操作前提

已經在Web應用防火墻（邊緣云版）控制臺完成接入域名，并且域名已處于已啟用的狀態。更多信息見添加域名。

操作內容須知

本文描述都是建立在您已經完成域名新增，并且域名狀態處于已啟用的前提下進行操作，您可以參考功能的描述文檔開啟并設置相對應的功能。

除了特殊防護配置以外的內容，大部分的Web應用防火墻（邊緣云版）防護配置均在域名列表中的“安全防護”頁面完成。參照如下訪問網站防護配置頁面：登錄后，域名管理-域名列表-安全防護（詳情見安全防護配置）。

選中需要配置的域名，點擊安全防護開始配置域名安全防護內容。

本文會根據不同的角色或者業務視角來給您提供網站防護策略的配置建議。您可以根據您的實際需求和您對網站的熟悉程度來了解相關的網站防護配置。

沒有安全經驗的使用者要如何配置防護策略

您可能出于等保要求或者為了預防Web攻擊而購買Web應用防火墻，但您之前從未了解過網站安全相關知識或者未使用過安全產品，這種情況可以參考本章內容進行域名的防護配置修改。在根據域名接入指引成功添加域名后（域名狀態由配置中變更為 已啟用 ），在“安全防護 > 安全基礎配置”頁面將防護開關置為開啟并將處理動作置為攔截，然后在“安全防護 > 域名規則”中將域名規則開關置為攔截模式，完成這幾步操作后WAF就可以幫助您自動識別、攔截絕大部分的Web攻擊請求。

同時您也需要多關注概覽、安全分析、日志管理、態勢感知等數據統計分析頁面，了解業務流量、數據情況和攻擊威脅情況。查看相關數據報表可以讓您對域名信息有更詳細的了解，同時可以根據這些數據特征，聯系天翼云安全專家溝通具體的解決方案，在天翼云安全專家的指導下進一步配置域名防護內容，對域名安全進一步加固。關于統計分析報表的詳情介紹可查看相關文檔：安全分析報表、WAF攻擊日志、態勢感知。

當您在攻擊日志中發現正常的業務請求被誤攔截，而您又不會根據誤攔截內容進行防護配置變更時，您可以聯系天翼云安全專家溝通具體的解決方案，聯系方式見服務保障。

有安全經驗的使用者如何配置符合自己網站的安全策略

如果您有了解過網站安全的相關知識，或者有網站安全運維的經驗，那么當您的網站遭到Web攻擊時，您可以根據WAF控制臺的數據報表、日志分析、態勢感知等內容進行快速排查定位，并及時修改安全防護配置解決問題，防止問題嚴重性進一步擴大。根據上述描述推薦您在域名接入到WAF安全防護后，根據實際業務場景使用如下防護功能：

配置規則

當您的域名存在誤報情況時，您可以設置域名規則白名單來減少誤報，對于符合白名單規則的請求，WAF防護引擎可以根據您的配置直接放行請求。

操作導航：在WAF控制臺的“日志管理 > WAF攻擊日志 >日志詳情”頁面添加白名單，完成相關配置。

您也可以設置具體的防護模塊白名單，加白部分防護模塊，使域名防護更加精確，詳見文檔：防護白名單。

配置訪問控制策略

您可以使用訪問控制功能針對指定的IP地址，IP段或者地區來源的訪問請求進行封禁。或者只允許指定部分IP、IP段、地區訪問您的業務，例如：封禁海外IP地址。您也可以使用訪問控制功能限制某些接口請求頻率不能過高。詳見文檔：訪問控制。

針對具體攻擊場景的防護策略配置

您也可以配置CC攻擊防護、攻擊挑戰、敏感詞、網頁防篡改等策略來應對各種Web攻擊場景，維持網站穩定。詳見文檔：訪問控制、高級防護策略、CC配置。

配置賬號安全策略

通過配置賬號安全策略，可以幫助您在指定的URL接口識別出賬號安全風險事件并進行攔截。包括： 撞庫防護、暴力破解防護 。詳見文檔：賬戶安全防護。

漏洞防護集合

您可以根據網站的業務、代碼組成等多種情況來選擇適合您域名站點的漏洞防護集合，同時關閉或者開啟一些適合您業務系統形態、框架的域名規則減少誤報漏報。詳情見：安全基礎配置、域名規則。

