应用防火墙WAF负责为CDN提供应用安全防护功能，有效防御SQL注入、XSS跨站脚本、后门上传、非授权访问等各种常见Web攻击。用户需要为创建的WAF实例添加CDN中的域名，WAF才能为您的域名提供web防护。

创建 CDN WAF实例

1. 登录百度智能云控制台。
2. 登录成功后，选择“产品服务>应用防火墙 WAF”，进入WAF 列表页。

3. 点击『购买WAF实例』按键，选择配置信息：

   参数	说明
   地域	全局
   支持根域名数	每个WAF实例保护一个主域名
   支持子域名数	套餐默认包括对10个子域名进行保护；根据业务需要，您也可以额外购买更多子域名进行防护。
   支持协议	套餐包括两种协议类型，http和https
   Web安全防护	WAF服务能够自动更新攻击漏洞，包括各种常见Web攻击、0day攻击规则。
   自定义访问规则	通过自定义规则实现对您自己的业务控制和过滤，当前支持对http请求的“来源IP”、“URL地址”、“Referer”字段、“User-Agent”字段等内容的匹配处理。套餐默认支持最大20条自定义规则；如果您需要定制更多自定义规则，请在控制台额外购买。

4. 选择购买时长和WAF实例个数，点击『下一步』，确认购买信息并支付。
5. 支付完成后，成功创建WAF实例，返回列表页查看。

关联CDN实例

1. 进入CDN WAF 列表页，在一个WAF实例的操作列点击『配置』按键。

2. 填写需要防护的”根域名”、”子域名”，并选择绑定的域名。

   只能绑定在百度智能云CDN域名列表里存在的主域名，仅支持HTTP/HTTPS 协议，如没有符合条件的域名，请前往控制台购买或重新配置。

3. 开启Web防护，选择防护策略等级。

   • 默认开启中级策略集，越严格安全防护效果越好。高级策略集，表示开启严格的防护策略，但可能出现误拦截情况；中级表示具备中和低两种策略集；低级表示防护策略宽松。
   • 每种防护策略都具备『拦截』和『观察』功能，拦截模式发现攻击请求立即阻断；观察模式发现攻击请求立即记录但不拦截。

4. （可选）开启自定义访问控制，点击『添加』按键，通过自定义规则实现对您自己的业务控制和过滤。

   参数	说明
   名称	自定义访问控制规则名称
   匹配项	http请求的“来源IP”、“URL地址”、“Referer”字段、“User-Agent”字段等内容的匹配处理。
   匹配模式	选择匹配模式：前缀、包含或后缀。
   匹配字符串	输入需要访问控制的字符串。
   执行动作	将字符串列为黑名单或白名单
   模式	拦截：发现攻击请求立即阻断；观察：发现攻击立即记录但不拦截。

5. 点击『确认生效』，完成绑定BLB操作。

CDN实例绑定WAF

1. 在控制台选择内容分发网络CDN进入产品页面，左侧导航栏点击域名管理，进入CDN域名管理列表页。
2. 点击需要添加WAF防护的域名，进入域名详情页，在左侧导航栏中点击安全配置，进入WAF配置页面。

3. 点击WAF配置旁边的按钮，进入WAF配置修改界面，在弹窗中选择开启，开启WAF防护功能。

   WAF配置默认关闭，只有用户选择开启后才能使用。

4. 在WAF实例列表中，选择需要绑定的WAF实例，最后点击保存，完成CDN实例绑定WAF的操作，如果您还没有购买WAF实例，则根据提示，进行购买CDN WAF实例的操作。

   注意： 主域名状态解释：当主域名列表显示未配置，则表示主域名未配置；显示bfgdu.com表示主域名不一致；发生两种情况都需要您完成配置后，才能使用WAF功能。 域名配置上线为20个，如超出配合需要删除暂时不可用的域名。

5. （可选）点击弹窗中的管理我的WAF实例，跳转到CDN WAF列表页面，用户可以在此对WAF实例进行管理、配置。