Web基礎防護支持哪幾種防護等級？

Web基礎防護默認可以選擇三個等級的防護規則組，分別為正常、寬松和嚴格。用戶也可根據業務需求，自定義創建防護規則組，移除經常誤報的防護規則。配置詳情請參見設置防護規則引擎。

• 正常：中等寬松規則組，該組規則綜合考慮誤報和漏報策略檢測情況，選擇均衡的規則策略進行匹配，一般情況下，該種策略為默認推薦規則，建議用戶選擇正常策略。

• 寬松：寬松規則組，該規則組更關注精準攻擊攔截度，對于疑似攻擊行為的訪問請求將會認定為安全從而放行，如需減少誤攔截，可選用該規則組。

• 嚴格：嚴格規則組，該規則組關注攻擊攔截的覆蓋程度，會全面攔截攻擊和疑似攻擊行為，如需盡可能保證業務的安全性，可選用該規則組。

CC防護中，什么情況下使用Session識別訪問者？

在配置CC防護規則時，當IP無法精確區分用戶，例如多個用戶共享一個出口IP時，您可以使用Session區分單個訪問者。

CC攻擊（Challenge Collapsar）是DDoS的一種，攻擊者通過代理服務器向受害主機不停發送大量數據包，造成Web業務服務器的資源耗盡，從而無法響應其他正常訪問請求的一種攻擊行為。因CC攻擊采用周期和頻率判斷業務是否遭受到攻擊，而當多個用戶共用一個出口IP時，若采用IP識別訪問者，則會造成系統將多個用戶識別為一個，從而將來源于同一個出口IP的正常業務訪問請求識別為CC攻擊，進而導致用戶的正常訪問被攔截或阻斷掉。而采用Session識別訪問者，則可以避免將來源于同一個IP的多個用戶訪問識別成CC攻擊。故當多個用戶共享一個出口IP時，建議用戶采用Session區分單個訪問者。

什么情況下，可以選擇緊急模式的CC防護？

CC攻擊防護可以通過對Web業務請求的安全驗證防護網絡攻擊者對業務服務器發起的CC攻擊。

• 默認情況下，CC攻擊的防護模式是正常模式，幫助您攔截常規的CC攻擊。

• 當您發現在使用正常CC攻擊防護模式狀態下，依然出現源站CPU利用率飆升、數據庫或者應用丟包時，說明常規的CC防護模式由于閾值設定的原因，已無法防護該CC攻擊，為了緩解服務器的緊急狀態，您可以選用攻擊緊急模式。攻擊緊急模式會降低判定CC攻擊頻率和周期的閾值，此時CC攻擊的防護策略會非常敏感，對于所有超過閾值的訪問請求都會攔截，從而保證在極端情況下依然能夠對用戶的Web業務進行防護。

IP黑名單支持批量添加IP地址嗎？

不可以，當前WAF暫不支持批量添加IP地址，您可以通過創建IP黑名單規則，添加單個IP地址或IP地址段。

IP黑白名單支持配置的策略如下：

• 支持基于域名創建IP黑白名單規則。

• 支持添加IPv4、IPv6地址，支持添加IP地址段。

• IP黑白名單模塊的防護檢測邏輯優先級高于其他防護模塊；IP黑白名單內部檢測邏輯，白名單高于黑名單。

WAF原生版是否支持HTTPS雙向認證？

HTTPS雙向認證是相較于HTTPS單向認證而言的，HTTPS單向認證是指客戶端在請求服務器數據時，需要驗證服務器的身份。而雙向認證是在此基礎上，服務器端驗證客戶端的身份，從而實現雙向認證。

雙向認證主要應用場景是部分重要業務需要驗證客戶端身份時，需要使用雙向驗證。而使用WAF防護的業務，一般為對公眾提供的Web服務，其原始業務不會有雙向驗證的要求，故當前WAF原生版不支持HTTPS雙向認證。

WAF原生版是否支持WebSocket協議？

WebSocket是HTML5引入的一項技術，用于在Web應用程序中實現實時雙向通信。與傳統的HTTP請求-響應模型不同，WebSocket允許服務器主動向客戶端推送數據，而不需要客戶端發起請求。WebSocket連接保持打開狀態，允許客戶端和服務器之間進行雙向通信，這為實時應用程序提供了更高效和實時的通信方式。當前WAF支持WebSocket進行用戶業務的轉發，實現WebSocket通信。

若一個IP同時配置了白名單和黑名單，優先級是什么？

IP白名單的優先級高于黑名單，若同時配置了白名單和黑名單，則優先以白名單為準，詳情請參見IP黑白名單。

WAF支持設置單條防護規則的防護狀態嗎？

支持。

WAF原生版提供具體防護規則的防護開關。您可以根據業務需要選擇開啟或關閉規則的防護。

WAF支持針對地理位置配置禁止訪問策略嗎？

支持。

地域訪問控制支持針對地理位置的黑名單封禁，可指定需要封禁的國家、地區，阻斷該區域的來源IP的訪問。通過地域訪問控制模塊，可以滿足針對地理位置的黑名單封禁。支持封禁的地域請參見地域訪問控制。