Web應用防火墻（原生版）

Web應用防火墻（原生版）（CT-WAF，Web Application Firewall，簡稱WAF）基于三大引擎（安全模型檢測引擎+智能語義檢測引擎+機器學習檢測引擎），結合設備指紋、無感驗證碼、動態人機挑戰、動態環境驗證、隨機化混淆策略、AI驅動的實時決策等關鍵技術，支持多種常見編碼自動還原能力，提供深度攻擊防逃逸功能，構建完整的動態防御閉環，有效檢測 SQL 注入、XSS 等基于形式語言的攻擊類型，有效應對自動化工具、0day漏洞攻擊等高風險威脅。打造專業的Web安全防護能力。可為用戶Web應用提供一站式安全防護，對Web業務流量進行智能全方位檢測，有效識別惡意請求特征并防御，避免源站服務器被惡意入侵，保護網站核心業務安全和數據安全。更多信息請參考Web應用防火墻

配置方式：

• 如果您擁有彈性IP、公網NAT網關、彈性負載均衡等網絡資產，并需要進行公網流量出入的互聯網邊界防護需求，您可以在云防火墻的“互聯網邊界開關”頁面將這些網絡資產接入云防火墻，并配置相關的互聯網邊界訪問控制規則。具體操作，請參見防火墻開關-互聯網邊界防火墻、訪問控制-配置互聯網邊界防護規則

• 如果您擁有對等連接、云間高速、云專線等網絡資產，并需要針對內網互訪進行VPC邊界防護，您可以在云防火墻的“VPC邊界開關”頁面將內網互訪流量接入云防火墻，并配置相關的VPC邊界訪問控制規則。具體操作，請參見防火墻開關-VPC邊界防火墻、訪問控制-配置VPC邊界防護規則

DDoS基礎防護

DDoS基礎防護功能介紹

DDoS基礎防護產品依托天翼云資源池網絡，在公網IP遭受DDoS攻擊時免費提供一定DDoS防護閾值，在閾值內盡可能確保IP可用。當IP遭受的DDoS攻擊峰值超過IP的DDoS防護閾值時，會對IP所在服務器和網絡的穩定性造成影響，根據用戶協議，IP會進入封禁狀態。

DDoS基礎防護封禁閾值計算方式

DDoS基礎防護依托天翼云資源池網絡，為公網IP免費提供一定DDoS防護閾值，該閾值與公網IP帶寬規格、公網IP綁定資產類型和公網IP所在資源池相關。

• IP帶寬越大，分配的網絡資源就會越多，能對抗的DDoS攻擊峰值越高，DDoS防護閾值越大。

• IP綁定的資產類型屬于負載型的資產時，如ELB、WAF等，相較于IP綁定到ECS云主機資產或未綁定資產，負載型資產本身分配的網絡資源較多，能對抗的DDoS攻擊峰值更高，DDoS防護閾值更大。

• 資源池內所有EIP遭受的DDoS攻擊最終都會對資源池網絡造成影響，為防止資源池網絡整體產生波動，資源池會設定一個DDoS防護閾值作為資源池防護的底線。該閾值被同一時間所有受攻擊的IP均分，例如當多個IP同時被攻擊時，受攻擊的多個IP會均分該閾值。

公網IP的DDoS防護閾值為IP帶寬DDoS防護閾值，IP資產類型DDoS防護閾值，IP資源池DDoS防護閾值中取最小值，因任意類型的閾值超限均會對IP所在資源池、服務器或網絡產生穩定性影響，具體計算公式如下。計算結果為理論底線數值，當IP所在服務器和資源池網絡暢通時，DDoS基礎防護會盡可能為IP提供更高的DDoS防護閾值。

公網IP的DDoS防護閾值 = MIN（IP帶寬DDoS防護閾值，IP資產類型DDoS防護閾值，資源池DDoS防護閾值/同一時間遭受DDoS攻擊的IP數量）。

其中IP帶寬防護閾值具體計算方式如下表。

其中IP資產類型防護閾值具體計算方式如下表。

其中IP資源池防護閾值具體計算方式如下表。

DDoS基礎防護封禁通知

當您的IP遭受的DDoS攻擊峰值超過IP的防護閾值時，會對IP所在服務器和網絡的穩定性造成影響，根據用戶協議，IP會進入封禁狀態，封禁時間持續24小時。

該封禁狀態有通知，會通過IP所屬賬戶的站內信、短信、郵箱渠道進行通知，告知封禁信息。除了賬戶所有人，您還可以在天翼云控制臺-消息中心-消息訂閱-消息管理-安全消息處配置多個消息接收人，比如將您業務的多位值班或運維人員配置到聯系人中，此時安全消息短信會通知告知多個人。

通知內容僅有攻擊峰值，不包含攻擊源信息。DDoS基礎防護主要防護IP所在網絡的整體穩定，非單個IP的攻擊分析產品，僅能提供目的IP級別遭受DDoS大流量攻擊的攻擊峰值信息，無法提供源IP級別的信息。若客戶需要源IP級別的分析，可選擇任意渠道和廠商的DDoS高防產品防護自身業務IP并免于觸發DDoS封禁，不局限于天翼云的DDoS高防產品。天翼云和其他云廠商均提供有DDoS高防產品，一般可提供高防IP隱藏業務IP、大流量攻擊防護和攻擊源分析能力。