• 如何接入Web應用防火墻防護？
• Web應用防火墻支持HTTPS協議嗎？
• Web應用防火墻支持IP負載均衡嗎？
• Web應用防火墻流量牽引方式及步驟？
• 為什么要放行云Web應用防火墻回源IP段？
• 為什么要開通所有網站端口的Web應用防火墻防護？
• 如何放行云Web應用防火墻回源IP段？
• Web應用防火墻是否支持會話保持？
• Web應用防火墻是否支持源站健康檢查？
• 為什么第三方漏洞掃描工具會檢測到域名其他未開放的端口？
• Web應用防火墻是否支持HTTPS與HTTP2.0協議？
• Web應用防火墻是否支持WebSocket協議？
• Web應用防火墻是否支持IPv4與IPv6雙棧？
• Web應用防火墻是否支持NAT64機制？
• Web應用防火墻支持那些端口？
• Web應用防火墻可以攔截哪些類型的攻擊？
• 什么樣的域名無法接入防護？
• Web應用防火墻是否能夠防御DDoS攻擊？
• Web應用防火墻支持哪些TLS協議？
• Web應用防火墻是否支持接入采用NTLM協議認證的網站？
• Web應用防火墻中的源站IP可以填寫ECS內網IP嗎？

如何接入Web應用防火墻防護？

只需要通過修改網站CNAME記錄即可。

• 如果域名的DNS解析服務在自建的服務器，登錄控制臺直接修改即可。
• 如果域名的DNS解析服務由第三方提供（如萬網、新網等），登錄域名提供DNS解析的服務商網站進行修改。

Web應用防火墻支持HTTPS協議嗎？

支持。

天翼云Web應用防火墻既支持HTTP，又支持HTTPS，同時支持單個域名既有HTTPS又有HTTP。

Web應用防火墻支持IP負載均衡嗎？

不支持，天翼云Web應用防火墻只支持單個IP的訪問，不支持IP負載均衡。

Web應用防火墻流量牽引方式及步驟？

天翼云Web應用防火墻采用DNS牽引的方式，屬于常引流。

在Web應用防火墻自服務頁面中防護配置生效后，需要客戶聯系DNS服務器商將網站域名解析指向CNAME地址，CNAME規則為：防護域+.iname.damddos.com，例如原域名 www.daliqc.cn，CNAME為www. daliqc.cn.iname.damddos.com。

如果用戶需要關閉實例、關閉防護，首選需要確保已經聯系DNS服務商將域名指向切換至源地址，否則將影響客戶的正常訪問。

服務到期需要盡快續費，或者需要確保配置失效時將DNS指回源站。

為什么要放行云Web應用防火墻回源IP段？

網站成功接入云WAF防護后，所有業務請求將先流轉到防護平臺進行檢測，經過濾后返回到源站服務器。由于源站服務器收到的所有請求都來自云WAF平臺的IP，源站服務器上的安全軟件（如安全組、防火墻、安全狗、云鎖）很可能認為云WAF回源IP在進行攻擊而進行封禁，造成誤封禁的云WAF回源IP的所有請求將無法得到源站的正常響應。因此，在網站接入云WAF后，需確保源站側已將云WAF所有回源IP加入訪問控制安全組與相關安全軟件白名單進行放行，避免出現網站無法打開或響應緩慢等情況。

為什么要開通所有網站端口的Web應用防火墻防護？

域名接入Web應用防火墻防護后，該域名所有公網業務請求都會通過CNAME解析牽引至云WAF，未在云WAF側開通防護配置的端口請求則無法被接收，并且丟棄。因此，需要提供完整的域名及域名所開放端口列表。如未將同一域名下所有端口業務接入云WAF進行防護，將影響該域名下未接入防護的端口業務正常訪問。

如何放行云Web應用防火墻回源IP段？

打開源站服務器上的安全軟件與訪問控制安全組，根據防護開通的所屬數據中心中心將云WAF平臺回源IP地址段（內蒙數據中心：36.111.137.0/24 與 203.57.157.0/24，北京數據中心：203.34.106.0/24，上海數據中心：101.226.7.0/24， 廣州數據中心：203.32.204.0/24）添加到白名單。

Web應用防火墻是否支持會話保持？

支持會話保持，但是默認不開啟。如果需要啟用會話保持，請聯系安全防護工程師根據實際業務需求進行會話保持策略配置的調整。

Web應用防火墻是否支持源站健康檢查？

支持對源站IP的健康檢查，但是默認不開啟。如果需要啟用源站健康檢查，請聯系安全防護工程師根據實際業務需求進行健康檢查配置的調整。

為什么第三方漏洞掃描工具會檢測到域名其他未開放的端口？

Web應用防火墻默認開放部分端口用于網站接入和防護服務，對于已接入Web應用防火墻防護的網站，云WAF不會轉發任何未開通防護的端口業務請求回到源站。因此，不會對源站服務帶來任何安全風險和威脅。關于第三方掃描工具對于網站的端口檢測，需以源站公網IP開放的端口為準。

