防护回源 IP 放行

业务接入云 WAF 防护平台清洗后，所有请求的客户端源地址都会变为云 WAF 回源 IP 段，从客户源站侧的安全设备或安全软件（如：IPS、网络防火墙、流量管理系统、本地 WAF 应用防火墙、网站安全狗与云锁等）可能认为是攻击行为进行封禁，造成云 WAF 清洗 后的请求无法得到源站正常响应，因此客户侧需要根据所开通防护中心的回源 IP 段（内蒙数据中心：36.111.137.0/24 与 203.57.157.0/24，北京数据中心：203.34.106.0/24，上海数据中 心：101.226.7.0/24，广州数据中心：203.32.204.0/24）添加到源站侧的访问控制策略与安全软件白名单中，避免由云WAF转发回源站的业务流量被判断为异常攻击造成误封禁，影响网站正常访问。

域名解析

配置成功后，防护配置的状态变为：“防护中” ，之后客户可以进行域名解析：

如域名：www.ctyun.com 需要客户联系 DNS 服务商将域名解析指向 Cname：www.ctyun.com.iname.damddos.com

即：源域名+.iname.damddos.com ，DNS 牵引指向 Cname 后，web 应用防火墙防护正式完成配置。

设置源站保护

出于安全性考虑，建议您在业务流量成功接入云 WAF 防护后，禁止通过 IP 直接访问 业务，同时设置源站侧的访问控制策略，只允许云 WAF 回源 IP 段和其他可信任地址之内 的 IP 访问业务，避免攻击者获取您的源站 IP 后绕过云 WAF 直接攻击源站。

获取客户端真实 IP

网站若使用了流量代理服务（如 CDN、DDoS 高防、云 WAF），达到源站的 IP 均将显 示为相关服务的代理回源IP地址，云WAF在HTTP请求头部中默认插入了X-Forwarded-For 字段，用于记录客户端真实 IP，源站服务器可以通过解析回源请求中的 X-Forwarded-For 记录，获取客户端的真实 IP，各类型的 Web 应用服务器针对该字段的提取配置可联系安全防护工程师提供技术支持。

与 CDN 结合使用

云 WAF 与 CDN 完全兼容，可以通过与 CDN 的结合使用，为开启 CDN 内容加速的业务 同时提供 Web 攻击防护。 若已经接入 CDN 服务，将云 WAF 为防护域名分配的 CNAME 地址作为 CDN 的源站即可。

客户端 > CDN > 云 WAF > 源站，流量将按照用户 > CDN > WAF >源站的 架构回源。同时，需要您联系 CDN 服务商，将客户端的真实 IP 通过 client-IP 字段插入至 HTTP 请求头部中，并告知安全防护工程师进行提取配置，保证云 WAF 正常防护。

防护策略说明

1.云 WAF 防护服务目前默认策略分为低、中、高与 AI 学习模式。各防护策略均包含上述攻击类型在内的安全防护，策略等级越高越严格，攻击漏拦截概率越小，对业务 访问影响程度可能更高（业务代码不规范也会触发阻断策略）。低级防护策略主要针对 攻击特征比较明显的违规请求，适用于站点存在较多不可控用户输入（如含有富文本编辑器的网站业务）的业务场景；

一般情况下，中级防护策略适用于绝大部分业务场景的 Web 防护需求；高级防护策略采用了最精细的防护颗粒度，适用于对业务安全性要求较高， 同时需要网站开发人员高度参与策略定制与防护过程的业务场景。

如对站点业务流量特征还不完全清楚，可以启用 AI 学习模式，该模式下 AI 学习引擎会自动学习网站的访问 模式与流量特征，经过 7 到 14 天的分类训练和流量学习后会对所有策略根据机器算法进 行评分，保留学习后符合标准的策略规则，大幅减少误报，提高对已知与未知 Web 安全 威胁的防护效果，同时，可联系天翼云安全工程师基于学习期间的攻防日志，进一步优化安全防护策略和配置。

2.接入云 WAF 防护服务后， 当启用防护策略时，即便是低级防护策略 ，可能也会因为网站代码实现不够规范或用户通过非常规方式访问等情况，造成用户的上传搜索等正常操作有可能被误认为是攻击而拦截掉。当业务访问出现误报较多的情况，建议将防护模式调整为观察模式，通过自服务平台查看告警日志，并及时观察业务的正常使用情况发现误报请求后第一时间联系天翼云安全工程师优化安全防护策略。

调整防护策略

切换 CNAME 接入防护后，您可以通过登录自服务平台进行包括防护规则，CC 防护，地区封禁，攻击防绕过和 HTTP 合规性检测等功能在内的自定义防护配置调整。

防护策略针对不同行业客户支持个性化定制，可直接联系天翼云指定的安全工程师提供技术支持，工程师将根据实际使用情况与攻防日志进行策略调整优化， 24 小时值班电话：400-810-9889，语音提示后，请按“2”转接人工服务。