。 修改： 连接超时时长是多少，是否可以手动设置该时长？ 如何处理Appscan等扫描器检测结果为Cookie缺失Secure/HttpOnly？ 2024-01-31 第一百四十七次正式发布。 新增：常规问题汇总，同类问题进行了整合。 修改：域名/IP接入状态显示“未接入”，如何处理？ 2023-11-30 第一百四十六次正式发布。 修改： 如何将Web基础防护的仅记录模式切换为拦截模式？ 如何对异常IP进行封堵？ 拦截所有来源IP或仅允许指定IP访问防护网站，WAF如何配置？ 同时在WAF中添加单域名和泛域名，WAF会优先检测哪个域名？ 2023-11-10 第一百四十五次正式发布。 新增： 如何处理导出的防护事件数据乱码？ 修改： Web应用防火墙是否能防护IP？ 2023-09-18 第一百四十四次正式发布。 修改： 如何处理523错误码问题？ 2023-09-05 第一百四十三次正式发布。 修改： Web应用防火墙支持漏洞检测吗？ WAF是否支持防护CS架构的网站？ 2023-09-01 第一百四十二次正式发布。 修改如何排查404/502/504错误？。 增加WAF对SQL注入、XSS跨站脚本和PHP注入攻击的检测原理？。 2023-08-16 第一百四十一次正式发布。 增加如何解决“源站服务器CPU使用率高达100%”问题？。 2023-08-08 第一百四十次正式发布。 增加： 云模式WAF提供的解析地址是固定IP吗？ 源站IP更改后是否会改变CNAME值？ 更换IP后，需要重新将域名添加到WAF吗？ 如何不拦截带有.js的文件？ 2023-07-20 第一百三十九次正式发布。 增加： WAF是否支持防护CS架构的网站？ WAF云模式是否能防护其他账号下的域名？ WAF需要绑定EIP吗？ 购买内容安全检测服务时，如何确定网站检测配额？ 内容安全检测服务对网站的检测范围是什么？ 购买内容安全检测服务后，多长时间能出报告？ 购买内容安全检测服务后，什么时候扣费？ 修改： 独享版WAF是否支持跨VPC防护？ 如何购买域名扩展包/QPS扩展包/规则扩展包？ Web应用防火墙支持哪些非标准端口？ QPS超过当前WAF版本支持的峰值时有什么影响？ 2023-06-30 第一百三十八次正式发布。 修改： WAF获取真实IP是从报文中哪个字段获取到的? 域名/IP接入状态显示“未接入”，如何处理？ 2023-06-25 第一百三十七次正式发布。 修改未配置子域名和TXT记录的影响？ 2023-06-19 第一百三十六次正式发布。 增加： 精准访问防护规则添加的路径中带有#能匹配吗？ 修改： 添加域名时提示“非法的源站地址”，如何处理？ 2023-06-14 第一百三十五次正式发布。 修改： 如何将Web基础防护的仅记录模式切换为拦截模式？ 2023-06-01 第一百三十四次正式发布。 增加： 一个独享WAF实例可以接入多个ELB吗？ 添加防护域名时，提示“其他人已经添加了该域名，请确认该域名是否属于你”，如何处理？ WAF是否支持HTTP/3协议吗？ 删除防护域名后CNAME记录会保留多久？ 如何解决“网站被检测到：SSL/TLS 存在Bar Mitzvah Attack漏洞”？ 修改： 主账号与子账号的权限有哪些区别？ 2023-04-30 第一百三十二次正式发布。 修改： 使用WAF后如何处理网站的文件不能上传？ Web应用防火墙支持哪些非标准端口？ 拦截所有来源IP或仅允许指定IP访问防护网站，WAF如何配置？ 增加： 访问独享引擎页面时提示“IAM未授权”？ 2023-04-21 第一百三十一次正式发布。 修改WAF误拦截了“非法请求”访问请求，如何处理？ 2023-04-12 第一百三十次正式发布。 修改如何购买域名扩展包/QPS扩展包/规则扩展包？ 2023-03-28 第一百二十九次正式发布。 修改： 添加域名时，防护网站端口需要和源站端口配置一样吗？ 连接超时时长是多少，是否可以手动设置该时长？ 2023-03-03 第一百二十八次正式发布。 修改： 如何将Web基础防护的仅记录模式切换为拦截模式？ 2023-02-22 第一百二十七次正式发布。 修改： 如何排查404/502/504错误？ 2023-02-08 第一百二十六次正式发布。 修改： Web应用防火墙是否支持防护非华为云和云下服务器？ 网站接入 2023-01-31 第一百二十五次正式发布。 修改以下问题： Web应用防火墙是否支持健康检查？ 如何排查404/502/504错误？ 2022-12-22 第一百二十四次正式发布。 修改WAF获取真实IP是从报文中哪个字段获取到的?。 2022-11-18 第一百二十三次正式发布。 新增以下问题： 防护事件列表中，防护动作为“不匹配”是什么意思呢？ WAF获取真实IP是从报文中哪个字段获取到的? 2022-11-02 第一百二十二次正式发布。 新增以下问题： 独享版WAF是否支持跨VPC防护？ WAF中的防SQL注入攻击和DBSS中的SQL注入的区别？ 如何处理“协议不受支持，客户端和服务器不支持一般 SSL 协议版本或加密套件”？ 修改以下问题： 接入Web应用防火墙的域名需要备案吗？ 2022-10-25 第一百二十一次正式发布。 修改以下问题： 业务使用了IPv6，WAF中的源站地址如何配置？ 如何放行云模式WAF的回源IP段？ 如何降低Web应用防火墙的版本和规格？ 哪些版本支持IPv6防护？ 2022-09-13 第一百二十次正式发布。 修改WAF对SQL注入、XSS跨站脚本和PHP注入攻击的检测原理？：增加“WAF针对XSS攻击的检测原理”。 2022-09-07 第一百一十九次正式发布。 修改Web应用防火墙支持哪些非标准端口？ 2022-09-05 第一百一十八次正式发布。 修改以下常见问题： 域名/IP接入状态显示“未接入”，如何处理？ 域名/IP如何接入Web应用防火墙？ 如何排查404/502/504错误？ 2022-08-30 第一百一十七次正式发布。 修改：多个域名对应同一源站，Web应用防火墙可以防护这些域名吗？ 增加：添加域名时，为什么还有域名配额却提示域名配额不足呢？ 2022-08-03 第一百一十六次正式发布。 修改常见问题Web应用防火墙支持防护哪些区域？。 2022-07-18 第一百一十五次正式发布。 增加如下常见问题： 如何理解WAF日志里的bind_ip参数？ 通过IP接入WAF后，WAF可以防护映射到这个IP的所有域名吗？ 如果业务超时数据较多，如何处理？ 2022-07-06 第一百一十四次正式发布。 修改为什么误报处理不能使用了？：增加了区域限制的描述。 