通过Web应用防火墙(Web Application Firewall,简称WAF)的防护配置模块,可以组合使用Web核心防护规则、CC防护、Bot管理等多种防护模块,有效抵御SQL注入、XSS跨站、CC攻击、恶意爬虫等各类网络攻击。
工作原理
防护对象与防护对象组:每个接入 WAF 的域名或云产品实例,系统会为其自动创建一个防护对象。可以将多个防护对象加入一个防护对象组,以便集中管理。
防护模块:WAF提供Web核心防护、API安全、Bot管理等多种防护模块。通过在防护模块中创建防护模板使其生效,建议按实际业务需求启用防护模块。
防护模板:防护模板是防护规则的集合,用于定义具体的规则内容和作用范围。其由以下三部分组成:模板类型、防护规则、生效对象。
模板类型:部分防护模块拥有默认防护模板与自定义防护模板两种模板类型,初始创建的默认防护模板无需设置生效对象,默认对所有与后续新增的防护对象生效。
防护规则:定义具体的检测逻辑和响应措施。
生效对象:指定防护模板的应用目标。通过生效对象设置,将防护规则应用到指定的防护对象或防护对象组。
配置流程
将资源接入WAF后,系统自动生成防护对象。可以前往页面进行查看。
根据业务防护需求,选择合适的防护模块,以自定义规则防护模块为例,需新建防护模板。具体操作,请参见新建防护模板。
新建模板后,需在模板中创建防护规则。具体操作,请参见在防护模板中添加防护规则。
最后,选择防护对象,作为防护模板的生效对象。具体操作,请参见设置防护模板生效对象。
支持的防护模块
不同WAF版本支持的防护模块存在差异,例如包年包月基础版不支持洪峰限流模块,更多差异信息请参考版本说明。
Web 核心防护类-常用
防护模块 | 适用场景与配置建议 | 初始状态 |
基于阿里云安全内置的防护规则集 ,有效防御SQL注入、XSS跨站、代码执行、WebShell上传、命令注入等常见的Web应用攻击。 建议保持默认配置,仅在其出现误拦截时进行调整。 | 存在初始默认防护模板 ,且默认启用,采用拦截模式。 接入WAF的资源默认受到此模块防护,自动拦截攻击请求。 | |
防护规则组(仅限旧版本WAF) 说明 此模块已升级迭代为引擎配置功能,详见【公告】。 | 被Web核心防护规则引用的规则组,建议保持默认配置。 | 存在中等、严格、宽松规则组。默认启用中等规则组。当出现误拦截或漏拦截的请求时,可以手动切换启用的规则组。 |
当您已确定某些IP地址存在频繁的恶意请求时,建议将其加入IP黑名单。 | 无初始防护模板。 | |
当需精确防护特定攻击(如恶意调用、恶意请求、高频扫描)时,可使用自定义规则,通过灵活的匹配条件和规则动作,构建个性化防护策略。 | ||
当检测到攻击源自某一地区,且该地区无正常业务用户时,可一键封禁该区域的所有客户端IP地址。 | ||
通过识别扫描行为和扫描器特征,阻止攻击者或扫描器对站点的大规模扫描行为,缓解被入侵风险和扫描带来的垃圾流量。 | 仅包年包月高级版、企业版及旗舰版存在默认开启的初始默认防护模板。其他版本无初始防护模板。 | |
基于内置的通用CC防护算法,缓解CC攻击。建议搭配使用自定义规则以实现更佳的CC防护效果。 |
Web 核心防护类-其他
防护模块 | 适用场景与配置建议 | 初始状态 |
当请求被WAF拦截时,可以自定义WAF返回给客户端的拦截页面样式和内容。 | 无初始防护模板。 | |
锁定需要保护的网站页面,防止页面被恶意篡改;被锁定的页面在收到请求时,将返回已设置的缓存页面。 | ||
过滤服务器返回内容(异常页面或关键字)中的敏感信息,如身份证号、银行卡号等,进行脱敏显示。 | ||
基于URL、地域等条件设置限流比例或QPS阈值,适用于应对大促活动等流量突增场景,保障源站的可用性。 |
白名单
适用场景与配置建议:设置白名单规则放行特定请求功能模块与其他防护模块不同,用于放行具有指定特征的请求。启用后,符合条件的请求可跳过全部或特定防护模块的检测。建议将已知可信的请求(如运维人员的IP地址)加入白名单。
初始状态:该模块存在初始默认模板(未定义任何规则),且默认处于启用状态。
高级防护功能类
防护模块 | 适用场景与配置建议 | 初始状态 |
当业务依赖大量 API(如 App、小程序后端),且担心未授权访问、敏感数据泄露或内部接口暴露时,建议开通 API 安全,自动梳理 API 资产、识别风险,并提供处置建议与合规参考。 | 不涉及。 | |
自动化工具常引发数据爬取、业务作弊、垃圾注册、恶意秒杀、薅羊毛及短信接口滥刷等问题。开通Bot管理后,可基于流量分析制定精准防护策略,有效保护核心数据资产、降低服务器负载。 | 无初始防护模板。 | |
