一、通用问题

接入WAF后会影响业务吗？

接入WAF主要检测业务被攻击流量，进行拦截，不会对正常业务造成影响，如果担心可以先配置观察模式，没有问题后再正式开启拦截。

WAF规则怎么更新？

24小时内，WAF会自动更新最新的漏洞规则

WAF实例到期后是停止解析还是回源站？

WAF实例到期会保持7天数据，7天后实例自动释放，停止解析，在此之前客户需自行配置回源站，避免影响业务访问。

WAF实例主域名是否支持修改？

支持，需要将历史配置的子域名信息清空后，可以修改主域名。

WAF 是否支持 HTTPS 防护？

SAAS-WAF 及 BLB-WAF 全面支持 HTTPS 业务。用户只需根据提示将 SSL 证书及私钥上传，或者选择百度云托管证书，WAF 即可防护 HTTPS 业务流量。

WAF 的策略生效优先级是怎么命中的？

WAF 命中规则优先级为：白名单>IP黑名单>自定义频率限制>自定义规则>区域封禁>web基础防护>bot防护>防篡改>敏感信息防泄漏

回源 IP 的作用是什么？

回源 IP 是 SaaS 型 WAF 配置防护域名后自动分配的，Web 应用防火墙把流量转发到客户源站时，将使用这些回源 IP 地址作为源地址，因此，需要用户在服务器端设置 WAF 回源 IP 地址为可信 IP。

为达到更好的防护效果，建议源站服务器仅允许接受来自 Web 应用防火墙回源 IP 的访问流量。 网站接入WAF后，由于访问来源IP变得更加集中，访问频率变得更高，服务器上的防火墙或安全软件很容易认为这些IP在发起攻击，从而将WAF回源IP段拉黑。如果WAF的回源IP段被拉黑，WAF的请求将无法得到源站的正常响应。因此，在网站接入WAF后，您应确保源站服务器已将WAF的全部回源IP放行（即加入白名单），否则可能会出现网站无法打开或打开极其缓慢等情况。

出于安全性考虑，建议您设置源站服务器的访问控制策略，只允许WAF回源IP段的入方向流量，避免攻击者绕过WAF直接对源站服务器发起攻击。

二、SaaS WAF常见问题

非百度云服务器能否使用WAF？

可以，WAF支持云外机房接入，推荐使用SaaS WAF

SaaS WAF 高级版和企业版有什么区别？

SaaS WAF 企业版比高级把支持更丰富的防护能力，如Bot防护（反爬）、API防护（自动发现风险API接口）

SaaS WAF 支持哪些端口？

WAF 高级版默认⽀持 HTTP（80/8080）和 HTTPS（443/8443）标准端口防护，不支持非标端口。 WAF 企业版和旗舰版套餐中除了默认⽀持 HTTP（80/8080）和 HTTPS（443/8443）标准端口防护外，还支持非标端口，可以通过工单联系配置。

SaaS WAF 同一个主域名可以配置多个实例么？

SaaS WAF 高级版本和企业版都支持不同主域名关联多个不同实例，不同实例可以添加多个子域名。

三、BLB WAF 常见问题

BLB WAF是否支持日志投递？

BLB WAF是旁路接入，目前流量数据主要在BLB控制台查看

同一个域名能否同时使用云原生WAF和SaaS WAF接入？

不推荐。每个域名只能使用BLB WAF接入或CNAME SaaS WAF接入两种模式之一，重复接入会导致转发冲突防护失效。如果您已通过 SaaS WAF CNAME接入开启WAF防护的域名，需要切换为云产品接入，您需先删除该域名的CNAME接入配置，然后在云产品接入模式下重新接入该域名。