2022-07-04 第一百一十三次正式发布。 修改如下章节： Web基础防护支持设置哪几种防护等级？ Web应用防火墙最多可以添加多少条规则？ 2022-06-28 第一百一十二次正式发布。 修改如下章节： Web应用防火墙是否支持防御XOR注入攻击？ 2022-06-15 第一百一十一次正式发布。 修改如下章节： Web应用防火墙支持防护哪些区域？ Web应用防火墙攻击防护类问题 2022-06-09 第一百一十次正式发布。 修改Web应用防火墙支持哪些非标准端口？章节：增加了新的端口。 2022-05-30 第一百零九次正式发布。 修改Web应用防火墙支持哪些非标准端口？章节。 2022-05-26 第一百零八次正式发布。 增加如下问题： WAF对SQL注入、XSS跨站脚本和PHP注入攻击的检测原理？ WAF是否可以防护Apache Struts2远程代码执行漏洞（CVE-2021-31805）？ 2022-05-13 第一百零七次正式发布。 修改如下问题： Web应用防火墙最多可以添加多少条规则？ 如何解决证书与密钥不匹配问题？ HTTP 2.0业务接入WAF防护是否会对源站有影响？ WAF配置多个源站时如何负载？ 2022-05-05 第一百零六次正式发布。 修改如下问题： Web应用防火墙有IPS入侵防御系统模块吗？ 连接超时时长是多少，是否可以手动设置该时长？ 2022-04-25 第一百零五次正式发布。 修改WAF可以跨企业项目使用吗？，优化了相关描述。 2022-04-21 第一百零四次正式发布。 增加如下常见问题： 源站IP地址服务器更换安全组后，在WAF中需要做更改吗？ 如何查看Web应用防火墙的到期时间？ 2022-04-19 第一百零三次正式发布。 修改如下问题： Web应用防火墙支持哪些Web服务框架/协议？ 连接超时时长是多少，是否可以手动设置该时长？ 2022-04-07 第一百零二次正式发布。 修改如下问题： Web应用防火墙和云防火墙有什么区别？，优化了相关描述。 如何排查404/502/504错误？，增加了504的排查方法。 2022-03-17 第一百次正式发布。 修改如下问题： WAF可以跨企业项目使用吗？ 购买或升级WAF时选择了企业项目，其他企业项目可以使用该企业项目的WAF吗？ 2022-03-07 第九十九次正式发布。 文档优化。 2022-02-25 第九十八次正式发布。 增加CC攻击的防护峰值是多少？ 修改如下问题： Web应用防火墙是否支持SSL双向认证？ 独享模式如何防护不支持的非标准端口？ 2022-01-06 第九十七次正式发布。 如何设置使流量不经过WAF，直接访问源站？，优化内容描述。 2021-12-20 第九十六次正式发布。 新增如何查看防护网站的入带宽和出带宽信息？ 2021-11-17 第九十五次正式发布。 新增： 源站开启gzip对WAF有影响吗？ 新增黑白名单规则和精准访问防护规则的拦截指定IP访问请求，有什么差异？ 新增为什么“安全总览”和全量日志统计的日志个数不一致？ 2021-11-08 第九十四次正式发布。 新增为什么WAF显示的流量大小与源站上显示的不一致？ 2021-11-02 第九十三次正式发布。 选择业务QPS时是按照入流量计算还是出流量计算？，优化内容描述。 新增泛域名和单域名都接入WAF，WAF如何转发访问请求？ 新增WAF如何解析/访问IPv6源站？ 2021-10-21 第九十二次正式发布。 哪些版本支持IPv6防护？，优化内容描述。 2021-10-12 第九十一次正式发布。 新增开启网页防篡改后，为什么刷新页面失败？ 2021-09-27 第九十次正式发布。 新增Web应用防火墙和云防火墙有什么区别？ 2021-09-15 第八十九次正式发布。 系统自动生成策略包括哪些防护规则？，优化内容描述。 2021-08-31 第八十八次正式发布。 新增购买或升级WAF时选择了企业项目，其他企业项目可以使用该企业项目的WAF吗？ 2021-08-12 第八十七次正式发布。 新增云模式、独享模式可以互相切换吗？ 新增同一防护域名/IP可以添加到不同的账号进行防护吗？ 新增网站部署了反向代理服务器，如何配置WAF？ 2021-08-06 第八十六次正式发布。 云模式服务版本名称变更：原专业版变更为标准版、原企业版变更为专业版、原旗舰版变更为铂金版。 2021-08-02 第八十五次正式发布。 系统自动生成策略包括哪些防护规则？，优化内容描述。 2021-07-19 第八十四次正式发布。 更新管理控制台入口描述。 2021-07-14 第八十三次正式发布。 新增： WAF会缓存网站数据吗？ 仅放行通过WAF的访问请求，如何配置？ 2021-06-30 第八十二次正式发布。 如何排查404/502/504错误？，优化内容描述。 2021-06-23 第八十一次正式发布。 新增为什么非default企业项目不能使用华为云SCM推送的SSL证书？ 2021-06-02 第八十次正式发布。 新增： WAF支持弹性伸缩功能吗？ WAF转发和Nginx转发有什么区别？ 接入WAF对现有业务和服务器运行有影响吗？ 2021-05-27 第七十九次正式发布。 新增WAF误拦截了“非法请求”访问请求，如何处理？ 2021-05-24 第七十八次正式发布。 新增系统自动生成策略包括哪些防护规则？ 域名/IP接入状态显示“未接入”，如何处理？，优化内容描述。 2021-05-18 第七十七次正式发布。 新增WAF和HSS的网页防篡改有什么区别？ 2021-05-14 第七十六次正式发布。 新增WAF可以防护使用HSTS策略/NTLM代理认证访问的网站吗？ 2021-04-15 第七十四次正式发布。 Web应用防火墙可以拦截Web页面调用其他接口的请求数据吗？，优化内容描述。 2021-04-07 第七十三次正式发布。 新增接入WAF后为什么漏洞扫描工具扫描出未开通的非标准端口？ 如何排查404/502/504错误？，优化内容描述。 2021-03-03 第七十二次正式发布。 新增独享模式如何防护不支持的非标准端口？ 2021-02-25 第七十一次正式发布。 Web应用防火墙支持防护哪些区域？，优化内容描述。 2021-02-19 第七十次正式发布。 新增拦截所有来源IP或仅允许指定IP访问防护网站，WAF如何配置？ 2021-02-05 第六十九次正式发布。 新增JS脚本反爬虫的检测机制是怎么样的？ 2021-01-25 第六十八次正式发布。 Web应用防火墙的防护日志可以存储多久？，优化内容描述。 2020-12-31 第六十七次正式发布。 