全局WAF-边缘安全加速(ESA)-阿里云帮助中心

全局WAF允许为企业版套餐下的所有站点创建统一的安全规则，实现策略的集中管理和一键下发，提升运维效率并确保防护策略的一致性。

使用限制

全局WAF功能仅限企业版套餐并需联系您的客户经理加购后使用；基础版/标准版/高级版暂不支持该功能。

当您的多个站点受到相同特征的攻击时，可通过全局WAF为企业版套餐下的站点建立统一的安全策略基线，例如统一拦截特定IP、禁止访问后台敏感路径。同时新增站点将自动继承此规则集，无需重复配置。

例如站点example01.com、example02.com、example03.com同时遭受来自IP192.168.0.1的恶意攻击，可通过全局WAF一次性配置拦截规则，规则将立即同步生效于所有站点，无需逐个站点重复配置，显著提升应急响应效率。

全局WAF基于集中化管理设计，其规则优先级最高，优先于各站点独立配置的WAF规则（含所有版本）生效，确保统一防护策略的优先执行。

全局WAF优先处理：所有请求首先经过全局WAF，若命中则判断动作执行类型：
- 拦截：直接阻断请求，并记录事件日志，不进入站点规则。
- 观察：跳过站点规则，直接放行请求并记录事件日志。
- 挑战：进行JS挑战或滑块挑战，通过后放行请求并记录事件日志。
站点WAF兜底处理：若未命中全局规则，则进入站点内配置的WAF规则处理（每个站点独立配置），命中则判断是否命中规则的动作执行类型：
- 拦截：直接阻断请求，并记录事件日志，不进入站点规则。
- 观察：跳过站点规则，直接放行请求并记录事件日志。
- 挑战：进行JS挑战或滑块挑战，通过后放行请求并记录事件日志。
若都未命中，则放行请求。

防护示例

假设在example01.com站点配置拦截IP192.168.0.1的规则，但全局WAF中设置了允许放行该IP的规则，则由于全局规则优先级更高，所有来自192.168.0.1的请求将遵循全局策略放行，而非站点内配置。

登录ESA控制台，在左侧导航栏选择全局配置 > 全局WAF。单击下拉框选择需要进行配置的企业版套餐实例。
实例右侧将根据套餐类型自动显示功能支持情况，需要选择已支持全局WAF的实例。
根据需要选择规则组类型：
- 自定义规则组：用于自定义控制用户的访问策略场景。
- 频次控制规则组：用于抑制某一类特征的请求访问，例如同一个客户端IP在某一段时间内高频访问您的站点。
- 托管规则组：使用ESA内置的智能托管防护规则，进行智能防护OWASP攻击和最新的源站漏洞攻击。
- 扫描防护规则组：通过识别扫描行为和扫描器特征，用于阻止攻击者或扫描器对网站的大规模扫描行为，减少垃圾流量。
- 白名单规则组：用于自定义放行具有指定特征的请求，使请求不经过全部或特定防护规则（自定义规则、频次控制、托管规则、扫描防护、Bot管理）的检测。
以为站点 example01.com 和 example02.com 配置拦截IP 192.168.0.1的规则组,但需要为example03.com放行为例。在全局WAF页，选择自定义规则组页签，单击新增规则组。

参考下述说明进行配置后，单击确认即可：

则执行…：针对符合特征的请求执行的动作，单击自定义规则按钮进行新增两类子规则：

拦截类：子规则中如果请求匹配以下规则...填写站点名等于其中任意一个 example01.com example02.com，则执行…选择默认的拦截。

放行类：子规则中如果请求匹配以下规则...填写站点名等于其中任意一个 example03.com，则执行…选择默认的观察。