阿里云资格认证_设置自定义规则防御特定请求（WAF 3.0）

有影响。 HTTP 2.0业务接入WAF保护意味着WAF可以处理客户端的HTTP 2.0请求，但WAF目前只支持使用HTTP 1.0/1.1协议转发回源请求，即WAF与WAF之间目前不支持HTTP 2.0起源地。 因此，如果将HTTP 2.0服务接入WAF防护，源站的HTTP 2.0功能将会受到影响。 例如，HTTP 2.0在源站的复用特性可能会失败，导致源站的业务带宽增加。

WAF支持哪些TLS协议？

中国大陆WAF实例默认支持TLS 1.0、TLS 1.1、TLS 1.2，海外地区WAF实例默认支持TLS 1.1、TLS 1.2。

如果您有个性化需求（例如不需要 TLS 1.0 版本、想要启用 TLS 1.3 等），您可以自定义 TLS 配置。 相关操作参见。

WAF是否支持访问NTLM协议认证的网站？

不支持。 如果网站使用NTLM协议进行认证，WAF转发的访问请求可能无法通过源站的NTLM认证，客户端会重复出现认证提示。 建议您使用其他方式进行网站认证。

WAF中的源站IP可以填写ECS内网IP吗？

不能。 WAF通过公网回源，不支持直接填写内网IP。

WAF能否保护一个域名下的多个源站IP？

是的，一个WAF域名配置最多支持20个源站IP地址。

配置多源站时如何加载WAF？

如果配置多个源站IP，WAF默认使用IP Hash对访问请求进行负载均衡。 您还可以根据需要自定义负载均衡算法。 请参阅 获取更多信息。

WAF是否支持健康检查？

WAF默认启用健康检查。 WAF会检测所有源站IP的访问状态。 如果某个源站IP没有响应，WAF会将访问请求转发到其他源站IP。

阐明

当源站IP无法响应时，WAF会自动为源站IP设置静默时间。 静默时间结束后，新的访问请求仍可能转发到源IP。 有关 WAF 运行状况检查如何工作的信息，请参阅。

修改WAF源站IP是否有延迟？

有。 修改WAF保护的源站IP后，大约需要1分钟才能生效。

WAF的回源IP段是多少？

您可以在Web应用防火墙控制台的系统管理 > 产品信息页面查询WAF的回源IP段。 请参阅 获取更多信息。

WAF会自动将WAF回源IP段加入安全组吗？

WAF不会自动将WAF回源IP段添加到安全组中。 如果您的源站部署了其他防火墙或主机安全防护软件，建议您将WAF回源IP段添加到相应的白名单中。

建议您配置源站保护策略，为您的源站提供安全保护。 详情请参阅。

WAF回源是否需要释放所有客户端IP？

根据您的业务情况，您可以只允许WAF回源IP段，也可以允许所有客户端IP。 对于Web服务，建议只释放WAF回源IP，实现源站保护。

WAF专有IP能否防御DDoS攻击？

能。

WAF为每个用户提供独立的IP。 该IP同样适用于DDoS防护的黑洞策略，与ECS、SLB服务器一致。 WAF的黑洞阈值与当前区域ECS的默认阈值相同。

WAF可以与CDN或DDoS高防对接吗？

WAF完全兼容CDN和DDoS高防服务。 同时接入WAF、CDN和DDoS高防的最佳部署架构为：客户端 > DDoS高防 > CDN > WAF > 负载均衡 > 源站。

当WAF与DDoS高防或CDN对接时，只需将WAF提供的CNAME地址配置为DDoS高防或CDN的源站即可。 这样流量可以经过DDoS高防或CDN后转发到WAF，最后通过WAF转发到源站，从而为源站提供全面的安全防护。 有关详细信息，请参阅。

WAF是否支持跨账户使用CDN+高防+WAF架构？

是的，您可以跨账户使用CDN、高级防御和WAF产品，形成抵御DDoS攻击和Web应用攻击的安全架构。

WAF如何保证上传的证书和密钥的安全？ HTTPS 流量是否会被解密并记录访问请求的内容？

当阿里云Web应用防火墙保护HTTPS服务时，您需要上传相应的SSL证书和密钥来解密HTTPS流量并检测流量中的攻击特征。 我们使用专用的证书服务器（Key）来存储和管理密钥。 Key依托阿里云密钥管理系统KMS（Key），可以保护证书和密钥的数据安全、完整性、可用性，满足监管和监管合规要求。 KMS的详细介绍请参见。

WAF使用您上传的SSL证书和密钥来解密HTTPS业务流量，仅用于实时检测。 我们只会记录包含攻击特征（）的部分请求内容，用于攻击报告展示、数据统计等，未经您授权，我们不会记录完整的请求或响应内容。

阿里云Web应用防火墙已通过ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 27701、ISO 29151、BS 10012、CSA STAR、Class III、SOC 1/2/3、C5、HK金融、OSPAR、PCI DSS等多项国际权威认证。 作为标准的阿里云云产品，在云平台层面拥有与阿里云同等级别的安全合规资质。 详情请参见阿里云信任中心。