新增如何处理接入WAF后报错414 Request-URI Too Large？ 开启网站反爬虫中的“其他爬虫”会影响网页的浏览速度吗？，更新界面截图。 2020-12-25 第六十六次正式发布。 调整文档框架。 2020-12-11 第六十五次正式发布。 删除云模式按需计费模式相关内容描述。 2020-11-18 第六十四次正式发布。 新增： Web应用防火墙可以防止垃圾注册和恶意注册吗？ 添加域名时，防护网站端口需要和源站端口配置一样吗？ 业务使用了IPv6，WAF中的源站地址如何配置？ 如何处理523错误码问题？，优化内容描述。 2020-11-09 第六十三次正式发布。 新增域名/IP接入状态显示“未接入”，如何处理？ 2020-10-22 第六十二次正式发布。 Web应用防火墙支持哪些Web服务框架/协议？，优化内容描述。 2020-09-23 第六十一次正式发布。 如何排查404/502/504错误？，更新界面截图。 2020-09-11 第六十次正式发布。 修改以下常见问题。 Web应用防火墙如何收费？ 如何退订Web应用防火墙？ 退订后重购WAF，原配置数据可以保存吗？ 2020-08-12 第五十九次正式发布。 修改以下常见问题。 为什么华为云SCM上的SSL证书在WAF上不能查看？ 2020-07-20 第五十八次正式发布。 新增配置“人机验证”CC防护规则后，验证码不能刷新，验证一直不通过，如何处理？ 2020-07-16 第五十七次正式发布。 新增：Web应用防火墙可以拦截multipart/form-data格式的数据包吗？ 2020-07-08 第五十六次正式发布。 新增开启JS脚本反爬虫后，为什么客户端请求获取页面失败？ QPS超过当前WAF版本支持的峰值时有什么影响？，补充独享版相关内容描述。 Web应用防火墙是否支持防护非华为云和云下服务器？，优化内容描述。 Web应用防火墙是否能防护IP？，优化内容描述。 Web应用防火墙支持对哪些对象进行防护？，优化内容描述。 Web应用防火墙是否支持健康检查？，优化内容描述。 Web应用防火墙支持哪些非标准端口？，补充独享版规格说明。 2020-06-24 第五十五次正式发布。 Web应用防火墙支持哪些非标准端口？，补充入门版端口内容描述。 2020-06-16 第五十四次正式发布。 新增以下常见问题。 在安全组中配置WAF白名单，需要开放所有端口吗？ Web应用防火墙可以跨区域使用吗？ 开启网站反爬虫中的“其他爬虫”会影响网页的浏览速度吗？ 为什么华为云SCM上的SSL证书在WAF上不能查看？ ELB已上传的证书，在Web应用防火墙上需要重新导入上传吗？ 2020-06-08 第五十三次正式发布。 新增以下常见问题。 Web应用防火墙切换为Bypass模式后会放行流量吗 ？ 2020-06-02 第五十二次正式发布。 新增以下常见问题。 接入Web应用防火墙的域名需要备案吗？ Web应用防火墙支持基于应用层协议和内容的访问控制吗？ 域名添加到WAF后，域名是否可以修改？ 2020-05-09 第五十一次正式发布。 新增以下常见问题。 QPS超过当前WAF版本支持的峰值时有什么影响？ 续费时如何变更Web应用防火墙的规格？ Web应用防火墙的哪些防护规则支持仅记录模式？ Web应用防火墙支持拦截包含特殊字符的URL请求吗？ Web应用防火墙可以拦截Web页面调用其他接口的请求数据吗？ Web应用防火墙可以配置会话Cookie吗？ Web应用防火墙可以批量配置黑白名单吗？ Web应用防火墙可以同时查询多个指定IP的防护事件吗？ 使用Web应用防火墙对邮件收发和邮件端口有影响吗？ 如何设置使流量不经过WAF，直接访问源站？ 如果只允许指定地区的IP可以访问，如何设置防护策略？ 如何获取Web应用防火墙销售许可证？ 已使用华为云APIG还需要购买WAF吗？ 2020-03-31 第五十次正式发布。 更新界面截图。 2020-03-19 第四十九次正式发布。 Web应用防火墙支持哪些非标准端口？，修改非标准端口。 什么是区域和可用区？，优化内容描述。 新增以下常见问题。 QPS和请求次数有什么区别？ 什么是防护IP？ Web应用防火墙攻击防护类问题 如何处理418错误码问题？ 如何处理523错误码问题？ 如何对异常IP进行封堵？ Web应用防火墙是否支持SSL双向认证？ Web应用防火墙与漏洞管理服务有哪些区别？ 如何在华为云的云解析服务上配置TXT记录的值？ Web应用防火墙可以导入/导出黑白名单吗？ Web应用防火墙是否可以对用户添加的Post的body进行检查？ Web应用防火墙会记录未拦截的事件吗？ Web应用防火墙的日志可以转储到OBS吗？ 如何降低Web应用防火墙的版本和规格？ Web应用防火墙如何拦截请求内容？ 如何使用A记录进行域名解析？ Web应用防火墙支持配置泛域名吗？ 本地文件包含和远程文件包含是指什么？ Web应用防火墙支持自定义POST拦截吗？ Web应用防火墙可以购买基础版吗？ Web应用防火墙支持自定义授权策略吗？ Web应用防火墙支持日志转发到Syslog Server吗？ 如何解决HTTP配置转发策略后程序访问页面卡顿？ Web基础防护支持设置哪几种防护等级？ 如果证书挂载在ELB上，WAF可以根据请求内容进行拦截吗？ Web应用防火墙支持跨域禁止访问功能吗？ 如何处理域名接入WAF后，登录首页不停地刷新？ 2020-03-06 第四十八次正式发布。 新增以下常见问题。 购买WAF时如何选择业务QPS？ 若流量超过Web应用防火墙的业务请求限制，该如何处理？ 域名/IP如何接入Web应用防火墙？ 2020-03-03 第四十七次正式发布。 调整文档架构。 修改未配置子域名和TXT记录的影响？，更新界面截图并优化内容描述。 2020-01-10 第四十六次正式发布。 新增Web应用防火墙是否支持IPv4和IPv6共存？ 新增如何测试在WAF中配置的源站IP是IPv6地址？ 新增Web应用防火墙是否支持多个账号共享使用？ 修改Web应用防火墙是否能防护IP？，优化内容描述。 2019-12-26 第四十五次正式发布。 修改Web应用防火墙支持哪些非标准端口？，优化内容描述。 2019-12-20 第四十四次正式发布。 修改Web应用防火墙支持哪些非标准端口？，优化内容描述。 2019-12-16 第四十三次正式发布。 操作入口连环图更新。 2019-12-09 第四十二次正式发布。 新增连接超时时长是多少，是否可以手动设置该时长？ 新增域名/IP接入WAF前需要准备哪些数据？ 修改：Web应用防火墙是否支持防护非华为云和云下服务器？ 修改Web应用防火墙是否能防护IP？