如何接入Web应用防火墙防护

只需要通过修改网站 CNAME 记录即可。如果域名的 DNS 解析服务在自建的服务器，登陆控制台直接修改即可； 如果域名的 DNS 解析服务由第三方提供（如万网、新网等），登陆域名提供 DNS 解析的服务商网站进行修改。

Web应用防火墙支持 HTTPS 协议吗？

支持。

天翼云 web 应用防火墙既支持 http，又支持 https，同时支持单个域名既有 https 又有 http。

Web应用防火墙支持 IP 负载均衡吗？

不支持，天翼云 Web 应用防火墙只支持单个 IP 的访问，不支持 IP 负载均衡。

Web应用防火墙流量牵引方式及步骤？

天翼云Web应用防火墙采用 DNS 牵引的方式，属于常引流。

在 Web 应用防火墙自服务页面中防护配置生效后，需要客户联系 DNS 服务器商将网站域名解析指向 CNAME 地址，CNAME 规则为：防护域+.iname.damddos.com，例如原域名 www.ctyun.cn，CNAME 为 www. ctyun.cn.iname.damddos.com）。

如果用户需要关闭实例、关闭防护，首选需要确保已经联系 DNS 服务商将域名指向切换至源地址，否则将影响客户的正常访问。

服务到期需要尽快续费，或者需要确保配置失效时将 DNS 指回源站。

为什么要放行云Web应用防火墙回源 IP 段？

网站成功接入云 WAF 防护后，所有业务请求将先流转到防护平台进行检测，经过滤后返回到源站服务器。由于源站服务器收到的所有请求都来自云 WAF 平台的 IP，源站服务器上的安全软件（如安全组、防火墙、安全狗、云锁）很可能认为云 WAF 回源 IP在进行攻击而进行封禁，造成误封禁的云 WAF 回源 IP 的所有请求将无法得到源站的正常响应。因此，在网站接入云 WAF 后，需确保源站侧已将云 WAF 所有回源 IP 加入访问控制安全组与相关安全软件白名单进行放行，避免出现网站无法打开或响应缓慢等情况。

为什么要开通所有网站端口的Web应用防火墙防护？

域名接入Web应用防火墙防护后，该域名所有公网业务请求都会通过 CNAME 解析牵引至云 WAF，未在云 WAF 侧开通防护配置的端口请求则无法被接收，并且丢弃。因此，需要提供完整的域名及域名所开放端口列表。如未将同一域名下所有端口业务接入云 WAF 进行 防护，将影响该域名下未接入防护的端口业务正常访问。

如何放行云Web应用防火墙回源 IP 段？

打开源站服务器上的安全软件与访问控制安全组，根据防护开通的所属数据中心中心将云 WAF 平台回源 IP 地址段（内蒙数据中心：36.111.137.0/24 与 203.57.157.0/24，北京数据中心：203.34.106.0/24，上海数据中心：101.226.7.0/24， 广州数据中心：203.32.204.0/24）添加到白名单。

Web应用防火墙是否支持会话保持？

支持会话保持，但是默认不开启。如果需要启用会话保持，请联系安全防护工程师根据实际业务需求进行会话保持策略配置的调整。

Web应用防火墙是否支持源站健康检查？

支持对源站 IP 的健康检查，但是默认不开启。如果需要启用源站健康检查，请联系安全防护工程师根据实际业务需求进行健康检查配置的调整。

为什么第三方漏洞扫描工具会检测到域名其他未开放的端口？

Web应用防火墙默认开放部分端口用于网站接入和防护服务，对于已接入Web应用防火墙防护的网站，云WAF不会转发任何未开通防护的端口业务请求回到源站。因此，不会对源站服务带来任何安全风险和威胁。关于第三方扫描工具对于网站的端口检测，需以源站公网IP开放的端口为准。