3. 域名管理_WAF 规则

什么是“WAF 规则”？

WAF 规则负责管理 Web 应用防护系统的规则。因应不同种类的攻击，您可创建不同的监控与防护规则，并将规则自由配置于域名上。WAF 规则让您密切掌握所有外部请求，免于受到恶意网络攻击的侵害，持续性地为您的企业提供坚实的保护。

① 侧边栏：

单击域名管理下拉按钮后，选择“WAF 规则”。

② WAF 规则统计区：

在侧边栏导航中选择“WAF 规则”后，相关操作介面将显示在页面中央的内容区域。您将在顶部看到“WAF 规则统计区”，其中包括 WAF 规则介绍、WAF 规则当前已创建数量与最多可创建数量。

③ WAF 规则管理区：

WAF 规则管理页面显示于内容区域的第二部分。在这里，您可以查看、创建、编辑、删除、搜寻，并输出搜寻结果。

1. 创建 WAF 规则

① 选择群组。

② 单击“创建规则”按钮。

③ 设置页面会出现于右侧。

④ 在设置页面上，您会看到 5 个分类下拉按钮，从上至下分别为基础、条件 - 特征、条件 - 行为和条件-Exclusion。

⑤ 单击下拉按钮展开您想要设置的分类后，依照需要填入栏位完成设置。

⑥ 如要定义 WAF 规则必须从“基础”类别中的“动作”栏位开始，并且为此动作设置触发的“条件”，以完成 WAF 规则的定义。请查看下面的“表：动作栏位”、“表：与动作搭配的栏位”和“表：条件类别”了解更多有关动作和条件的说明。

⑦ 单击“储存”按钮保存设置。

⑧ 单击“✕”关闭设置页面。

2. 表：动作栏位

动作

说明

Allow （允许）

允许与指定条件匹配的请求，例如：特定的 IP、URI、请求表头、国家/地区等。

Deny （阻挡）

拒绝与指定条件匹配的请求，例如：特定的 IP、URI、请求表头、国家/地区等。

Speed Limit （限速）

当请求与指定条件（情况）匹配时，如“请求速率”等条件，内容的加载速度会变慢，以防止恶意攻击。

Block Period （阻挡时间）

当请求与指定条件匹配时，会被阻挡一段时间并显示“拒绝页面”以避免可能的攻击。通常与“请求速率”条件并用。

Cookie/JS challenge （Cookie/Javascript 有效性验证）

当请求与指定条件匹配时，通过向可疑的最终用户发送挑战 JavaScript 响应，以验证对方是否使用合法浏览器。当发送给最终用户的挑战 JavaScript 被执行时，伴随着 cookie 生成，原始 HTTP 请求带有 JavaScript 生成的 cookie 时，请求会被重新发送。

Gesture Challenge （图形验证）

当请求与指定条件匹配时，通过向最终用户发送图形验证，以判定请求是否来自真实的客户端。当最终用户成功回答收到的图片验证时，请求将被允许。

Smart Captcha （图形验证）

当请求与指定条件匹配时，通过向最终用户发送 Smart Captcha，以判定请求是否来自真实的客户端。当最终用户成功回答收到的图片验证时，请求将被允许。

Set Request Headers （设定请求表头）

设置从 CDN 边缘到源站的请求表头，可获取最终用户信息，例如，使用$rip 获取客户端 IP。

Set Response Headers （设定回应表头）

设置从 CDN 边缘到最终用户的响应表头。特别适合使用 CORS 的场景，例如，access-control-allow-origin:mydomain.com。

Log Only （行为记录）

记录与指定条件匹配的请求，以观察是否为可疑攻击。匹配的请求将记录在域名管理下的“事件概览”中。

Origin Policy （回源政策）

当请求与指定条件匹配时，可于专案套用“回源策略”。通过适当的布局，此设置可以让您观测可能的攻击。

Redirect （重新导向）

当请求与指定条件匹配时，将请求重新导向，达到隐私保护与导航等目的。

Custom Page （自定义页面）

当请求与指定条件匹配时，向最终用户显示自定义页面。

3. 表：与动作搭配的栏位

栏位

说明

4. 表：条件类别

① 条件 - 特征

栏位

说明

来源 IP

请依照“A.B.C.D/netmask”格式输入“IP、或是一整组网段”。如果有多个 IP、网段，请按“回车”键切换至下一行后，输入其他 IP。

请求 URI

请以正则表达式输入“URI”。如果有多个 URI，请按“回车”键切换至下一行后，输入其他 URI。

请求表头

请输入“请求表头”以对具有特定表头的请求采取行动。点击 [＋快速新增] 可以快速新增已经写好的模版，当前已经支援几种浏览器或爬虫机器人的 UA，唯建议设置完毕后确认实际访问是否可以触发。请详见下方 [请求表头快速新增清单]。

