Web應用防火墻（原生版）的企業版及以上版本支持自定義BOT防護策略，通過智能BOT防護+攻擊懲罰，幫助用戶實現自動化動態拉黑攻擊IP，實現業務的自動化防護。

用戶可以結合業務情況進行自定義防護規則的配置，實現自動封禁和自動解禁。

示例場景

• 防護對象：“www.daliqc.cn”。

• 觸發條件：來自“xxx.xxx.10.15”的請求中，5秒內“請求URI中包含password”的請求次數大于等于10次。

• 處置措施：自動封禁“xxx.xxx.10.15”30分鐘，30分鐘后解封。

前提條件

• 已購買WAF SaaS模式企業版或旗艦版實例。

• 防護域名“www.daliqc.cn”已接入WAF并開啟防護。

步驟一：配置并開啟BOT防護

1. 開啟BOT防護：在“防護配置 > 對象防護配置”頁面，選擇“安全防護”頁簽，定位到“BOT防護”模塊，開啟BOT防護。

   

2. 單擊自定義規則右側的“前去配置”，進入自定義防護規則頁面。

   

3. 單擊“新建防護規則”，添加一條自定義防護規則。

   • 匹配條件：來自“xxx.xxx.10.15”的請求中，5秒內請求URI中包含password的請求次數大于等于10次。

   • 處置動作：動態攔截最大支持600秒（即10分鐘）。

   • 攻擊懲罰：需要攔截超過10分鐘，可以開啟攻擊懲罰。攻擊懲罰功能可將多次觸發自定義規則的會話對象進行自動拉黑封禁。

   

步驟二：配置并開啟攻擊懲罰

1. 在“防護配置 > 對象防護配置”頁面，選擇“系統配置”頁簽，定位到“攻擊懲罰”模塊，開啟攻擊懲罰。

   

2. 單擊攻擊懲罰右側的“前去配置”，進入攻擊懲罰配置頁面。

   

3. 配置攻擊懲罰標準。

   • 首次攔截：觸發后封禁30分鐘，到期自動解除封禁。

   • 重復攔截：每新增一次攔截，封禁時長增加10分鐘（如第二次封禁40分鐘，第三次50分鐘，依此類推）。

   • 永久攔截：同一IP累計觸發5次攔截后，將被永久封禁。

   

步驟三：驗證攔截效果

當“xxx.xxx.10.15”訪問“www.daliqc.cn”頁面時，若WAF檢測到5秒內“請求URI中包含password”的請求次數大于等于10次，訪問請求會被WAF攔截，且自動封禁“xxx.xxx.10.15”，時長為30分鐘。

1. 查看防護事件：在“防護事件 > 查詢防護事件”頁面，您可以查看該防護事件。

2. 查看BOT防護動態攔截列表：在“防護配置 > 對象防護配置”頁面，選擇“安全防護”頁簽，定位到“BOT防護”模塊，單擊攔截列表右側的“解除攔截”，進入動態攔截頁面，可查看已被攔截的對象及攔截時間。

3. 查看攻擊懲罰列表：在“防護配置 > 對象防護配置”頁面，選擇“系統配置”頁簽，定位到“攻擊懲罰”模塊，單擊懲罰列表右側的“前去查看”，進入懲罰列表頁面，可查看攻擊懲罰攔截對象及懲罰時間。

步驟四：手動為封禁IP解封

解除BOT防護動態攔截

1. 在“防護配置 > 對象防護配置”頁面，選擇“安全防護”頁簽，定位到“BOT防護”模塊。

2. 單擊攔截列表右側的“解除攔截”，進入動態攔截頁面。

3. 對于正在攔截中的對象，單擊操作列的“解除攔截”可放開攔截。

解除攻擊懲罰

1. 在“防護配置 > 對象防護配置”頁面，選擇“系統配置”頁簽，定位到“攻擊懲罰”模塊。

2. 單擊懲罰列表右側的“前去查看”，進入懲罰列表頁面。

3. 對于正在懲罰中的攔截對象，單擊操作列的“解除懲罰”可放開懲罰對象封禁。