更新时间:2026-07-03 GMT+08:00
分享

防护配置概述

网站接入WAF后,默认生成一套与防护域名关联的防护策略。您可以根据业务需求,在该防护策略中配置防护规则;也可以单独添加防护策略,并在关联防护域名后配置防护规则,以实现WAF的安全防护。

介绍视频

通过视频介绍WAF的核心防御能力和高阶防御能力。

防护检测原理

WAF遵循既定检测流程,依据防护策略中预设的各类防护规则,对用户请求、源站响应、WAF日志进行检测。如果上述任一对象命中防护规则设置的条件,WAF会根据配置的防护动作执行相应处置。

WAF检测流程包括4个阶段,各阶段要执行检测的防护规则不同,且存在一定优先级。

当配置多种不同类型的防护规则时,要统筹规划防护规则的检测优先级和对应防护动作,避免高优先级规则因防护动作配置不当,影响低优先级规则的检测。例如,地理位置访问控制规则中,若某地域IP防护动作被配置为放行,则该地域所有请求直接通过,且不再执行后续规则检测。

图1 WAF检测流程

检测流程各阶段说明如下:

  1. 解析阶段:WAF通过解析客户端原始HTTP或HTTPS请求报文,获取请求头、请求行、请求体等相关信息,并根据请求报文,确认转发策略。
  2. 请求检测阶段
    1. WAF根据请求信息,获取用户配置的防护规则。
    2. 解析用户请求内容,例如源IP、域名、请求长度等。
    3. 根据已配置的防护规则,按防护规则检测优先级(如图1所示),检测请求内容。如果该请求命中防护规则设置的条件,则按照防护动作,处置对应请求。
  3. 响应检测阶段
    1. 解析服务器响应内容。
    2. 根据已配置的防护规则,按防护规则检测优先级(如图1所示),检测响应内容。如果该响应命中防护规则设置的条件,则按照防护动作,处置对应响应。
  4. 日志记录阶段:WAF根据配置的隐私屏蔽规则,处理WAF日志信息,避免用户账号、密码等信息等敏感信息出现在日志中。

防护规则概览

WAF支持的防护规则如表1所示,不同接入模式支持的防护规则如表2所示。

表1 可配置的防护规则

防护规则

说明

参考文档

全局白名单规则

针对特定请求忽略某些攻击检测规则,用于处理误报事件。

配置全局白名单规则对误报进行忽略

黑白名单规则

配置黑白名单规则,阻断、仅记录或放行指定IP的访问请求,即设置IP黑/白名单。

支持配置攻击惩罚标准封禁访问者指定时长

配置IP黑白名单规则拦截/放行指定IP

地理位置访问控制规则

针对指定国家、地区的来源IP自定义访问控制。

配置地理位置访问控制规则拦截/放行特定区域请求

威胁情报访问控制规则

基于互联网数据中心(Internet Data Center, 简称IDC)机房的IP库进行访问控制。

配置威胁情报访问控制规则拦截/放行指定IP库的IP

精准访问防护规则

精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合,定制化防护策略,为您的网站带来更精准的防护。

支持配置攻击惩罚标准封禁访问者指定时长

配置精准访问防护规则定制化防护策略

扫描防护规则

扫描防护模块通过识别扫描行为和扫描器特征,阻止攻击者或扫描器对网站的大规模扫描行为,自动阻断高频Web攻击、高频目录遍历攻击,并封禁攻击源IP一段时间,帮助Web业务降低被入侵的风险并减少扫描带来的垃圾流量。

配置扫描防护规则自动阻断高频攻击

BOT管理规则

支持已知BOT检测、请求特征检测、BOT行为检测。通过层层检测,精准识别并管理网站流量中的机器行为,有效降低网站由于遭受BOT攻击,而导致的数据泄露、性能降低等风险。

配置BOT管理防护规则防御机器行为

网站反爬虫规则

动态分析网站业务模型,结合人机识别技术和数据风控手段,精准识别爬虫行为。

配置网站反爬虫防护规则防御爬虫攻击

CC攻击防护规则

可以自定义CC防护规则,限制单个IP/Cookie/Referer访问者对您的网站上特定路径(URL)的访问频率,WAF会根据您配置的规则,精准识别CC攻击以及有效缓解CC攻击。

支持配置攻击惩罚标准封禁访问者指定时长

配置CC攻击防护规则防御CC攻击

Web基础防护

防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。您还可以根据实际使用需求,开启Webshell检测、深度反逃逸检测和header全检测等Web基础防护。

配置Web基础防护规则防御常见Web攻击

网页防篡改规则

当用户需要防护静态页面被篡改时,可配置网页防篡改规则。

配置网页防篡改规则避免静态网页被篡改

防敏感信息泄露规则

该规则可添加两种类型的防敏感信息泄露规则:

  • 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理,防止用户的敏感信息(例如:身份证号、电话号码、电子邮箱等)泄露。
  • 响应码拦截。配置后可拦截指定的HTTP响应码页面。

