更新时间:2025-08-19 GMT+08:00
分享

防护配置概述

网站接入WAF后,默认生成一个关联防护域名的防护策略,您可以根据业务需要,在该防护策略中配置防护规则。您也可以单独添加防护策略并关联防护域名后,配置防护规则,实现WAF安全防护。

介绍视频

通过视频介绍WAF的核心防御能力和高阶防御能力。

防护检测原理

WAF引擎会根据已配置的不同条件的防护规则,按照检测流程,对HTTP/HTTPS请求进行检测,并按照配置的防护动作进行处置。相同条件的防护规则仅支持配置一个防护动作,因此,WAF防护检测顺序仅与防护规则类型有关,与配置的防护动作无关。

WAF引擎检测流程如图1所示,防护规则检测顺序如表1所示。

图1 WAF引擎检测图
防护动作说明如下
  • pass(放行):命中规则后无条件放行当前请求。
  • block(拦截):命中规则后拦截当前请求。

    防护动作配置为拦截时,支持配置攻击惩罚标准。配置攻击惩罚后,如果访问者的IP、Cookie或Params恶意请求被拦截时,WAF将根据攻击惩罚设置的拦截时长来封禁访问者。

  • captcha(人机验证):命中规则后执行人机验证动作。
  • redirect(重定向):命中规则后通知客户端执行重定向动作。
  • log(仅记录):命中规则后仅记录攻击信息。
  • mask(脱敏):命中规则后对相关敏感信息进行脱敏处理。

防护规则概览

网站接入WAF后,WAF会自动为该网站绑定一个防护策略,并开启“Web基础防护”中的“常规检测”(拦截模式为“仅记录”“防护等级”“中等”)和“网站反爬虫”“扫描器”检测(防护动作为“仅记录”)。

如果您的网站遭遇Web攻击,您可以根据“防护事件”攻击详情,配置对应的防护规则。WAF支持的防护规则,按检测先后顺序排列如表1所示。

您可以在“防护策略”页面,单击目标防护策略,勾选“按检测顺序排序”,所有的防护规则将按WAF的检测顺序重新排序。

表1 可配置的防护规则(按检测先后顺序排列)

防护规则

说明

参考文档

全局白名单规则

针对特定请求忽略某些攻击检测规则,用于处理误报事件。

配置全局白名单规则对误报进行忽略

黑白名单规则

配置黑白名单规则,阻断、仅记录或放行指定IP的访问请求,即设置IP黑/白名单。

支持配置攻击惩罚标准封禁访问者指定时长

配置IP黑白名单规则拦截/放行指定IP

地理位置访问控制规则

针对指定国家、地区的来源IP自定义访问控制。

配置地理位置访问控制规则拦截/放行特定区域请求

威胁情报访问控制规则

基于互联网数据中心(Internet Data Center, 简称IDC)机房的IP库进行访问控制。

配置威胁情报访问控制规则拦截/放行指定IP库的IP

精准访问防护规则

精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合,定制化防护策略,为您的网站带来更精准的防护。

支持配置攻击惩罚标准封禁访问者指定时长

配置精准访问防护规则定制化防护策略

扫描防护规则

扫描防护模块通过识别扫描行为和扫描器特征,阻止攻击者或扫描器对网站的大规模扫描行为,自动阻断高频Web攻击、高频目录遍历攻击,并封禁攻击源IP一段时间,帮助Web业务降低被入侵的风险并减少扫描带来的垃圾流量。

配置扫描防护规则自动阻断高频攻击

BOT管理规则

支持已知BOT检测、请求特征检测、BOT行为检测。通过层层检测,精准识别并管理网站流量中的机器行为,有效降低网站由于遭受BOT攻击,而导致的数据泄露、性能降低等风险。

配置BOT管理防护规则防御机器行为

网站反爬虫规则

动态分析网站业务模型,结合人机识别技术和数据风控手段,精准识别爬虫行为。

配置网站反爬虫防护规则防御爬虫攻击

CC攻击防护规则

可以自定义CC防护规则,限制单个IP/Cookie/Referer访问者对您的网站上特定路径(URL)的访问频率,WAF会根据您配置的规则,精准识别CC攻击以及有效缓解CC攻击。

支持配置攻击惩罚标准封禁访问者指定时长

配置CC攻击防护规则防御CC攻击

Web基础防护

防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。您还可以根据实际使用需求,开启Webshell检测、深度反逃逸检测和header全检测等Web基础防护。

配置Web基础防护规则防御常见Web攻击

网页防篡改规则

当用户需要防护静态页面被篡改时,可配置网页防篡改规则。

配置网页防篡改规则避免静态网页被篡改

防敏感信息泄露规则

该规则可添加两种类型的防敏感信息泄露规则:

  • 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理,防止用户的敏感信息(例如:身份证号、电话号码、电子邮箱等)泄露。
  • 响应码拦截。配置后可拦截指定的HTTP响应码页面。

配置防敏感信息泄露规则避免敏感信息泄露

隐私屏蔽规则

隐私信息屏蔽,避免用户的密码等信息出现在事件日志中。

配置隐私屏蔽规则防隐私信息泄露

大模型检测

WAF大模型检测支持通过提示词验证、响应合规检测,识别并过滤不良或违规内容后,确保大模型输入和输出内容安全、稳定、可用、合规。

配置大模型检测规则保障大模型应用安全合规

防护配置流程

网站接入WAF后,您可以参照如下流程,进行防护配置。

  1. (可选)新增防护策略。如果直接在默认生成的防护策略中,配置防护规则,可跳过12
  2. (可选)添加策略适用的防护域名
  3. 配置防护规则。您可以在防护策略中,开启并配置具体防护规则。

相关文档