Web應用防火墻是否支持HTTPS與HTTP2.0協議？

云WAF全面支持HTTPS與HTTP2.0協議。用戶只需通過WAF控制臺根據提示將對應的SSL證書及私鑰進行上傳托管后，即可聯系工程師進行防護開通。

Web應用防火墻是否支持WebSocket協議？

云WAF全面支持WebSocket協議（WS/WSS）。WS防護可以正常開通，WSS業務只需通過自服務平臺將對應的SSL證書及私鑰進行上傳托管后，即可聯系工程師進行防護開通。

Web應用防火墻是否支持IPv4與IPv6雙棧？

云WAF支持IPv6流量防護，且針對同一域名可以同時提供IPv6和IPv4的流量防護，支持IPv4和IPv6雙棧防護。

Web應用防火墻是否支持NAT64機制？

對于只使用IPv4協議棧回源的業務，云WAF支持NAT64機制，即云WAF提供IPv6訪問流量接入及防護，檢測過濾后將IPv6訪問流量轉化為IPv4流量返回源站，快速滿足國家IPv6政策要求。

Web應用防火墻支持那些端口？

云WAF防護開通支持HTTP標準端口80、8080，443、8443等以443結尾的HTTPS標準端口，其余非標準端口請聯系工程師確認后進行開通。

Web應用防火墻可以攔截哪些類型的攻擊？

利用云WAF平臺，基于云安全大數據實現，對客戶網站提供一整套的4-7層安全防護方案，有效阻攔網站系統被篡改、被掛馬、漏洞攻擊，惡意掃描、非授權核心資源訪問等OWASP常見攻擊，并過濾惡意CC攻擊，避免客戶網站資產數據泄露，保障網站的安全與可用性。啟用之后，客戶網站所有的公網流量都會先經過云WAF平臺，惡意攻擊流量在云WAF平臺上被檢測過濾，而正常流量返回給源站IP，從而確保源站IP安全、穩定、可用。

什么樣的域名無法接入防護？

• 網站無域名

  云WAF防護通過域名接入的方式來進行防護。用戶將需要防護的域名通過CNAME方式指向云WAF，所有流量經過云WAF的清洗后，將正常的流量回源。在沒有域名只有IP的情況下，無法實現用戶流量的牽引，故無法接入防護。

• 未取得ICP備案號的網站不允許使用

• 網站域名與IP不匹配

  客戶接入云WAF時，需要提供真實的網站域名以及對應的真實網站地址，當網站流量被引流至云WAF，云WAF對流量進行清洗后，正常流量需要回源至客戶的服務器進行處理，如果此時提供的IP與網站域名不匹配，會導致正常流量無法處理而被丟棄，從而影響客戶網站的正常運行。

• HTTPS域名無法提供SSL證書

  HTTPS傳輸的內容為加密內容。當網站為HTTPS方式時，流量到達云WAF均為加密狀態，而此時云WAF無法識別這些內容，從而無法執行相應的清洗動作。為保障清洗的正常運行，云WAF需要使用客戶的SSL證書對流量進行解密后執行清洗，當清洗完成后，云WAF會再次通過SSL證書將流量加密，并返回給源站，從而保證整個傳輸過程都是加密的。

• 網站打不開或無任何實際內容，導致無法判斷網站運營范圍的網站不允許通過。

• 相關機構提示網頁有威脅的，有非法信息提示不允許通過。

• 醫院類型網站（流產，皮膚病，性病等醫院），未獲得衛生部資質網站，不允許通過。

• 網站主體內容含有色情（視頻交友，一夜情交友）、違法（辦假證，販賣仿真槍）、黑客（非技術交流網站）、釣魚網站、游戲私服、游戲外掛、網賺（傳銷性質網站）、成人用品、保健用品（減肥藥）、兩性、美女貼圖和動漫貼圖（尺度過大）、賭博（含販賣賭博工具）等低俗內容。

• 網站存在惡意流氓廣告（存在非法內容視頻鏈接，非法網頁內容鏈接）不允許通過。

• 網站內容存在版權風險的網站（視頻，小說，音樂網站）不允許通過。

• 網站含有藥品銷售、保健品銷售，但未取得資質的，或嚴重夸大藥效事實不允許通過。

• 網站主要業務為向非法網站提供支付、交易平臺、擔保，代理外國金融理財（炒股，炒現貨，炒黃金）等服務的網站不允許通過。

• 網站中大量存在影響社會和諧穩定的內容的網站（涉嫌攻擊國家，攻擊領導人，攻擊人民，言論煽動性質網站）不允許通過。

Web應用防火墻是否能夠防御DDoS攻擊？

可以。云WAF默認加載中國電信抗D產品防護，利用電信大網資源和路由調度，有效抵御來自互聯網的DDoS攻擊。

Web應用防火墻支持哪些TLS協議？

WAF實例默認支持TLS 1.0、TLS 1.1、TLS 1.2。

Web應用防火墻是否支持接入采用NTLM協議認證的網站？

不支持。如果網站使用NTLM協議認證，經WAF轉發的訪問請求可能無法通過源站服務器的NTLM認證，客戶端將反復出現認證提示。

Web應用防火墻中的源站IP可以填寫ECS內網IP嗎？

不支持。WAF通過公網進行回源，不支持直接填寫內網IP。