本节介绍Web应用防火墙支持的防护规则。

• Web基础防护

  可防范常规的web应用攻击，如SQL注入攻击、XSS跨站攻击等，可检测webshell，检查HTTP上传通道中的网页木马，打开开关即实时生效。

• CC攻击防护

  可根据IP、Cookie或者Referer字段名设置灵活的限速策略，有效缓解CC攻击。

• 精准访问防护

  对常见HTTP字段进行条件组合， 支持定制化防护策略如CSRF防护，通过自定义规则的配置，更精准的识别恶意伪造请求、保护网站敏感信息、提高防护精准性。

• IP黑白名单

  添加终拦截与始终放行的黑白名单IP，增加防御准确性。

• 地理位置访问控制

  添加地理位置访问控制规则，针对来源IP进行自定义访问控制。

• 网页防篡改

  对网站的静态网页进行缓存配置，当用户访问时返回给用户缓存的正常页面，并随机检测网页是否被篡改。

• 网站反爬虫

  动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为。

• 误报屏蔽

  针对特定请求忽略某些攻击检测规则，用于处理误报事件。

• 隐私屏蔽

  隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。

• 防敏感信息泄露

  防止在页面中泄露用户的敏感信息，例如：用户的身份证号码、手机号码、电子邮箱等。