防護回源IP放行

業務接入WAF防護平臺清洗后，所有請求的客戶端源地址都會變為WAF回源IP段，客戶源站側的安全設備或安全軟件（如：IPS、網絡防火墻、流量管理系統、本地 WAF 應用防火墻、網站安全狗與云鎖等）可能被認為是攻擊行為而被封禁，造成WAF清洗后的請求無法得到源站正常響應，因此客戶側需要將所開通防護中心的回源IP段添加到源站側的訪問控制策略與安全軟件白名單中，避免由WAF轉發回源站的業務流量被判斷為異常攻擊造成誤封禁，影響網站正常訪問。

回源IP段：

• 內蒙數據中心：36.111.137.0/24 與 203.57.157.0/24
• 北京數據中心：203.34.106.0/24
• 上海數據中 心：101.226.7.0/24
• 廣州數據中心：203.32.204.0/24

域名解析

配置成功后，防護配置的狀態變為“防護中” ，之后客戶可以進行域名解析：

如域名“www.ctyun.com”，需要客戶聯系DNS服務商將域名解析指向CNAME：www.ctyun.com.iname.damddos.com。

即“源域名+.iname.damddos.com”。

DNS牽引指向CNAME后，Web應用防火墻防護正式完成配置。

設置源站保護

出于安全性考慮，建議您在業務流量成功接入WAF防護后，禁止通過IP直接訪問業務，同時設置源站側的訪問控制策略，只允許WAF回源IP段和其他可信任地址之內的IP訪問業務，避免攻擊者獲取您的源站IP后繞過WAF直接攻擊源站。

獲取客戶端真實IP

網站若使用了流量代理服務（如CDN、DDoS高防、WAF），達到源站的IP均將顯示為相關服務的代理回源IP地址，WAF在HTTP請求頭部中默認插入了X-Forwarded-For字段，用于記錄客戶端真實IP，源站服務器可以通過解析回源請求中的X-Forwarded-For記錄，獲取客戶端的真實IP，各類型的Web應用服務器針對該字段的提取配置可聯系安全防護工程師提供技術支持。

與CDN結合使用

WAF與CDN完全兼容，可以通過與CDN的結合使用，為開啟CDN內容加速的業務同時提供Web攻擊防護。 若已經接入CDN服務，將云WAF為防護域名分配的CNAME地址作為CDN的源站即可。

客戶端 > CDN > WAF > 源站，流量將按照用戶 > CDN > WAF >源站的架構回源。同時，需要您聯系CDN服務商，將客戶端的真實IP通過client-IP字段插入至HTTP請求頭部中，并告知安全防護工程師進行提取配置，保證WAF正常防護。

防護策略說明

• WAF防護服務目前默認策略分為低、中、高與 AI 學習模式。各防護策略均包含上述攻擊類型在內的安全防護，策略等級越高越嚴格，攻擊漏攔截概率越小，對業務 訪問影響程度可能更高（業務代碼不規范也會觸發阻斷策略）。
  • 低級防護策略主要針對攻擊特征比較明顯的違規請求，適用于站點存在較多不可控用戶輸入（如含有富文本編輯器的網站業務）的業務場景。
  • 一般情況下，中級防護策略適用于絕大部分業務場景的Web防護需求。
  • 高級防護策略采用了最精細的防護顆粒度，適用于對業務安全性要求較高，同時需要網站開發人員高度參與策略定制與防護過程的業務場景。
  • 如對站點業務流量特征還不完全清楚，可以啟用AI學習模式，該模式下AI學習引擎會自動學習網站的訪問模式與流量特征，經過7到14天的分類訓練和流量學習后會對所有策略根據機器算法進行評分，保留學習后符合標準的策略規則，大幅減少誤報，提高對已知與未知Web安全威脅的防護效果，同時，可聯系天翼云安全工程師基于學習期間的攻防日志，進一步優化安全防護策略和配置。
• 接入WAF防護服務后，當啟用防護策略時，即便是低級防護策略 ，可能也會因為網站代碼實現不夠規范或用戶通過非常規方式訪問等情況，造成用戶的上傳搜索等正常操作可能被誤認為是攻擊而攔截掉。當業務訪問出現誤報較多的情況，建議將防護模式調整為觀察模式，通過自服務平臺查看告警日志，并及時觀察業務的正常使用情況，發現誤報請求后第一時間聯系天翼云安全工程師優化安全防護策略。

調整防護策略

切換CNAME接入防護后，您可以通過登錄自服務平臺進行包括防護規則、CC防護、地區封禁、攻擊防繞過和HTTP合規性檢測等功能在內的自定義防護配置調整。

防護策略針對不同行業客戶支持個性化定制，可直接聯系天翼云指定的安全工程師提供技術支持，工程師將根據實際使用情況與攻防日志進行策略調整優化。

24小時值班電話：400-810-9889，語音提示后，請按“2”轉接人工服務。