，优化内容描述。 2019-11-14 第四十一次正式发布。 修改Web应用防火墙支持哪些非标准端口？，优化内容描述。 2019-11-07 第四十次正式发布。 新增CC规则里“限速频率”和“放行频率”的区别？ 2019-11-05 第三十九次正式发布。 修改如何排查404/502/504错误？，优化内容描述。 2019-11-04 第三十八次正式发布。 新增： Web应用防火墙有IPS入侵防御系统模块吗？ Web应用防火墙是否支持防护非华为云和云下服务器？ Web应用防火墙是否支持文件缓存？ 防护规则的路径是否区分大小写？ 防护规则条数不够用时，如何处理？ 2019-10-30 第三十七次正式发布。 新增域名接入WAF后，为什么无法开启防护模式？ 新增如何在华为云的云解析服务上进行DNS验证？ 新增如何查询域名提供商？ 新增Web应用防火墙支持对哪些对象进行防护？ 新增配置泛域名时，如何选择证书？ 新增Web应用防火墙最多可以添加多少条规则？ 新增：Web应用防火墙是否支持健康检查？ 新增Web应用防火墙的防护日志可以存储多久？ 新增如何获取拦截的数据？ 新增Web应用防火墙支持记录防护日志吗？ 新增Web应用防火墙的日志是否可以通过API的方式获取？ 2019-10-21 第三十六次正式发布。 新增未配置子域名和TXT记录的影响？ 2019-10-17 第三十五次正式发布。 修改如何使网站流量切入云模式Web应用防火墙？，优化内容描述。 删除“如何处理DNS解析状态异常？”。 2019-10-14 第三十四次正式发布。 修改： Web应用防火墙支持哪些非标准端口？，优化内容描述。 如何排查404/502/504错误？，优化内容描述。 Web应用防火墙支持哪些操作系统？，优化内容描述。 Web应用防火墙支持哪些Web服务框架/协议？，优化内容描述。 2019-09-12 第三十三次正式发布。 新增： 如何处理Appscan等扫描器检测结果为Cookie缺失Secure/HttpOnly？ 选择业务QPS时是按照入流量计算还是出流量计算？ 主账号与子账号的权限有哪些区别？ 2019-09-06 第三十二次正式发布。 新增： 新旧CNAME的区别？ 云模式服务器的源站地址可以配置成CNAME吗？ 修改如何排查404/502/504错误？，优化内容描述。 2019-08-28 第三十一次正式发布。 修改如何排查404/502/504错误？，优化内容描述。 修改如何获取访问者真实IP？，增加最佳实践的链接。 修改如何使网站流量切入云模式Web应用防火墙？，增加关联章节的链接。 2019-08-20 第三十次正式发布。 文档优化：使用连环图。 2019-08-15 第二十九次正式发布。 新增如何解决重定向次数过多？ 修改如何使网站流量切入云模式Web应用防火墙？，优化内容描述。 2019-07-15 第二十八次正式发布。 新增“如何为Web应用防火墙续费？” 新增“如何退订Web应用防火墙？” 修改如何在添加域名中配置防护域名？，优化内容描述。 2019-07-11 第二十七次正式发布。 修改如何在添加域名中配置防护域名？，优化内容描述。 2019-07-02 第二十六次正式发布。 新增如何在添加域名中配置防护域名？ 2019-07-01 第二十五次正式发布。 新增后端服务器配置多个源站地址时的注意事项？ 修改如何排查404/502/504错误？，优化内容描述。 2019-06-18 第二十四次正式发布。 新增多Project下使用Web应用防火墙的限制条件？ 新增哪些情况会造成WAF配置的防护规则不生效？ 2019-06-06 第二十三次正式发布。 新增Web应用防火墙支持防护哪些区域？ 新增使用WAF后如何处理网站的文件不能上传？ 修改Web应用防火墙支持哪些非标准端口？，优化内容描述。 2019-05-30 第二十二次正式发布。 修改如何使网站流量切入云模式Web应用防火墙？，优化内容描述。 2019-05-16 第二十一次正式发布。 修改如何使网站流量切入云模式Web应用防火墙？，优化内容描述。 2019-05-14 第二十次正式发布。 修改如何排查404/502/504错误？，优化内容描述。 2019-05-05 第十九次正式发布。 新增如何放行云模式WAF的回源IP段？ 新增如何解决HTTPS请求在部分手机访问异常？ 修改如何排查404/502/504错误？，优化内容描述。 修改Web应用防火墙支持哪些非标准端口？，优化内容描述。 修改如何使网站流量切入云模式Web应用防火墙？，优化内容描述。 2019-02-20 第十八次发布。 修改Web应用防火墙支持哪些非标准端口？，优化内容描述。 修改“Web应用防火墙如何收费？”，优化内容描述。 2019-01-03 第十七次正式发布。 调整文档布局。 2018-11-08 第十六次正式发布。 设置短描述和关键字。 2018-10-29 第十五次正式发布。 修改Web应用防火墙支持哪些非标准端口？，优化内容描述。 2018-09-12 第十四次正式发布。 新增如何解决证书链不完整？ 2018-07-19 第十三次发布。 新增如何获取访问者真实IP？ 根据界面变化修改了截图。 2018-07-05 第十二次发布。 修改如何使网站流量切入云模式Web应用防火墙？，优化内容描述。 修改如何在本地测试Web应用防火墙？，优化内容描述。 2018-06-14 第十一次发布。 根据界面变化修改了截图。 2018-05-31 第九次正式发布。 新增如何排查404/502/504错误？ 2018-05-17 第八次正式发布。 新增如何配置对外协议与源站协议？ 2018-04-12 第七次正式发布。 修改“Web应用防火墙支持哪些防护规则？”，增加防敏感信息泄露相关内容描述。 2018-04-02 第六次正式发布。 修改Web应用防火墙支持哪些非标准端口？，优化内容描述。 根据界面变化更新了界面描述和截图。 2018-03-31 第五次正式发布。 新增如何将Web基础防护的仅记录模式切换为拦截模式？ 根据界面变化更新了界面描述和截图。 2018-03-27 第四次正式发布。 新增Web应用防火墙支持哪些非标准端口？ 新增如何使网站流量切入云模式Web应用防火墙？ 新增如何在本地测试Web应用防火墙？ 新增删除防护域名时应该注意哪些事项？ 删除“如何开启WAF防护？”。 根据界面变化更新了界面描述和截图。 2018-01-16 第三次正式发布。 新增Web应用防火墙是否能防护IP？ 2018-01-11 第二次正式发布。 新增：Web应用防火墙提供的是几层防护？ 2017-10-30 第一次正式发布。