Request Headers Not Exist

请输入“必须显示的”的请求表头，通常与“动作：Deny”并用，如果设置在 Deny，未携带此表头的就会遭禁止访问。

来源国家

欲选择请求的来源国家时，请单击该栏位，并从下拉列表中选择国家。或者，您可以单击“”选择所有国家，单击“”反转选择已选的国家，或单“”删除所有已选国家。

线路商

输入线路商名称，对来自特定线路商的请求采取动作。例如：您可以将使用特定线路商的请求重新导向到不同的域名以进行流量分配。单击此处可查询线路商名称。

Proxy Type

欲针对特定代理服务器 IP 类型的请求采取行动时，请单击该栏位，并从 IP2Proxy™数据库列表中进行选择。

Ja3指紋雜湊

可填入特定的Ja3-Hash的值進行判斷。 ->須為 32 個字元的十六進位字串（MD5 格式），並且符合[a-fA-F0-9]{32}之規則。 ->不允許重複的值。 ->最多可有 10 個項目。

请求表头快速新增清单

Google Chrome : user-agent:.*Chrome/(1[0-3][0-5]|[1-9][0-9]).
Mozilla Firefox : user-agent:.*Firefox/([0-9]|[1-9][0-9]|1[0-3][0-5]).
Apple Safari : user-agent:.*Version/(1[2-8]). Safari/
Internet Explorer : user-agent:.*Trident/(10|11|[4-9]).
小红书 : user-agent:.*Red/XiaoHongShu.*
抖音 : user-agent:.*Aweme/.*
百度 : user-agent:.*Baiduspider/.*

② 条件 - 行为

栏位

说明

请求方法

欲对指定 http 请求方法采取行动，请单击该栏位，并从列表中选择方法。也可以单击“”选择所有方法，单击“”反转选择已选方法，或单击“”删除所有已选方法。

请求速率

欲检测请求速率异常的请求并对其采取行动，请输入速率值（点击数/秒），例如：每秒 200 个请求，请输入“200/1”。

请求速率令牌

当请求符合WAF规则条件时，系统会根据设定的令牌条件（例如[请求 IP]、[请求域名]等）提取相应的值，组合生成一个 [令牌]。这个令牌是用来追踪哪些请求触发了相同规则，并一起纳入速率限制的计算。

自订令牌包含像是 IP、域名、规则名称、请求方法、国家、User-Agent，系统会根据所选的栏位（如 IP、域名、URI、User-Agent 等）生成唯一的令牌，并将符合条件的请求纳入同一组进行速率统计。栏位选得越多，分组越细致，触发限制的机会较低；栏位选得越少，请求容易被合并统计，较易触发限制。预设包含 [群组] 与 [规则名称] 两个栏位，且 [请求 IP] 与 [请求域名] 预设启用，可视需求调整。

举例来说，若只使用 [域名] 与 [URI]，所有 IP 的请求都会合并计算；若完全不选栏位，则所有来源的请求将通通算进去。透过这项设计，使用者可依照实际风险场景，精细化流量控管策略，有效降低恶意攻击与资源耗尽的风险。

您可以在 [请求速率令牌 Playground] 上来对勾选的选项进行测试并观察是否会命中与其次数，届此预先模拟可能的情况。

③ 条件-Exclusion

栏位

说明

Not Source IP

欲从 WAF 规则的定义中排除指定的来源 IP，请输入想要排除的来源 IP，例如：A.B.C.D/netmask。如果有多个 IP，请按“回车”键切换至下一行后，输入其他 IP。

