防护回源IP放行

业务接入WAF防护平台清洗后，所有请求的客户端源地址都会变为WAF回源IP段，客户源站侧的安全设备或安全软件（如：IPS、网络防火墙、流量管理系统、本地 WAF 应用防火墙、网站安全狗与云锁等）可能被认为是攻击行为而被封禁，造成WAF清洗后的请求无法得到源站正常响应，因此客户侧需要将所开通防护中心的回源IP段添加到源站侧的访问控制策略与安全软件白名单中，避免由WAF转发回源站的业务流量被判断为异常攻击造成误封禁，影响网站正常访问。

回源IP段：

• 内蒙数据中心：36.111.137.0/24 与 203.57.157.0/24
• 北京数据中心：203.34.106.0/24
• 上海数据中 心：101.226.7.0/24
• 广州数据中心：203.32.204.0/24

域名解析

配置成功后，防护配置的状态变为“防护中” ，之后客户可以进行域名解析：

如域名“www.ctyun.com”，需要客户联系DNS服务商将域名解析指向CNAME：www.ctyun.com.iname.damddos.com。

即“源域名+.iname.damddos.com”。

DNS牵引指向CNAME后，Web应用防火墙防护正式完成配置。

设置源站保护

出于安全性考虑，建议您在业务流量成功接入WAF防护后，禁止通过IP直接访问业务，同时设置源站侧的访问控制策略，只允许WAF回源IP段和其他可信任地址之内的IP访问业务，避免攻击者获取您的源站IP后绕过WAF直接攻击源站。

获取客户端真实IP

网站若使用了流量代理服务（如CDN、DDoS高防、WAF），达到源站的IP均将显示为相关服务的代理回源IP地址，WAF在HTTP请求头部中默认插入了X-Forwarded-For字段，用于记录客户端真实IP，源站服务器可以通过解析回源请求中的X-Forwarded-For记录，获取客户端的真实IP，各类型的Web应用服务器针对该字段的提取配置可联系安全防护工程师提供技术支持。

与CDN结合使用

WAF与CDN完全兼容，可以通过与CDN的结合使用，为开启CDN内容加速的业务同时提供Web攻击防护。 若已经接入CDN服务，将云WAF为防护域名分配的CNAME地址作为CDN的源站即可。

客户端 > CDN > WAF > 源站，流量将按照用户 > CDN > WAF >源站的架构回源。同时，需要您联系CDN服务商，将客户端的真实IP通过client-IP字段插入至HTTP请求头部中，并告知安全防护工程师进行提取配置，保证WAF正常防护。

防护策略说明

• WAF防护服务目前默认策略分为低、中、高与 AI 学习模式。各防护策略均包含上述攻击类型在内的安全防护，策略等级越高越严格，攻击漏拦截概率越小，对业务 访问影响程度可能更高（业务代码不规范也会触发阻断策略）。
  • 低级防护策略主要针对攻击特征比较明显的违规请求，适用于站点存在较多不可控用户输入（如含有富文本编辑器的网站业务）的业务场景。
  • 一般情况下，中级防护策略适用于绝大部分业务场景的Web防护需求。
  • 高级防护策略采用了最精细的防护颗粒度，适用于对业务安全性要求较高，同时需要网站开发人员高度参与策略定制与防护过程的业务场景。
  • 如对站点业务流量特征还不完全清楚，可以启用AI学习模式，该模式下AI学习引擎会自动学习网站的访问模式与流量特征，经过7到14天的分类训练和流量学习后会对所有策略根据机器算法进行评分，保留学习后符合标准的策略规则，大幅减少误报，提高对已知与未知Web安全威胁的防护效果，同时，可联系天翼云安全工程师基于学习期间的攻防日志，进一步优化安全防护策略和配置。
• 接入WAF防护服务后，当启用防护策略时，即便是低级防护策略 ，可能也会因为网站代码实现不够规范或用户通过非常规方式访问等情况，造成用户的上传搜索等正常操作可能被误认为是攻击而拦截掉。当业务访问出现误报较多的情况，建议将防护模式调整为观察模式，通过自服务平台查看告警日志，并及时观察业务的正常使用情况，发现误报请求后第一时间联系天翼云安全工程师优化安全防护策略。

调整防护策略

切换CNAME接入防护后，您可以通过登录自服务平台进行包括防护规则、CC防护、地区封禁、攻击防绕过和HTTP合规性检测等功能在内的自定义防护配置调整。

防护策略针对不同行业客户支持个性化定制，可直接联系天翼云指定的安全工程师提供技术支持，工程师将根据实际使用情况与攻防日志进行策略调整优化。

24小时值班电话：400-810-9889，语音提示后，请按“2”转接人工服务。