配置防敏感信息泄露规则避免敏感信息泄露

隐私屏蔽规则

隐私信息屏蔽,避免用户的密码等信息出现在事件日志中。

配置隐私屏蔽规则防隐私信息泄露

大模型检测规则

WAF大模型检测支持通过提示词验证、响应合规检测,识别并过滤不良或违规内容后,确保大模型输入和输出内容安全、稳定、可用、合规。

配置大模型检测规则保障大模型应用安全合规

表2 进阶配置限制说明

功能

云模式-CNAME接入

云模式-ELB接入

独享模式接入

配置Web基础防护规则防御常见Web攻击

支持

支持

支持

配置CC攻击防护规则防御CC攻击

支持

支持

支持

配置精准访问防护规则定制化防护策略

标准版专业版企业版支持

标准版专业版企业版支持

支持

配置IP黑白名单规则拦截/放行指定IP

标准版专业版企业版支持

  • 标准版专业版企业版支持
  • ELB监听器的前端协议为TCPUDPQUIC时不支持

支持

配置地理位置访问控制规则拦截/放行特定区域请求

标准版专业版企业版支持

  • 专业版企业版支持
  • ELB监听器的前端协议为TCPUDPQUIC时不支持

支持

配置威胁情报访问控制规则拦截/放行指定IP库的IP

专业版企业版支持

不支持

2022年9月及之后版本的独享引擎支持

配置网页防篡改规则避免静态网页被篡改

标准版专业版企业版支持

不支持

支持

配置网站反爬虫防护规则防御爬虫攻击

专业版企业版支持

不支持

支持

配置防敏感信息泄露规则避免敏感信息泄露

专业版企业版支持

不支持

支持

配置全局白名单规则对误报进行忽略

支持

支持

支持

配置隐私屏蔽规则防隐私信息泄露

标准版专业版企业版支持

标准版专业版企业版支持

支持

配置扫描防护规则自动阻断高频攻击

专业版企业版支持

不支持

支持

配置BOT管理防护规则防御机器行为

提交工单申请开通

不支持

不支持

配置大模型检测规则保障大模型应用安全合规

标准版专业版企业版支持

不支持

不支持

创建引用表对防护指标进行批量配置

标准版专业版企业版支持

标准版、专业版企业版支持

支持

配置攻击惩罚标准封禁访问者指定时长

支持

支持

支持

防护动作概览

防护动作是指WAF在检测到请求命中防护规则设置的过滤条件时,采取的一系列措施。相同条件的防护规则仅支持配置一个防护动作。

WAF防护检测优先级仅与防护规则类型相关,但在配置防护动作时,需统筹规划防护规则的检测优先级和对应防护动作,避免高优先级规则因防护动作配置不当,影响低优先级规则的检测。例如,地理位置访问控制规则中,若某地域IP防护动作被配置为放行,则该地域所有请求直接通过,且不再执行后续规则检测。

WAF支持配置如下防护动作:

  • 仅记录

    WAF检测到请求命中防护规则设置的条件时,不会采取任何行动,只是将这些活动记录下来,用于安全团队后续分析和审查。

    网站接入WAF后,WAF默认开启“Web基础防护”中的“常规检测”“网站反爬虫”“扫描器”检测,“防护动作”均配置为“仅记录”。如果您对自己的业务流量特征还不完全清楚,建议先保持仅记录模式进行观察,然后分析该模式下的攻击日志,配置有针对性的防护规则。

  • 拦截

    WAF检测到请求命中防护规则设置的条件时,拦截当前请求,并停止后续规则的检测。

    防护动作配置为拦截时,可设置攻击惩罚规则,对访问者的IP、Cookie或Params的长时间拦截规则、短时间拦截规则,使得WAF自动封禁访问者。

  • 放行

    WAF检测到请求命中防护规则设置的条件时,放行当前请求,并停止后续规则的检测。

  • JS挑战

    WAF检测到请求命中防护规则设置的条件时,会向客户端返回一段正常浏览器可以自动执行的JavaScript代码。如果客户端正常执行了JavaScript代码,则WAF在Token有效期内放行该客户端的所有请求(不需要重复验证),否则拦截请求。

  • 动态拦截

    在CC攻击防护规则中,如果在一个限速周期内,访问超过“限速频率”触发了拦截,那么,在下一个限速周期内,WAF会根据“放行频率”进行拦截。

    例如,“限速频率”为每60秒允许10次访问,“放行频率”为每60秒允许5次访问时,表示前60秒内,访问次数超过10次后,访问被拦截,在下一个60秒时,访问次数超过5次,就会被拦截。

  • 人机验证

    在CC攻击防护规则中,如果访问超过“限速频率”,就会弹出验证码,进行人机验证。完成验证后,请求将不受限制。如果验证未通过,会按照“锁定时间”,限制访问。

防护配置流程

网站接入WAF后,您可以参照如下流程,进行防护配置。

  1. (可选)新增防护策略。如果直接在默认生成的防护策略中,配置防护规则,可跳过12
  2. (可选)添加策略适用的防护域名:即绑定防护策略的生效对象。
  3. 配置防护规则。您可以在防护策略中,开启并配置具体防护规则。

多种类型防护规则应用示例

攻防演练场景下,您可能需要配置多种类型的防护规则,例如IP黑白名单规则、地理位置访问控制规则、精准访问防护规则、CC攻击防护规则等,用于放行防御方的请求。

  • 正确配置:此场景下,建议您将规则“防护动作”设置为“仅记录”,即放行该请求,并记录相关信息。同时,继续执行后续防护规则检测。
  • 不当配置:如果您直接将“防护动作”设置为“放行”,那么当前请求就会直接被放行,且跳过后续规则的检测,从而导致后续规则检测失效。

例如,创建IP黑白名单规则时,建议您将防御方的IP添加到IP黑白名单规则,并将“防护动作”设置为“仅记录”,而非直接将“防护动作”设置为“放行”

相关文档