主动防御_高级防护_网站防护（新版引擎）_防护配置

网站接入Web应用防火墙后，您可以为其开启主动防御功能。主动防御采用阿里云自研的机器学习算法自主学习域名的合法流量，并自动为域名生成定制化的安全防护策略，防御未知攻击。您可以根据实际需求调整主动防御的防护模式和规则。

前提条件

说明本文介绍的主动防御功能对应2020年1月发布的新版控制台界面，新版界面目前仅向中国大陆地域开放。如果您使用在此日期前开通的Web应用防火墙实例或海外地区服务，请参见主动防御。

Web应用防火墙实例的地域必须是中国大陆。
包年包月开通的Web应用防火墙实例，实例套餐必须是旗舰版及以上规格。更多信息，请参见WAF各版本功能说明。

说明按量付费开通的Web应用防火墙实例，暂不支持主动防御功能。
已完成网站接入。更多信息，请参见业务接入WAF配置。

背景信息

传统的Web攻击防护基于安全检测规则。主动防御则通过无监督学习的方式对域名的访问流量进行深度学习，并根据机器学习算法模型为不同访问请求打分，标记正常分值。在请求分值的基础上，主动防御能够定义域名的正常访问流量基线，并基于此生成定制化的安全策略。通过将流量分层的方式，有机地结合主动防御与Web应用防火墙的其它安全检测体系，能够为域名提供更加全面的攻击防护。

操作步骤

登录Web应用防火墙控制台。
在页面上方选择中国大陆地域。
在左侧导航栏，单击防护配置 > 网站防护。
在网站防护页面上方，切换到要设置的域名。

定位到高级防护下的主动防御配置区域，完成以下功能配置。


配置项	说明
状态	开启或关闭主动防御功能。
模式	检测发现攻击请求时，对攻击请求执行的操作。可选值：告警：只触发告警，不阻断攻击请求。拦截：直接阻断攻击请求。说明默认情况下，主动防御采用告警模式。所有主动防御安全规则仅将命中规则的请求上报至安全报表，并不会进行拦截。建议您通过安全报表观察一段时间，确认主动防御的安全规则没有出现误拦截的情况后，再切换到拦截模式。

域名首次开启主动防御后，系统将自动使用机器学习算法模型对域名的历史流量进行深度学习，并基于学习结果为该域名生成定制化的安全策略。机器学习算法模型的首次学习时长与域名的历史流量大小有关，通常需要大约一小时完成首次学习并生成安全策略。学习完成后，您将收到站内信、短信、邮件通知。

等待主动防御学习完成后，单击学习状态后的前去配置。

在主动防御规则页面，您可以查看主动防御为域名自动生成的安全防护规则，并根据需要编辑或删除指定的安全规则。

查看主动防御规则

主动防御规则的参数描述如下。


字段	说明
规则名称	主动防御规则的名称。
模式	用于定义HTTP请求中的URL（不包含参数）。例如，对于`/index.php?a=122`，其模式表示为`/index.php`。系统自动生成的安全规则通常使用正则表达式来描述。
方法	定义该URL支持的HTTP请求方法，支持多个方法。
参数	定义该URL中的参数。例如，对于`/index.php?a=122`，其参数名称为`a`，参数值为`122`。系统自动生成的安全规则通常使用正则表达式来描述。
防护模式	规则的防护生效模式，取值：拦截：只有当主动防御的模式是拦截时，该规则才真实生效，对命中规则条件的业务流量产生影响。如果主动防御的模式是告警，即使部分安全规则的防护模式是拦截，这些安全规则也不会对命中规则的请求进行拦截。告警：命中该规则条件的请求将上报至安全报表，但不会被拦截。说明建议您在规则学习完成后，先将其设置为告警模式观察一段时间，确认规则没有出现误拦截的情况后，再将其设置为防护模式使其真实生效。

单击操作栏中的编辑，编辑主动防御规则。只支持修改主动防御规则的防护模式。
单击删除，删除指定的主动防御规则。为保证主动防御的防护效果，通常情况下建议您不要随意删除算法模型自动生成的安全规则。
您可以先使用告警模式并通过安全报表观察该规则的执行情况，完全确认规则效果后再将防护模式设置为拦截使其真实生效。更多信息，请参见安全报表。