WAF转发和Nginx转发有什么区别？ WAF转发和Nginx转发的主要区别为Nginx是直接转发访问请求到源站服务器，而WAF会先检测并过滤恶意流量，再将过滤后的访问请求转发到源站服务器，详细说明如下： WAF转发 网站接入WAF后，所有访问请求将先经过WAF，WAF通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击流量后，将正常流量返回给源站，从而确保Web应用安全、稳定、可用。 图1 防护原理 Nginx转发 即反向代理（Reverse Proxy）方式转发。反向代理服务器接受客户端访问请求后，直接将访问请求转发给Web服务器，并将从Web服务器上获取的结果返回给客户端。反向代理服务器安装在网站机房，代理Web服务器接收访问请求，并对访问请求进行转发。 反向代理可以防止外网对内网服务器的恶性攻击，缓存以减少内网服务器压力，还可以实现访问安全控制和负载均衡。 图2 Nginx转发原理 父主题： 产品咨询

Web应用防火墙和云防火墙有什么区别？ Web应用防火墙和云防火墙是华为云推出的两款不同的产品，分别针对您的Web服务，互联网边界和VPC边界的流量进行防护。 WAF和CFW的主要区别说明如表1所示。 表1 WAF和CFW的主要区别说明 类别 Web应用防火墙 云防火墙 定义 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 云防火墙（Cloud Firewall，CFW）是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 有关CFW的详细介绍，请参见什么是云防火墙。 防护机制 网站成功接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，网站所有访问请求将先流转到WAF，WAF检测过滤恶意攻击流量后，将正常流量返回给源站，从而确保源站安全、稳定、可用。 CFW可对全流量进行精细化管控，包括互联网边界防护，跨VPC，跨VM的流量，防止外部入侵、内部渗透攻击和从内到外的非法访问。 部署模式 WAF支持云模式、独享模式和ELB模式。 云模式-CNAME接入：业务服务器部署在华为云、非华为云或线下，且防护对象为域名。 各服务版本推荐使用的场景说明如下： 入门版 个人网站防护 标准版 中小型网站，对业务没有特殊的安全需求 专业版 中型企业级网站或服务对互联网公众开放，关注数据安全且具有高标准的安全需求 铂金版 中大型企业网站，具备较大的业务规模，或是具有特殊定制的安全需求 云模式-ELB接入：业务服务器部署在华为云，防护对象为域名或IP。大型企业网站，对业务稳定性有较高要求的安全防护需求。 独享模式：业务服务器部署在华为云，防护对象为域名或IP。大型企业网站，具备较大的业务规模且基于业务特性具有制定个性化防护规则的安全需求。 互联网边界和VPC边界 防护对象 云模式-CNAME接入：域名。 独享模式/云模式-ELB接入：域名或IP。 弹性公网IP 功能特性 SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护。 WAF具体支持的功能请参见功能特性。 资产管理与入侵防御：对已开放公网访问的服务资产进行安全盘点，进行实时入侵检测与防御。 访问控制：支持互联网边界访问流量的访问控制。 流量分析与日志审计：VPC间流量全局统一访问控制，全流量分析可视化，日志审计与溯源分析。 父主题： 产品咨询