Not Request URI

欲从 WAF 规则的定义中排除指定的请求 URI，请以正则表达式输入“URI”。如果有多个 URI，请按“回车”键切换至下一行后，输入新 URI。

Not Request Headers

欲从 WAF 规则的定义中排除指定的请求表头，请输入“请求表头”以对具有特定表头的请求采取行动。

④ 条件 - 特征的运算逻辑

請求表頭類型：

1.請求表頭 : 單一的請求表頭條件

2.請求表頭組 : 定義多個請求表頭條件，所有條件都必須符合 (AND 邏輯) 才會觸發

在“条件 - 特征”中，如果设置了多个栏位（如橙色框所示），则当请求与所有设置的栏位匹配时，WAF 规则才会激活。关于单一栏位中的值（如蓝色框所示），只要请求与栏位中任一值匹配时，WAF 规则将激活。

⑤ 跳转 URL、请求 URI、请求表头的变数

变数

说明

$host

domain

$rootdomain

root domain

$request_uri

uri after domain

$rip

user IP

$dstport

requested port

$scheme

user protocol http or https

＊注意

§ 不知道如何设置“动作”？
当选择不同的“动作”时，需要填写的栏位有所不同。以下 [Allow（允许）规则] 至 [删除已创建的 WAF 规则] 将详细为您说明 WAF 规则设置页面中的设置细节。 § 无法变更“群组”？
您会在查询区的“群组”下拉标签看到“🚫”图标。根据操作流程，您在进入“域名管理”页面之前，需选择群组，选定群组后，后续页面将应用此设置，因此查询区变更群组的操作被禁止。如要快速更改“群组”，请至“标头导航列”选择其他群组（标记①如上图所示）后，“域名管理”中的数据将被更新。或者，您可以从首页上的“群组面板（Group）”中重新选择群组。

5. 如何设定

① Allow (允许) 规则

① 单击“基础”下拉按钮。

② 填写“规则名称”栏位。

③ 单击“动作”栏位后从下拉列表中选择“Allow”。

④ 填写“条件”类别中的栏位，以定义触发动作的条件。

⑤ 完成 WAF 规则的设置，请单击“储存”按钮保存变更。

＊注意

§ 不知道如何到达此页面吗？
请参见 [创建 WAF 规则] 的说明。 § Allow 的运行原理？
请参见 [表：动作栏位]。 § 想知道更多关于条件类别的栏位说明？
请参见 [表：条件类别]。

② Deny (阻挡) 规则

① 单击“基础”下拉按钮。

② 填写“规则名称”栏位。

③ 单击“动作”栏位后从下拉列表中选择“Deny”。

④ 选择“Deny”后即出现“阻挡页面”栏位，请保留默认设置，或单击栏位，从阻挡页面列表中选择页面。预设阻挡页面共有三种模式：simple, emptyResp, default。详情请参见下方注意框。

⑤ 填写“条件”类别中的栏位，以定义触发动作的条件。

⑥ 完成 WAF 规则的设置，请单击“储存”按钮保存变更。

＊注意

§ 不知道如何到达此页面吗？
请参见 [创建 WAF 规则] 的说明。 § 想要创建阻挡页面？
请参见 [什么是“HTML 页面”？] 与 [添加 HTML 页面] 的说明。 § 阻挡页面的运行原理？
请参见 [表：与动作搭配的栏位]。 § 想知道更多关于条件类别的栏位说明？
请参见 [表：条件类别]。 § 预设阻挡页面共有三种模式：
1. default 回传页面：会回传包含 req_id 错误码 , time 时间轴 , 客户端 IP ,status 报错代码。如下图。
2. simple 回传页面： 只回传 req_id。如下图。
3. emptyResp 回传页面：会直接 tcp 中断显示 ERR_EMPTY_RESPONSE。如下图。

③ Speed Limit (限速) 规则

① 单击“基础”下拉按钮。

② 填写“规则名称”栏位。

③ 单击“动作”栏位后，从下拉列表中选择“Speed Limit”。

④ 请于限速栏位输入数值（KB/S）。

⑤ 填写“条件”类别中的栏位，以定义触发动作的条件。

⑥ 完成 WAF 规则的设置，请单击“储存”按钮保存变更。

＊注意

§ 不知道如何到达此页面吗？
请参见 [创建 WAF 规则] 的说明。 § Speed Limit 的运行原理？
请参见 [表：动作栏位]。 § 想知道更多关于条件类别的栏位说明？
请参见 [表：条件类别]。

