防护配置引导

本文介绍Web应用防火墙（Web Application Firewall，WAF）服务的防护策略的配置流程以及WAF引擎检测机制及规则的检测顺序。

策略配置流程

网站接入WAF防护后，您需要为网站配置防护策略。

表1 可配置的防护规则
防护规则	说明	参考文档
Web基础防护规则	覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对恶意扫描器、IP、网马等威胁进行检测和拦截。	配置Web基础防护规则防御常见Web攻击
CC攻击防护规则	可以自定义CC防护规则，限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，WAF会根据您配置的规则，精准识别CC攻击以及有效缓解CC攻击。	配置CC攻击防护规则防御CC攻击
精准访问防护规则	精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合，定制化防护策略，为您的网站带来更精准的防护。	配置精准访问防护规则定制化防护策略
黑白名单规则	配置黑白名单规则，阻断、仅记录或放行指定IP的访问请求，即设置IP黑/白名单。	配置IP黑白名单规则拦截/放行指定IP
地理位置访问控制规则	针对指定国家、地区的来源IP自定义访问控制。	配置地理位置访问控制规则拦截/放行特定区域请求
网页防篡改规则	当用户需要防护静态页面被篡改时，可配置网页防篡改规则。	配置网页防篡改规则避免静态网页被篡改
网站反爬虫规则	动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为。	配置网站反爬虫防护规则防御爬虫攻击
防敏感信息泄露规则	该规则可添加两种类型的防敏感信息泄露规则：敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。响应码拦截。配置后可拦截指定的HTTP响应码页面。	配置防敏感信息泄露规则避免敏感信息泄露
全局白名单规则	针对特定请求忽略某些攻击检测规则，用于处理误报事件。	配置全局白名单规则对误报进行忽略
隐私屏蔽规则	隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。	配置隐私屏蔽规则防隐私信息泄露

WAF引擎规则检测顺序

Web应用防火墙内置的防护规则，可帮助您防范常见的Web应用攻击，包括XSS攻击、SQL注入、爬虫检测、Webshell检测等。同时，您也可以根据自己网站防护的需要，灵活配置防护规则，Web应用防火墙根据您配置的防护规则更好的防护您的网站业务。WAF引擎内置防护规则的检测流程如图1所示，自定义规则的检测顺序如图2所示。

图1 WAF引擎检测图
点击放大