WAF如何解析/访问IPv6源站？ 当防护网站的源站地址配置为IPv6地址时，WAF直接通过IPv6地址访问源站。WAF默认在CNAME中增加IPv6地址解析，IPv6的所有访问请求将先流转到WAF，WAF检测并过滤恶意攻击流量后，将正常流量返回给源站，从而确保源站安全、稳定、可用。 WAF支持IPv6/IPv4双栈模式和NAT64机制，详细说明如下： Web应用防火墙支持IPv6/IPv4双栈，针对同一域名可以同时提供IPv6和IPv4的流量防护。 针对仍然使用IPv4协议栈的Web业务，Web应用防火墙支持NAT64机制（NAT64是一种通过网络地址转换（NAT）形式促成IPv6与IPv4主机间通信的IPv6转换机制），即WAF可以将外部IPv6访问流量转化成对内的IPv4流量。 哪些Region支持IPv6防护请参考功能总览。 仅专业版和铂金版支持IPv6防护。 父主题： IPv6防护

如果只允许指定地区的IP可以访问，如何设置防护策略？ 如果您只允许某一地区的IP访问防护域名，例如，只允许来源“上海”地区的IP可以访问防护域名，请参照以下步骤处理。 由于地理位置访问控制的优先级高于内置规则的检测，配置了该地区IP放行后，WAF将不再检测其他的Web基础防护策略，直接放行。 添加一条地理位置访问控制规则，添加“上海”地区的“放行”防护动作，如图1所示。 图1 添加“放行”防护动作 有关配置地理位置访问控制规则的详细介绍，请参见配置地理位置访问控制规则。 配置一条精准访问防护规则，拦截所有的请求，如图2所示。 图2 拦截所有访问请求 有关配置精准访问防护规则的详细介绍，请参见配置精准访问防护规则。 父主题： 防护规则

