风险识别

配置项

说明

账号提取

可自定义配置账号类型和账号位置。最多添加五个条件，条件之间为或关系。

账号提取：如果登录请求的请求方法是GET，同时请求参数为username=158***&password=***，则在账号位置选择Query参数，在参数名称处填写username, WAF即可提取手机号信息进行后续匹配。

风险标签

• 疑似小号：疑似第三方平台提供手机号，非个人用户，默认为高风险。

• 诈骗风险：疑似历史上存在欺诈行为，默认为高风险。

• 垃圾注册：疑似使用非法工具进行用户注册，用于后续的营销活动等，默认为高风险。

• 营销作弊：疑似使用非法工具参与营销活动，如批量注册领取优惠券等，默认为高风险。

• 黄牛账号：疑似使用非法工具参与抢票或其他秒杀类活动，默认为高风险。

风险等级分为高风险、中高风险、中风险，可根据业务需求自由选择。

规则分类

疑似BOT：存在部分爬虫表征，但缺乏直接证据（如攻击痕迹或明确意图），需进一步验证其意图。

恶意BOT：以非法目的为主导，通过自动化手段对目标系统或网络发起攻击、窃取数据或执行恶意操作的自动化程序。

处置动作

• 拦截：表示拦截命中规则的请求，并向发起请求的客户端返回拦截响应页面。

  说明

  WAF默认使用统一的拦截响应页面，您可以通过自定义响应功能，自定义拦截响应页面。更多信息，请参见设置自定义响应规则配置拦截响应页面。

• 观察：表示不拦截命中规则的请求，只通过日志记录请求命中了规则。您可以通过WAF日志，查询命中当前规则的请求，分析规则的防护效果（例如，是否有误拦截等）。

  观察模式方便您试运行首次配置的规则，待确认规则没有产生误拦截后，再将规则设置为其他处置动作模式。

• JS验证：表示WAF向客户端返回一段正常浏览器可以自动执行的JavaScript代码。如果客户端正常执行了JavaScript代码，则WAF在一段时间（默认30分钟）内放行该客户端的所有请求（不需要重复验证），否则拦截请求。

  说明

  启用Bot-App端的风险识别功能后，将无法选择JS验证作为处置方案。

• 滑块：表示WAF向客户端返回滑动验证页面。如果客户端成功执行滑动验证，则WAF在一段时间（默认30分钟）内放行该客户端的所有请求（不需要重复验证），否则拦截请求。

• 严格滑块：表示WAF向客户端返回滑动验证页面。如果客户端成功执行滑动验证，则WAF放行本次请求，否则拦截请求。严格滑块验证模式下，客户端的每次请求都需要验证。

• 回源标记：表示客户可以自定义Header名称及内容（规则类型、规则ID、网页端UMID），WAF不会直接处理，而是会通过新增Header的方式将命中信息返回给源站，客户可以与后端风控系统结合做业务侧处理。

规则灰度

配置规则是针对不同维度的对象的生效比例。

开启规则灰度后，您还需要设置灰度维度和灰度比例。灰度维度包括：IP、自定义Header、自定义参数、自定义Cookie、Session、网页端UMID。

生效模式

• 永久生效（默认）：防护模板开启时，规则永久生效。

• 按时间段生效：为防止更新的防护规则在活动前被攻击者识别和破解，通常选择在活动开始时生效新规则。您可以将具体某一时区的一段时间设置为防护规则的生效时间。

• 按周期生效：适用于周期性活动，需在活动期间启用更严格的防护规则，其他时间则使用较宽松的规则；或在低流量时段下发新规则以验证其效果和误报风险。您可以将具体某一时区的每一天的一段时间设置为防护规则的生效时间。