支持特定时间段的重大活动安全保障,提供更加精准和定制化的防御模式。 | ||
当 AI 应用面向公网提供服务,且需防范提示词注入、不合规信息生成时,建议开通 AI 应用防护,自动识别高风险请求、阻断攻击行为,保障模型输出的安全合规。 |
一键关闭WAF防护功能
当需要临时关闭WAF防护时,可以在WAF控制台的防护对象页面中,关闭右上角WAF防护状态开关。如下图所示。
当开关关闭时,接入网站的流量会临时绕行WAF防护引擎,并不再记录日志。在完成应急测试等需要临时关闭WAF的操作后,推荐尽快打开此开关,减少您资产的暴露风险。
计费提示:对于按量付费版WAF,关闭此开关后仍会收取功能费、基础流量费及API安全流量费(若已启用API安全)。
API安全说明:API安全模块的检测流程不受此开关影响。
不支持的功能:通过云产品接入方式接入的微服务引擎(MSE)与函数计算(FC)实例不支持此功能。对于混合云接入,需要达到指定版本以使用此功能,详情请咨询您的商务经理。
通过模板类型灵活管理多个防护模板
当需要为不同的防护对象配置独立的防护规则时,可以通过在防护模块下定义多个防护模板来实现精细化控制。为了高效管理这些模板,建议您了解两种模板类型:默认防护模板 和 自定义防护模板。
模板类型 | 说明 | 适用场景 |
默认防护模板 |
| 部署通用的、需全局执行的防护规则。 |
自定义防护模板 | 必须手动指定其生效的防护对象或对象组。 | 针对特定业务(如登录、支付接口)部署精细化的防护规则。 |
若某防护对象不在任何模板中(全部模板中均为“未生效”),则意味着其不受WAF防护。
默认防护模板带有
Default标记,无此标记的模板均为自定义防护模板。
支持默认防护模板的防护模块:Web核心防护规则、白名单、IP黑名单、自定义规则、CC防护、自定义响应、扫描防护、区域封禁、洪峰限流。
不支持默认防护模板的防护模块:创建的模板均为自定义模板类型,需要手动指定生效对象。
单防护对象多模板叠加支持
以下防护模块还支持为单个防护对象/对象组关联多个防护模板:
白名单、IP黑名单、自定义规则、Bot管理防护模块、提示词攻击防护。
在这些模块中,为自定义防护模板添加或移除防护对象时,不会影响默认模板的生效范围。
例如,在 Web核心防护规则 等不支持多模板叠加的模块中,若将某对象关联到自定义模板,则其将自动从默认模板中移除。
示例一:Web核心防护规则仅观察新接入的防护对象
以Web 核心防护规则模块为例:该模块拥有初始默认防护模板(规则动作为拦截),直接应用于所有新接入WAF防护的对象。
若希望对后续新接入WAF的对象仅采用观察模式(不拦截攻击请求,只记录请求命中了规则),而对已接入WAF的对象采用拦截模式,则可以按以下方式配置。
将默认防护模板的规则动作设置为观察。
新建一个Web核心防护规则模板(自定义防护模板),将该模板的规则动作设置为拦截,并将生效对象设置为已接入WAF防护的所有防护对象。
示例二:为某防护对象配置个性化白名单
以白名单模块为例:该模块拥有初始默认防护模板(未定义任何规则)。防护模板默认启用。
若希望对所有接入WAF的防护对象配置白名单规则,放行IP1,且某一防护对象不仅要放行IP1,还需要放行IP2,则可以按以下方式配置。
在默认模板中设置规则,放行
IP1,所有防护对象/组默认勾选为生效。新建一个白名单模板(自定义防护模板),放行
IP2,并将生效对象设置为某特定的防护对象。
常见问题
什么时候需要手动配置防护对象?
在以下情况下,需手动配置防护对象:
使用云产品接入,且多个域名解析指向了同一个云产品实例时,若希望单独为这些域名配置不同的防护规则,须手动将各域名添加为防护对象,详细信息,请参见手动添加防护对象。
需修改WAF下发cookie,WAF解码,账号提取等高级功能时,需手动配置防护对象,详细信息,请参见管理防护对象。
如何查看防护是否生效?(查看防护对象生效的防护模块)
前往防护对象页面,单击目标对象名称操作列的查看防护规则,在Web 核心防护页面,查看防护对象已配置的防护规则。若Web 核心防护页面未出现配置的防护模板,说明配置未生效,需重新检查防护模板生效对象。
正常的业务请求被误拦截了怎么办?
前往页面,根据请求时间、客户端IP或访问URL等信息进行搜索排查,确定请求命中的防护模块与规则。
若确定为误报,可以前往页面下方日志列表区域,定位到具体的请求后,单击操作列的误报屏蔽,创建白名单规则。
