接入 WAF 会影响正常业务吗？

不会。WAF 仅对攻击流量进行检测和拦截，正常业务请求不受影响。如果您担心规则误拦截，建议初期将防护规则设置为"观察"模式，确认无误报后再切换为"拦截"模式。

WAF 回源 IP 是否需要在源站加白？

需要。网站接入 SaaS WAF 后，所有回源请求的源地址均为 WAF 的回源 IP。如果未将回源 IP 加白，源站防火墙或安全软件可能将其误判为攻击来源并拦截，导致网站无法访问或响应缓慢。建议仅允许 WAF 回源 IP 访问源站业务端口，避免攻击者绕过 WAF 直接攻击源站。具体操作请参见 设置安全组访问限制。

如何修改 WAF 实例的主域名？

WAF 实例默认将首次接入的域名作为主域名。如需更换主域名，需先删除该实例下已接入的所有域名，然后重新接入新域名即可，新接入的域名将自动成为新的主域名。

同一个主域名下的子域名可以接入不同的 WAF 实例吗？

可以。同一主域名下的不同子域名支持分别关联到不同的 SaaS WAF 实例。例如将 a.example.com 接入实例 A，b.example.com 接入实例 B。但同一个子域名不能同时接入多个实例。

同一域名可以同时使用 BLB WAF 和 SaaS WAF 吗？

不可以。同一域名只能选择 SaaS WAF 或 BLB WAF 其中一种方式，不能同时使用两种接入模式，否则会导致流量转发冲突。如需从 SaaS WAF 切换为 BLB WAF，需先删除该域名的 CNAME 接入配置，再通过云产品接入方式重新添加。

如何将 WAF 配置迁移到另一个账号？

WAF 不支持跨账号直接迁移配置。需在新账号下创建实例并重新配置域名接入和防护规则。迁移期间会有短暂无防护时段，建议在业务低峰期操作。建议操作步骤：

（1）将域名 DNS 解析切回源站 IP，等待几分钟 DNS 生效

（2）删除旧实例上的站点配置

（3）在新实例上重新添加站点并配置防护规则

（4）将 DNS 重新解析到新实例分配的 WAF CNAME

注意：迁移前建议旧账号保持续费，确保操作期间实例不会到期释放。