You need to enable JavaScript to run this app.
导航
大模型应用防火墙
  • 文档首页
    • /大模型应用防火墙/常见问题/大模型应用防火墙常见问题
大模型应用防火墙常见问题
最近更新时间:2025.06.10 17:45:26首次发布时间:2025.03.28 19:07:12
我的收藏
有用
有用
无用
无用

本文列举您在使用大模型应用防火墙过程中可能会遇到的问题及对应的解决方案。

资产管理

服务没有部署在火山引擎上,可以使用大模型应用防火墙服务吗?

如果您的大模型服务没有使用火山引擎服务器资源,可以通过 CNAME 方式或 SDK 方式接入大模型应用防火墙服务。接入详情可参见通过 CNAME 接入通过 SDK 接入

如何获取大模型应用防火墙的回源 IP 地址段?

接入域名时,大模型应用防火墙会在配置参数提交完成后显示对应的回源 IP 地址,您也可以在资产管理页面单击对应域名,查看回源 IP 地址段,详情请参见放行回源 IP 地址

如何验证 CNAME 转发是否生效?

您可以参考以下步骤验证 CNAME 转发是否生效,如需了解更多详细内容,可参考验证转发配置

  1. 修改本地 host 文件
    在本地 host 文件最后一行添加大模型应用防火墙 IP 地址和防护域,使本地对防护源站的请求经过 CNAME 地址。

  2. 验证修改是否成功
    使用终端命令 ping 防护域名,如果解析 IP 为 hosts 文件中绑定的大模型应用防火墙 IP,则修改成功。

  3. 验证接入配置是否生效
    验证网站接入配置是否生效,在本地直接访问被防护的域名,如果正常访问则说明配置成功。

需要验证 CNAME 接入是否生效,如何获取大模型应用防火墙的 IP 地址?

  1. 登录大模型应用防火墙控制台
  2. 在顶栏选择实例所属地域。
  3. 在左侧导航选择资产管理
  4. 单击高级筛选,选择接入方式为 CNAME 接入
    Image
  5. 在列表中单击对应防护网站,查看网站基本信息。
  6. 在基本信息页面,获取 CNAME 值。
    Image
  7. 运行本地终端命令程序,运行ping <复制的 CNAME 值>
    下图以 Mac OS 为例说明。
    • ①:复制的 CNAME 值。
    • ②:大模型应用防火墙 IP 地址。
      Image

攻击详情

攻击详情列表中命中的”系统-禁止 APIKEY 外的访问“规则是什么?

  • 原因:”系统-禁止 APIKEY 外的访问“规则是系统内置的黑名单规则,该规则会拦截所有非 APIKEY 方式的访问请求。因此,如果您的业务通过火山引擎方舟平台接入,且使用了 AK/SK 方式调用,就会命中该黑名单规则,从而导致请求被拦截。
  • 解决方案:建议获取 APIKEY 后,再进行调用。获取方式参考如何获取 APIKEY?

如何获取 APIKEY?

  1. 登录大模型应用防火墙控制台
  2. 在顶栏选择实例所属地域。
  3. 在左侧导航选择资产管理
  4. 单击高级筛选,选择接入方式为方舟平台与机器学习平台
    Image
  5. 在列表中单击对应防护网站,查看网站基本信息。
  6. 获取方舟应用 API Key,将其填入到方舟 SDK 初始化配置中。
    Image

防护策略

开启拦截后会影响到正常业务吗?

大模型应用防火墙对正常业务请求不会触发拦截动作,如果担心开启防护会影响正常业务,可以选择先开启“观察”模式,该模式下会记录所有命中检测规则的攻击日志,并上报到日志管理页面。您可以在该页面确认“观察”类型的事件日志,如果持续一段时间内都没有出现误报,则可以将“观察”模式切换为“拦截”模式,开启拦截后,所有命中检测规则的攻击流量都会被拦截。

防护策略开关关闭后,大模型应用防火墙还会记录日志吗?

如果所有防护功能都没有开启,则仅进行流量转发,不会拦截或者记录上报攻击行为,因此不会有日志生成。

配置访问管控策略时,为什么选不到我需要的域名?

访问控制策略对通过 SDK 方式接入的域名暂不生效。因此您在配置访问管控策略时,无法选择对应域名。

为什么配置了自定义词库却没生效?

  1. 确保对应词库规则的生效配置满足以下条件:
    • 测试状态:关闭
    • 词库开关:开启
      Image
  2. 确保关联的检测分类已经应用于相关策略中。
    例如创建了一条负向词库并关联了欺诈检测分类,该检测分类必须应用于相关模型滥用防护策略中,否则词库配置不会生效。
  3. 确保相关策略类型和规则都为开启状态。
    Image

自定义词库的测试状态有什么作用?

自定义词库的测试状态可帮助您测试词库相关内容是否符合预期。

  • 如果您担心自定义词库相关内容直接被拦截或放行会影响业务正常运行,可以开启自定义词库的测试状态开关。此时,词库所属检测分类关联的执行动作并不会生效,但您可以在日志详情中查看相关请求信息。
  • 如果通过日志判断自定义词库相关内容符合预期,可关闭自定义词库的测试状态开关。关闭后,自定义词库规则将按照配置的执行动作生效。

通过 SDK 方式接入的防护域名,如何配置防护策略?

您可以在大模型应用防火墙控制台配置提示词防护策略,然后在服务器上通过 SDK 调用方式获取检测结果和优化后的问答。

SDK 调用返回结果的 Action 是什么含义?

通过 SDK 检查提示词或响应内容是否合规时,返回的 Action 指请求命中的执行动作,其说明如下:

Action

策略动作

请求是否通过

请求是否存在风险

说明

-1

无风险

没有命中任何策略

0

观察

⚠️有风险⚠️

  • 命中了策略,但请求被放行。
  • 在攻击详情页面筛选执行动作=观察,可查看相关事件。

1

拦截

⚠️有风险⚠️

  • 命中了策略,且请求被拦截。
  • 在攻击详情页面筛选执行动作=拦截,可查看相关事件。

8

答案优化

⚠️有风险⚠️

9

放行

无风险

  • 命中了正向词库策略,且请求被放行。
  • 在攻击详情页面筛选执行动作=例外,可查看相关事件。

SDK 报错排查

Windows 系统中,安装 Python SDK 出现报错“Failed building wheel for volcengine-python-sdk”。

  • 原因:Windows 系统有最长路径限制,导致安装过程中出现该问题。
  • 解决方案
    1. 按下Win+R,输入regedit打开注册表编辑器。
    2. 设置\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem 路径下的变量LongPathsEnabled1即可。

调用 SDK 时出现报错“Service is not configure”。

  • 原因:找不到账号配置的相关策略,导致无法调用 SDK 服务。
  • 解决方案:确保已经在大模型应用防火墙控制台添加了相关防护域名信息。接入操作详情请参见域名接入说明

业务通过火山引擎方舟平台接入,调用方舟 SDK 时出现 404 报错。

  • 报错示例
    Image
  • 原因:方舟 SDK 接入后,初始化的 base_url 路由配置错误,导致方舟的访问请求无法正常路由至大模型应用防火墙。例如使用https://<大模型应用防火墙接入点域名>/api/v3/chat/completions,而正确的路径为https://<大模型应用防火墙接入点域名>/api/v3/
  • 解决方案:修改方舟 SDK 的 base_url 设置,如下图所示。
    Image