④ Redirect (重新导向) 规则

① 单击“基础”下拉按钮。

② 填写“规则名称”栏位。

③ 单击“动作”栏位后从下拉列表中选择“Redirect”。

④ 请于“跳转 URL”栏位中输入要重新导向的 URL。

⑤ 单击“跳转 Http 码”栏位，并从代码列表中选择 301、302 或 307。

⑥ 填写“条件”类别中的栏位，以定义触发动作的条件。

⑦ 完成 WAF 规则的设置，请单击“储存”按钮保存变更。

＊注意

§ 不知道如何到达此页面吗？
请参见 [创建 WAF 规则] 的说明。 § Redirect 的运行原理？
请参见 [表：动作栏位]。 § 想知道更多关于条件类别的栏位说明？
请参见 [表：条件类别]。

⑤ Cookie/JS Challenge 规则

① 单击“基础”下拉按钮。

② 填写“规则名称”栏位。

③ 到“动作”栏位，单击后并从下拉列表中选择“Cookie/JS Challenge”。

④ 填写“条件”类别中的栏位，以定义触发动作的条件。

⑤ 完成 WAF 规则的设置，请单击“储存”按钮保存变更。

注意
§ 不知道如何到达此页面吗？
请参见 [创建 WAF 规则] 的说明。 § Cookie/JS Challenge 的运行原理？
请参见 [表：动作栏位]。 § 想知道更多关于条件类别的栏位说明？
请参见 [表：条件类别]。

⑥ Gesture Challenge (图片验证) 规则

① 单击“基础”下拉按钮。

② 填写“规则名称”栏位。

③ 单击“动作”栏位后从下拉列表中选择“Gesture Challenge”。

④ 填写“条件”类别中的栏位，以定义触发动作的条件。

⑤ 完成 WAF 规则的设置，请单击“储存”按钮保存变更。

＊注意

§ 不知道如何到达此页面吗？
请参见 [创建 WAF 规则] 的说明。 § Gesture Challenge 的运行原理？
请参见 [表：动作栏位]。 § 想知道更多关于条件类别的栏位说明？
请参见 [表：条件类别]。

⑦ Log Only (行为纪录) 规则

① 单击“基础”下拉按钮。

② 填写“规则名称”栏位。

③ 单击“动作”栏位后从下拉列表中选择“Log Only”。

④ 填写“条件”类别中的栏位，以定义触发动作的条件。

⑤ 完成 WAF 规则的设置，请单击“储存”按钮保存变更。

＊注意

§ 不知道如何到达此页面吗？
请参见 [创建 WAF 规则] 的说明。 § Log Only 的运行原理？
请参见 [表：动作栏位]。 § 想知道更多关于条件类别的栏位说明？
请参见 [表：条件类别]。

⑧ Block Period (阻挡时间) 规则

① 单击“基础”下拉按钮。

② 填写“规则名称”栏位。

③ 单击“动作”栏位后从下拉列表中选择“Block Period”。

④ 选择“Block Period”后即出现“阻挡页面”栏位，请保留默认设置，或单击栏位并从阻挡页面列表中选择页面。预设阻挡页面共有三种模式：simple, emptyResp, default。详情请参见 [Deny（阻挡）规则] 的注意框]。

⑤ 在“阻挡时间”栏位输入时间（最小 5 秒）。

⑥ 你可以根据设置的规则与攻击来源的情况，来决定该规则是否要以群组作为阻挡的单位，开启该选项以套用。

⑦ 如果没有需要返回自定义的页面，仅需要阻挡，以及遇到流量过大的情况，可以尝试开启使用 L3 阻挡这个选项，以增加效能。

⑧ 填写“条件”类别中的栏位，以定义触发动作的条件。

⑨ 完成 WAF 规则的设置，请单击“储存”按钮保存变更。

＊注意

§ 不知道如何到达此页面吗？
请参见 [创建 WAF 规则] 的说明。 § Block Period 的运行原理？
请参见 [表：动作栏位]。 § 想要创建阻挡页面？
请参见 [什么是“HTML 页面”？] 与 [添加 HTML 页面] 的说明。 § 阻挡页面的运行原理？
请参见 [表：与动作搭配的栏位]。 § 想知道更多关于条件类别的栏位说明？
请参见 [表：条件类别]。