WAF是如何计算域名个数的？ WAF支持的防护域名个数计算方式说明如下： 域名个数为一级域名（例如，example.com）、单域名/二级域名等子域名（例如，www.example.com）和泛域名（例如，*.example.com）的总数。例如，标准版支持防护10个域名，可以添加1个一级域名和9个与其相关的子域名或泛域名。 同一个域名对应不同端口视为不同的域名，例如www.example.com:8080和www.example.com:8081视为两个不同的域名，将占用两个不同的域名防护额度。 WAF支持上传的证书套数和WAF支持防护的域名的个数相同。例如，购买了标准版WAF（支持防护10个域名）、1个独享版WAF（支持防护2,000个域名）和域名扩展包（20个域名），WAF可以防护2,030个域名，则WAF支持上传2,030套证书。 有关WAF各版本支持防护的域名个数的详细说明，请参见服务版本差异。 父主题： 购买和变更规格

若流量超过Web应用防火墙的业务请求限制，该如何处理？ 如果您的正常业务流量超过您已购买的WAF版本的业务请求限制，您在WAF中配置的全部业务的流量转发将可能受到影响。 超出业务请求限制后，可能出现限流、随机丢包、自动Bypass等现象，导致您的正常业务在一定时间内不可用、卡顿、延迟等。 超出业务请求限制后，WAF不会发告警通知，当QPS超过版本支持的峰值且受到攻击时，WAF会发送告警通知。有关告警通知的详细介绍，请参见开启告警通知。 如果出现这种情况，您需要升级WAF版本或者扩展业务QPS，避免正常业务流量超出业务带宽限制所产生的影响。 有关升级版本的详细介绍，请参见变更WAF云模式版本和规格（新版）。 父主题： 购买和变更规格

Web应用防火墙支持配置泛域名吗？ 在WAF中添加防护的域名时，您可以根据业务需求配置单域名或泛域名，说明如下： 入门版不支持添加泛域名。 单域名 配置待防护的单域名。例如：www.example.com。 泛域名 配置泛域名可以使泛域名下的多级域名经过WAF防护。 如果各子域名对应的服务器IP地址相同：配置防护的泛域名。例如：子域名a.example.com，b.example.com和c.example.com对应的服务器IP地址相同，可以直接添加泛域名*.example.com。 如果各子域名对应的服务器IP地址不相同：请将子域名按“单域名”方式逐条配置。 有关添加防护域名的详细操作，请参见添加防护域名。 父主题： 网站接入

如何降低Web应用防火墙的版本和规格？ WAF云模式提供了入门版、标准版、专业版和铂金版四种服务版本。WAF支持降低WAF的版本和域名扩展包、QPS扩展包、规则扩展包的数量，如果您需要降低当前的WAF版本和规格，在页面的右上角，单击“变更”，进入“变更Web应用防火墙规格”页面进行操作，详细操作请参见变更WAF云模式版本和规格。 变更版本：在“版本”所在行的“变更详情”列，单击“变更版本”，选择规格版本并单击“确定”。 变更扩展包：分别在“域名额度”、“QPS额度”、“规则额度”所在行的变更详情列，增加或减少扩展包数量。 默认不支持将扩展包数量降到0，如果您需要将扩展包数量降到0，单击“退订”进行处理。 计费信息：变更规格不改变计费模式与到期时间。 已到期的服务版本，不支持变更规格，请先完成续费再变更规格。 扩展包只能退订未使用的扩展包。 有关WAF各版本规格的详细说明，请参见服务版本差异。 有关退订的详细操作，请参见如何退订Web应用防火墙？。 有关退订重购后，原配置数据的相关说明，请参见退订后重购WAF，原配置数据可以保存吗？。 父主题： 购买和变更规格

已使用华为云APIG还需要购买WAF吗？ 华为云API网关（API Gateway，APIG）是对API提供者和API调用者提供API托管的服务，APIG可以快速将企业服务能力包装成标准API服务，帮助企业轻松构建、管理和部署不同规模的API。APIG不会针对域名进行防护，在满足API安全使用的前提下，APIG可以对绑定的域名提供IP黑白名单控制、防重放攻击、认证鉴权防护功能。 华为云Web应用防火墙（Web Application Firewall，WAF）是对域名提供Web安全防护的服务。域名接入WAF后，WAF可以对网站业务流量进行多维度检测和防护，识别并阻断SQL注入、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，全方位保护Web服务安全稳定。 如果您需要为APIG中绑定的域名提供全方位的防护功能，您可以购买WAF，并将域名接入WAF，以轻松应对各种Web安全风险。 有关WAF功能的详细介绍，请参见功能特性。 有关购买WAF的详细操作，请参见购买Web应用防火墙。 有关使用WAF的详细操作，请参见操作指南。 父主题： 产品咨询

黑白名单规则和精准访问防护规则的拦截指定IP访问请求，有什么差异？ 黑白名单规则和精准访问防护规则都可以拦截指定IP访问请求，两者的区别说明如表1所示。 表1 黑白名单规则和精准访问防护规则区别 防护规则 防护功能 WAF检测顺序 黑白名单规则 只能阻断、仅记录或放行指定IP地址/IP地址段的访问请求。 最高 WAF根据配置的防护规则，按照防护规则检测顺序，进行访问请求过滤检测。 精准访问防护规则 对常见的HTTP字段（如IP、路径、Referer、User Agent、Params等）进行条件组合，用来筛选访问请求，并对命中条件的请求设置放行或阻断操作。 低于黑白名单规则 父主题： 防护规则

