注意事项

1、部署区域是国内的北上广区域时，域名必须是已备案的。
2、域名解析服务(DNS)大概需要 10 分钟生效，具体以实际情况为准。
3、支持添加非新网的域名，可以任选某可用区添加。目前支持多地域开通（不同地区配置部署的机房位置不同）。
4、支持部署在非新网主机网站或服务接入

FAQ

1、如何防止攻击者绕过 XWAF？

源站可以配置黑白名单，仅放行 XWAF 回源网段以及一些可信 IP 地址网段，其他 IP 地址的连接一律拒绝。

2、XWAF 回源 IP 地址？

华北一：

106.75.83.0/241     17.50.28.0/241     17.50.58.0/241     17.50.123.0/24

上海：

106.75.235.0/24     113.31.151.0/24     106.75.208.0/24      113.31.160.0/24      113.31.181.0/24

3、最新的高危漏洞出现 XWAF 是否会支持防护？

每当爆出最新漏洞的时候，我们的安全工程师会第一时间跟进，分析 POC 和漏洞原理，提取出相应的检测规则，及时部署新规则到 XWAF。

4、XWAF 支持虚拟补丁，什么是虚拟补丁？

XWAF 系统对漏洞攻击的阻断称为“虚拟补丁”，意味着并非是真正的打补丁行为，而是临时封堵攻击，为业务方更新补丁赢取时间。

5、如果源站是 ULB 负载均衡网关，是直接填写网关的 IP 还是填写子网主机 IP？

如果有外网 ULB，则填写 ULB 网关的 IP 即可，不需要填写子网主机 IP。

6、XWAF 上的域名开启【HTTP2 转发】需要注意什么？

开启【HTTP2 转发】后，同一防护IP下所有的域名的 HTTPS 端口都会支持 HTTPS，若只希望个别域名开启 HTTP2.0，建议此类域名购买独享IP版本。对于 HTTPS 443 端口，建议同步开启【HTTPS 跳转】。HTTP 端口不支持 HTTP2.0。

XWAF分配给域名的CNAME防护域名在没有开启业务回源的情况下直接解析到的IP，默认情况下相同一级域名及其子域名共享一个IP。

7、XWAF 上的各种规则如黑白名单、CC 规则、XWAF 规则的优先级顺序是什么？

黑白名单、CC 规则、XWAF 规则之间的优先级为（从左到右优先级依次降低）：

域名白名单 >  域名黑名单 > 区域 IP 封禁（拦截） > CC 规则 > 自定义 XWAF 规则 > 默认 XWAF 规则 > 信息安全防护规则

XWAF 规则之间有独立的优先级，可以自由调整，但默认 XWAF 规则优先级始终低于自定义规则，无法调整。

8、被 XWAF 拦截的请求的响应状态码是什么？

对于触发 XWAF 规则而拦截的请求：响应 404 状态码和默认的拦截页面，旗舰版及专属定制版用户可以自定义拦截的响应状态码和拦截页面。
对于触发 CC 规则的 IP 的请求：若限制方式是拦截此类请求，则拒绝连接并记录 444 状态码；若限制方式是启用验证码，则响应 200 状态码和验证码页面；若限制方式是限制请求速率，则对超出速率的请求响应 429 状态码。
对于黑名单中 IP 的请求，若动作是拦截，则拒绝连接并记录 444 状态码；若动作是验证码，则响应 200 状态码和验证码页面。