網站接入WAF實例后，您可以按照以下推薦防護模塊對已接入的網站進行防護策略配置。

Web基礎防護

一般情況下，建議選用“攔截”模式，并選用“正常規則組”防護策略。

• 防護規則組：可選擇寬松規則組、正常規則組、嚴格規則組。

  • 正常規則組：中等寬松規則組，該規則組綜合考慮誤報和漏報策略檢測情況，選擇均衡的規則策略進行匹配，一般情況下，該種策略為默認推薦規則，建議用戶選擇正常策略。

  • 寬松規則組：該規則組更關注精準攻擊攔截度，對于疑似攻擊行為的訪問請求將會認定為安全從而放行，如需減少誤攔截，可選用該規則組。

  • 嚴格規則組：該規則組關注攻擊攔截的覆蓋程度，會全面攔截攻擊和疑似攻擊行為，如需盡可能保證業務的安全性，可選用該規則組。

• 處置動作：可選擇攔截、觀察兩種動作。

  • 攔截：將會攔截掉所有攻擊行為，并產生告警攔截日志。

  • 觀察：會放行所有攻擊行為，但會產生告警日志。

CC防護

業務正常運行時，建議采用“常規”防護模式。

由于CC防護的“緊急”防護模式可能產生一定量的誤攔截，如果您的業務為App業務或Web API服務，不建議您開啟“緊急”防護模式。如果使用CC安全防護的正常模式仍發現誤攔截現象，建議您使用“精準訪問控制”功能放行特定類型請求。

BOT防護

當您的業務經常受到爬蟲騷擾或面臨數據泄露、被篡改的風險，針對防護需求，建議您為網站開啟BOT防護功能。BOT防護設置支持公開類型、自定義會話策略兩大類防護策略。

• 公開類型：云WAF提供已知公開的BOT大類，包括Web爬蟲、掃描器、語言庫等爬蟲類型，用戶可以根據自身需求對公開BOT類型設置防護狀態及防護動作，WAF將對命中公開類型的BOT請求進行相應處理。

• 自定義會話策略：提供自定義協議特征、自定義會話特征兩類防護策略，每種類型特征包含多個判定維度，用戶可以根據實際業務情況設置協議特征規則狀態、自定義會話策略，WAF將對命中防護策略的請求進行處理。

精準訪問控制

當攻擊源IP比較分散時，可以通過分析防護事件日志，使用精準訪問控制提供的豐富字段和邏輯條件組合，靈活配置訪問控制策略實現精準防護，有效降低誤攔截。

• 支持URL、Cookie、Referer、User、Agent、Params、Header等HTTP常見參數和字段的條件組合。

• 支持包含、等于、大于等于、小于等于、正則匹配等邏輯條件，設置阻斷或放行等策略。

IP黑白名單

您可以將網站業務已有信任的訪問客戶端（例如，監控系統、通過內部固定IP或IP段調用的API接口、固定的程序客戶端請求等），設置成IP白名單；同時可封禁與業務不相關的IP地址和地址段。

地域訪問控制

地域訪問控制支持針對地理位置的黑名單封禁，可指定需要封禁的國家、地區，阻斷該區域的來源IP的訪問。

以上配置完成后，建議您進行配置準確性檢查和驗證測試，檢查項包括域名是否填寫正確、是否備案、接入配置協議/端口是否與實際一致、WAF前是否有配置其他代理、源站填寫的IP是否是真實的服務器IP、回源算法是否與預期一致、證書信息是否準確上傳、證書是否合法完整等。

所有的檢測測試均通過后，再進行逐個域名修改DNS解析記錄，將網站業務流量切換至WAF，避免業務異常。