WAF 的源站 IP 可以填写腾讯云 CVM 内网 IP 吗？

WAF 添加域名时，填写的源站地址必须是公网 IP 或者域名。其中公网 IP 包括 CVM 公网 IP、CLB 公网 IP 或者其他本地 IDC 的出口 IP，不支持填写 CVM 的内网 IP。

回源IP的作用是什么？

回源 IP 是 SAAS 型 WAF 配置防护域名后自动分配的，Web 应用防火墙把流量转发到客户源站时，将使用这些回源 IP 地址作为源地址，因此需要用户在服务端器对回源 IP 加入信任，为达到更好的防护效果，建议源站服务器仅允许接受来自 Web 应用防火墙回源 IP 的访问流量。

WAF 一个防护域名可以设置多少个源站 IP？

WAF 一个防护域名最多可以设置20个源站 IP。

WAF 配置多个源站时如何负载？

如果配置了多个回源 IP，WAF 采用轮询的方式对访问请求进行负载均衡。

WAF 是否会自动将回源 IP 段加入安全组？

不会自动将高防回源 IP 段添加到安全组。请参考 快速入门 将相应的回源 IP 加入到安全组。