⑨ Set Request Headers (设置请求表头) 规则

① 单击“基础”下拉按钮。

② 填写“规则名称”栏位。

③ 到“动作”栏位，单击后从下拉列表中选择“Set Request Headers”。

④ 于“设定请求表头”栏位中，输入请求表头。

⑤ 填写“条件”类别中的栏位，以定义触发动作的条件。

⑥ 完成 WAF 规则的设置，请单击“储存”按钮保存变更。

＊注意

§ 以下参数不能够透过填写 Set Request Headers 进行变更
"x-forwarded-for", "x-forwarded-proto", "true-client-ip", "rid" "c-type", "host", "connection", "if-modified-since", "if-unmodified-since", "if-match", "if-none-match", "user-agent", "referer", "content-length", "content-range", "content-type", "range", "if-range", "transfer-encoding", "te", "expect", "upgrade", "accept-encoding", "via", "authorization", "keep-alive", "x-real-ip", "accept", "accept-language", "depth", "destination", "overwrite", "date", "cookie" § 不知道如何到达此页面吗？
请参见 [创建 WAF 规则] 的说明。 § Set Request Headers 的运行原理？
请参见 [表：动作栏位]。 § 想知道更多关于条件类别的栏位说明？
请参见 [表：条件类别]。

⑩ Set Response Headers (设置回应表头) 规则

① 单击“基础”下拉按钮。

② 填写“规则名称”栏位。

③ 到“动作”栏位，单击后从下拉列表中选择“Set Response Headers”。

④ 于“设定回应表头”栏位中，输入回应表头。

⑤ 填写“条件”类别中的栏位，以定义触发动作的条件。

⑥ 完成 WAF 规则的设置，请单击“储存”按钮保存变更。

＊注意

§ 以下参数不能够透过填写 Set Response Headers 进行变更
"Status", "Content-Type", "Content-Length", "Date", "Last-Modified", "ETag", "Server", "WWW-Authenticate", "Location", "Refresh", "Set-Cookie", "Content-Disposition", "Cache-Control", "Expires", "Accept-Ranges", "Content-Range", "Connection", "Keep-Alive", "Vary", "Link", "X-Accel-Expires", "X-Accel-Redirect", "X-Accel-Limit-Rate", "X-Accel-Buffering", "X-Accel-Charset", "Transfer-Encoding", "Content-Encoding" § 不知道如何到达此页面吗？
请参见 [创建 WAF 规则] 的说明。 § Set Response Headers 的运行原理？
请参见 [表：动作栏位]。 § 想知道更多关于条件类别的栏位说明？
请参见 [表：条件类别]。

⑪ Custom Page (自定义页面) 规则

① 单击“基础”下拉按钮。

② 填写“规则名称”栏位。

③ 到“动作”栏位，单击后从下拉列表中选择“Custom Page”。

④ 单击“HTML 页面”栏位，并从 Html 页面列表中选择页面”。

⑤ 填写“条件”类别中的栏位，以定义触发动作的条件。

⑥ 完成 WAF 规则的设置，请单击“储存”按钮保存变更。

＊注意

§ 不知道如何到达此页面吗？
请参见 [创建 WAF 规则] 的说明。 § Custom Page 的运行原理？
请参见 [表：动作栏位]。 § 想要创建 html 页面？
请参见 [什么是“HTML 页面”？] 与 [添加 HTML 页面] 的说明。 § 想知道更多关于条件类别的栏位说明？
请参见 [表：条件类别]。

⑫ Origin Policy (回源政策) 规则

① 单击“基础”下拉按钮。

② 填写“规则名称”栏位。

③ 到“动作”栏位，单击后从下拉列表中选择“Origin Policy”。

④ 单击“Origin Policy”栏位，并从回源政策列表中选择回源政策。

⑤ 填写“条件”类别中的栏位，以定义触发动作的条件。

⑥ 完成 WAF 规则的设置，请单击“储存”按钮保存变更。

＊注意

§ 不知道如何到达此页面吗
请参见 [创建 WAF 规则] 的说明。 § Origin Policy 的运行原理？
请参见 [表：动作栏位]。 § 想要创建回源政策吗？
请参见 [什么是“回源政策”？] 与 [添加回源政策] 的说明。 § 想知道更多关于条件类别的栏位说明？
请参见 [表：条件类别]。