阐明

使用WAF保护HTTPS服务时，还可以选择双证书方案，即在WAF上使用一套证书和密钥，在源站上使用另一套证书和密钥（两套证书和密钥都必​​须是合法），这样上传到WAF的证书和密钥可以与源站的证书和密钥分开管理。

网站已接入WAF防护，为何在域名列表中找不到该网站？

您的网站注册信息可能已过期，导致域名不符合访问要求，被WAF自动清除。 您需要完成域名ICP备案，并重新将网站接入WAF保护。 更多关于阿里云ICP备案的信息，请参见。

重要的

在您的网站接入中国大陆WAF实例（包括包年包月实例和按量付费实例）保护之前，您必须确保域名注册信息的有效性。 为遵守相关法律法规，中国大陆WAF实例会定期清理无效注册域名。 相关法律法规请参见。

WAF如何防御CC攻击？

WAF提供多种CC安全防护模式，您可以根据实际情况进行选择。 请参阅 获取更多信息。

如果您想同时拥有良好的防护效果和较低的误杀率，建议您选择WAF企业版和旗舰版，安全专家定制针对性的防护算法。 详情请参阅。

WAF管理控制台修改配置需要多长时间才能生效？

一般情况下，更改后的配置会在一分钟内生效。

WAF自定义保护策略（ACL访问控制）中的IP字段是否支持填写网段？

支持。

为什么URL匹配字段包含双斜杠（//）的自定义防护策略规则不生效？

由于WAF的规则引擎在处理URL匹配字段时会进行标准化处理，默认会对连续的斜杠（/）进行压缩，因此自定义的保护策略规则中包含双斜杠（//）的URL无法正确匹配。

如果需要对包含双斜杠（//）的URL设置ACL访问控制，可以直接设置该URL对应的单斜杠路径作为匹配条件。 例如，如果需要使用//api/sms/作为URL匹配字段的条件值，则只需在匹配内容中填写/api/sms/，WAF即可对包含此的请求进行访问控制内容。

在WAF管理控制台中可以查看CC攻击的攻击者IP吗？

能。 您可以开通WAF日志服务，然后使用日志查询功能查询CC攻击的攻击者IP信息。 有关详细信息，请参阅。

如何查询WAF使用的带宽流量？

您可以在Web应用防火墙控制台概览页面查看已使用的带宽流量。

WAF如何提高企业账号接口的访问安全性？

随着企业业务和规模的不断增长，受到的攻击数量也呈指数级增长。 拥有更多有价值帐户的网站也更频繁地受到攻击。 攻击者可能在一定时间内对特定账户接口发出大量请求。 、尝试登录自己的账户或注册大量虚假账户。 WAF可以自动检测API，提供账户风险识别能力，并结合场景化反爬行，保护业务中与账户相关的接口。 更多详情请参见 API 安全、风险识别、激活和配置 Bot 管理。

爬虫如何通过API接口泄露数据？ 如何防护？

爬虫按照一定的规则自动抓取互联网信息。 企业可能缺乏对在线API接口的有效管理。 攻击者可能会在未经授权的情况下访问 API 接口，以及错误配置和非法的 API。 访问请求可能会导致敏感数据泄露。 Web应用防火墙提供Bot管理和API安全模块。

WAF如何获取客户端源IP并通过自定义记录客户端IP？

定制获取客户端源IP：如果网站业务在WAF前面还有其他七层代理服务（例如DDoS高防、CDN等），以防止攻击者伪造XFF字段，逃避WAF检测规则，并提高业务安全性，业务中可以使用客户端IP的自定义存储，将客户端源IP放在自定义字段中（例如X--IP、X-Real-IP），并在WAF中配置相应字段、WAF获取指定字段的值作为客户端源IP。 如果设置了多个字段，WAF将尝试按顺序读取客户端IP。

自定义记录客户端IP：当网站加入WAF防护时，通过开启流量标签，WAF将客户端IP写入客户端请求的自定义字段中，后端服务器可以在指定字段中返回来自WAF的源站请求。 获取客户端IP适用于后端服务器需要从指定定制中获取客户端IP进行业务分析的场景。

API的主要安全风险和可能的后果是什么？ 您建议如何处理风险？

攻击者可能会获得对API接口的未经授权的访问，错误的配置和非法的API访问请求可能会导致敏感数据泄露。 大量模拟正常业务请求的API接口可能会导致CC攻击。 未离线的过期API可能会导致数据泄露。

WAF针对此类问题提供了API安全模块。 API安全的核心在于不需要用户进行任何配置，能够自动发现接入安全业务流量以及暴露在公网的内部接口中类似的敏感数据泄露，且不受相关限制。 高风险风险。 通过全API监控和流量可视化，WAF自动发现API业务并进行分类，梳理API业务的现状，发现过期的API接口暴露，形成正常的访问请求模型。 通过自学习API请求参数模型，实现异常API调用的准实时预警，并配置相应的防护策略，规避风险，促进处置闭环。 有关更多详细信息，请参阅 API 安全性。