特殊的防護配置

如果您存在特殊的配置在頁面上無法進行配置時，可以通過工單聯系天翼云安全專家，溝通具體的解決方案。

場景示例

下面提供了多種防護配置場景，您可以以此為參考結合自己網站的實際場景進行安全防護配置。如果以下使用場景示例均無法解決您的問題，您也可以通過工單，聯系天翼云安全專家說明您的需求，由天翼云安全專家提供解決方案。

防止網頁被篡改

當攻擊者通過系統漏洞入侵了您的系統后，可能會通過篡改數據或劫持網絡等方式對網站內容進行惡意篡改，導致您的頁面顯示的被惡意篡改后的內容。此時，您可以使用WAF中的網頁防篡改功能，添加您需要進行保護的頁面。WAF網頁防篡改功能用于保護網站核心靜態頁面，通過對比源站響應與媒體存儲中心緩存的響應，保護網站因為源站頁面被惡意篡改帶來的負面影響，同時您可以根據需要配置防篡改規則。

保護賬戶安全

您可以配置賬號安全策略，幫助您在指定的URL接口識別出賬號安全風險事件并進行攔截，保護數據安全，減少數據信息內容泄露。提高賬號信息安全。詳見文檔：設置賬戶安全防護。

需要自定義防護場景

當您需要限制某些特殊接口的請求規則和請求頻率時，您可以通過配置訪問控制、頻率控制策略來實現。又或者是遭受到CC等特殊攻擊時，您可以配置CC防護等策略來攔截特殊的Web攻擊內容，詳見文檔：訪問控制、CC配置。

敏感詞信息泄露

敏感詞防護功能支持對網站返回的內容進行脫敏展示，過濾內容包括敏感信息（如身份證、手機號、銀行卡、郵箱等）。您可以根據實際需要設置敏感詞防護規則，滿足數據安全保護和等保合規需求。詳見文檔：設置敏感詞防護。

高頻Web攻擊場景

您可以配置攻擊挑戰策略，針對短時間內發起高頻大量web攻擊（觸發規則防護）的客戶端ip，阻止該IP一段時間內的所有請求。使用該策略可以快速攔截惡意攻擊Web的IP，快速應對惡意掃描、Web攻擊威脅，提高攻防對抗效率。詳情見：攻擊挑戰。

Web頁面可能被嵌入危險信息和不良廣告

Web頁面可能因為服務器被入侵，流量被劫持等原因導致正常客戶的web頁面中嵌入危險信息，或者其他不良的內容等。遇到這種場景，您可以配置廣告防護，WAF可以解析源站響應頁面代碼，在body中插入廣告監測的javaScript代碼，實現廣告和監測功能。同時也可以配置外鏈白名單，當請求資源來自白名單時，不會進行廣告處理允許正常顯示。詳情見：廣告防護。

Bot爬蟲防護

當您的域名存在爬蟲問題時，可以通過工單申請開通Bot防護配置，可以提供更加針對性的防護策略來保護您的網站免受爬蟲問題困擾。

嚴格防護模式

當您的業務需要嚴格的安全防護模式，不管任何請求進來時寧可被誤攔截，也不允許進入系統內部時。您可以在域名新增的時候選擇攔截模式，同時選擇漏洞防護集合和全量防護規則集合。也可以在控制臺的“域名列表>安全防護>安全基礎配置”頁面配置選擇全量防護規則集并開啟攔截防護。同時可根據業務、流量特征信息，配置高級防護、訪問控制、CC配置等其他特殊的防護配置內容，如：您的域名只允許國內訪問，則可以通過訪問控制，封禁海外IP內容，只允許國內IP進行訪問。使用嚴格防護模式的配置策略后，可能會產生大量誤報內容，您可以通過分析攻擊日志信息，利用加白、配置規則等方式對可信任的請求進行放行減少誤報的情況。