工作原理 未使用代理 当网站没有接入到WAF前，DNS直接解析到源站的IP，所以当网站接入WAF后，需要把DNS解析到WAF的CNAME，这样流量才会先经过WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。 使用了DDoS高防等代理 当网站没有接入到WAF前，DNS解析到高防等代理，流量先经过高防等代理，高防等代理再将流量直接转到源站。网站接入WAF后，需要将高防等代理回源地址修改为WAF的“CNAME”，这样流量才会被高防等代理转发到WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。 为了确保WAF转发正常，在修改DNS解析配置前，建议您参照本地验证进行本地验证确保一切配置正常。 为了防止其他用户提前将您的域名配置到Web应用防火墙上，从而对您的域名防护造成干扰，建议您到DNS服务商处添加“子域名”，并为它配置“TXT记录”。WAF会据此判断域名的所有权真正属于哪个用户。具体的配置方法请参见未配置子域名和TXT记录的影响。

操作指导 添加域名后，WAF会根据添加的域名是否已在WAF前使用了代理，生成CNAME值或者CNAME、子域名和TXT记录，用于域名解析，使网站流量切入WAF，相关操作指导参见表1。 表1 操作指导 场景 生成的参数值 域名解析的相关操作 未使用代理 CNAME 把DNS解析到WAF的“CNAME”。 使用代理 CNAME、子域名和TXT记录 将DDoS高防等代理回源地址修改为WAF的“CNAME”。 （可选）在DNS服务商处添加一条WAF的“子域名”和“TXT记录”。

本地文件包含和远程文件包含是指什么？ 您可以在WAF的防护事件中查看文件包含等安全事件，快速定位攻击源或对攻击事件进行分析。 文件包含是指程序开发人员一般会把重复使用的函数写到单个文件中，需要使用某个函数时直接调用此文件，而无需再次编写，这种文件调用的过程一般被称为文件包含。文件包含分为本地文件包含和远程文件包含，说明如下： 当被包含的文件在服务器本地时，称为本地文件包含。 当被包含的文件在第三方服务器时，称为远程文件包含。 文件包含漏洞是指通过函数包含文件时，由于没有对包含的文件名进行有效的过滤处理，被攻击者利用从而导致了包含了Web根目录以外的文件进来，导致文件信息的泄露甚至注入了恶意代码。 有关查看防护日志的详细操作，请参见查看防护日志。 父主题： 产品咨询

为什么Cookie中有HWWAFSESID或HWWAFSESTIME字段？ HWWAFSESID：会话ID；HWWAFSESTIME：会话时间戳，这两个字段用于标记请求，如CC防护规则中用户计数。 防护域名/IP接入WAF后，WAF会在客户请求Cookie中插入HWWAFSESID（会话ID），HWWAFSESTIME（会话时间戳）等字段，这些字段服务于WAF统计和安全特性，不插入这些字段将会影响CC人机验证、攻击惩罚、动态反爬虫的功能使用。 父主题： 产品咨询

如何在华为云的云解析服务上配置TXT记录的值？ 如果您在WAF中添加了使用了DDoS高防等相关代理的域名，请在您的DNS服务商处配置“子域名”和“TXT记录”，以避免其他用户在WAF中配置了相同的域名而对您的域名防护造成干扰。 如果您使用了华为云的云解析服务，配置TXT类型的记录值时，需要将TXT记录加上引号后粘贴在对应的文本框，例如，"37c795804124dd4a0dd88defff8941f"，如图1所示。 图1 添加记录集 有关在华为云的云解析服务上配置子域名和TXT记录的详细操作，请参见未配置子域名和TXT记录的影响？。 父主题： 网站接入

如何解决重定向次数过多？ 在WAF中完成了域名接入后，请求访问目标域名时，如果提示“重定向次数过多”，一般是由于您在服务器后端配置了HTTP强制跳转HTTPS，在WAF上只配置了一条HTTPS（对外协议）到HTTP（源站协议）的转发，强制WAF将用户的请求进行跳转，所以造成死循环。可在WAF中修改服务器信息，配置两条HTTP（对外协议）到HTTP（源站协议）和HTTPS（对外协议）到HTTPS（源站协议）的服务器信息。 图1 配置示例 父主题： 流量转发异常排查

云模式-ELB接入排查思路和处理建议 防护网站的“部署模式”为“云模式-ELB接入”时，请参考图3和表3进行排查处理。 图3 ELB模式排查思路 表3 ELB模式接入WAF失败问题处理 可能原因 处理建议 原因一：域名/IP“接入状态”未刷新 在防护网站“接入状态”栏，单击刷新状态。 原因二：访问流量未达到WAF统计要求 须知： 防护网站接入WAF后，当WAF统计防护网站在5分钟内有20次请求时，将认定该防护网站已接入WAF。 在1分钟内多次访问防护网站。 在防护网站“接入状态”栏，单击刷新状态。 原因三：域名/IP参数配置错误 查看域名基本信息，检查域名/IP参数是否正确。 如果域名/IP配置错误，删除该域名/IP后重新添加防护网站。