流量接入方式不受业务部署位置的影响，如果您的业务没有部署在火山引擎上，建议通过此方式接入防护。在火山引擎大模型应用防火墙配置参数后，您只需要修改防护域名的 DNS 解析记录并放行平台的回源 IP 地址，即可将域名接入到大模型应用防火墙。

请求过程

通过流量方式将网站接入大模型应用防火墙，就是将请求流量牵引到大模型应用防火墙进行检测，再将检测后的流量转发到源站的过程。在这种模式下，防火墙作为独立的网络中间件，部署在客户端与您的大模型应用服务之间，充当所有请求和响应的统一入口和出口。参考示意图如下：

用户请求过程如下：

1. 流量重定向： 客户端发往您大模型应用的请求，不再直接到达后端应用，而是先导向大模型应用防火墙实例。
2. 请求/响应检测： 防火墙接收到请求后，会对其进行协议解析，并根据预设的安全策略和智能模型，对请求内容（提示词）和响应内容（模型生成结果）进行检测分析，判断是否存在提示词注入、敏感信息泄露、模型滥用等各类威胁。
3. 实时决策与动作：
   • 如果请求/响应没有命中任何防护策略，对应流量将被放行，并转发到后端大模型应用或客户端。
   • 如果检测到威胁，大模型应用防火墙将根据配置的策略，实时执行阻断、代答等动作，从而保护您的业务安全。

前提条件

• 您已创建防护实例，相关操作可参考创建大模型应用防火墙实例。
• 待防护域名已备案，且未添加到防护平台，备案操作可参考备案流程概览。

步骤一 配置接入参数

1. 登录大模型应用防火墙控制台。
2. 在顶栏选择实例所属地域。
3. 在左侧导航选择资产管理，然后单击添加资产。
4. 选择接入方式为流量接入，并配置接入参数。
   
5. 单击下一步。

步骤二 配置防护策略

配置完接入参数后，您可以直接为当前资产应用设置防护策略。平台会展示防护策略的默认配置，且配置为开启状态。

• 如无需修改，您可以直接提交当前配置，完成控制台部分的接入操作。
• 如需修改，可直接在当前页面调整相关配置。修改并确认后的结果将作为下一次接入的默认配置。

对应策略的详细介绍和配置说明可参见防护策略介绍。

步骤三 放行回源 IP 地址

业务接入后，所有的请求都会通过大模型应用防火墙的回源 IP 段返回到源站。这会导致每个回源 IP 上的请求量增加，从而容易触发安全策略的误拦截或限速，因此需要对回源 IP 段进行放行。
如果源站已经配置了防火墙或安装了安全软件，您需要复制大模型应用防火墙执行的回源 IP 地址，并将它们添加到源站的防火墙、访问控制列表（ACL）或者其他任何安全软件的白名单中。这样可以确保回源 IP 不会受到源站安全策略的影响。
放行回源 IP 地址的详细操作说明可参见放行回源 IP 地址。

步骤四 验证转发配置

通过流量方式成功添加防护域名后，大模型应用防火墙实例会将相关端口接收到的请求转发至您源站的对应端口。为了确保业务稳定，建议您在接入配置后进行转发验证。验证的详细操作可参见验证转发配置。

步骤五 修改域名 DNS

确认转发生效后，您需要访问 Web 应用的 DNS 解析服务商，将 DNS 服务记录类型设置为 CNAME，将记录值修改为大模型应用防火墙的 CNAME 值。待 DNS 解析生效后，防护域名的请求流量就会转发到 WAF。修改 DNS 解析的详细操作可参见修改 DNS 解析。

后续操作

• 查看防护数据：您可以在首页查看安全防护数据，包括请求次数、防护次数，以及对应的请求趋势曲线图和攻击分布占比图。详情请参见查看安全概览信息。
• 分析攻击事件：如果有命中防护规则的请求或响应，大模型应用防火墙会在攻击详情列表生成对应的日志记录，便于您追溯和分析攻击事件。您可以根据攻击事件详情和防护数据，调整或新增防护规则使大模型应用防火墙的检测结果更符合您的业务场景。例如，对匹配非高危检测分类的请求内容仅做观察处理，而不直接拦截，以避免误报。详情请参见查看攻击事件详情。