应用场景

攻击者经常会采用SQL注入、XSS跨站、Webshell上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等Web攻击手段对网站进行攻击。您的网站接入WAF后，可以通过配置对应的WAF漏洞防护集合规则来抵御这些Web应用类型攻击。

如何配置防护策略

网站接入Web应用防火墙（边缘云版）时，Web应用防火墙（边缘云版）会根据您选择的防护等级和开发语言等选项自动为您选择合适的漏洞防护规则集合，Web应用防火墙（边缘云版）根据不同的漏洞防护规则集合提供不同程度的Web防护效果。每种漏洞集合针对不同的场景进行Web防护，减少正常请求的误报漏报，提高在您选择的场景下的拦截非法请求的成功率。

默认提供七种防护规则集合：

全量防护规则：适用于重保等级高，且允许一定程度误报的业务场景。该漏洞规则集防护包含全量规则，绝大部分规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截）。
敏感防护规则集：适用于常规网站，且允许少量误报的业务场景。该漏洞规则集防护等级较为严格，容易误报的规则处理动作为告警，其他规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截），存在一定误报可能性。
宽松防护规则集：适用于常规网站，允许存在一定漏报的业务场景。该漏洞规则集防护等级较为宽松，关闭容易产生误报的规则，可能存在一定漏报。
PHP防护规则集：适用于后台开发语言为PHP的网站业务。该漏洞规则集主要针对后台语言为PHP进行制定，关闭其他容易产生误报的规则。
JAVA防护规则集：适用于后台开发语言为JAVA的网站业务。该漏洞规则集主要针对后台语言为JAVA进行制定，关闭其他容易产生误报的规则。
非PHP和JAVA防护集：适用于后台开发语言明确非PHP和JAVA网站业务。该漏洞规则集主要针对后台语言为非PHP和JAVA进行制定，关闭其他容易产生误报的规则。
下载类业务规则集：适用于下载类业务，即包含zip、rar、tar、gz等下载类后缀的业务网站。该漏洞规则集主要针对下载类业务进行设定规则，关闭其他容易产生误报的规则。

关于域名规则开关的选项说明：

关闭：关闭规则防护，不会对Web攻击进行有效拦截和记录。
告警：Web应用防火墙（边缘云版）不会拦截任何Web攻击，仅会根据域名规则匹配到的Web攻击记录到攻击日志。
拦截：Web应用防火墙（边缘云版）会根据域名规则内容匹配，如果请求与域名规则匹配上会拦截请求，并记录到攻击日志中。

需要注意的是，Web应用防火墙（边缘云版）防护引擎是否会根据防护规则对攻击进行拦截，受防护总开关和域名规则开关的影响，仅在域名防护总开关与域名规则开关均为开启时生效。当您需要Web应用防火墙（边缘云版）根据防护规则及时拦截Web应用攻击时，您需要在“安全基础配置”页面设置防护模式为开启，处理动作修改为拦截，并且在“域名规则”页面将域名规则开关设置成拦截。

防护模式和处理动作配置如下图：

域名规则开关如下图：

当您需要修改某个域名子规则的处理动作，例如域名子规则5111的处理动作由告警修改为拦截状态时，可以通过提交工单，联系天翼云安全专家进行处理，联系方式见服务保障。除了控制全量域名规则的开关，您还可以根据您网站特性，选择一些误报率较高的域名规则进行关闭，减少误报率，如下图：

使用建议：

如果您对您的域名并不熟悉，不熟悉域名的带宽、流量信息、遭受攻击数量等情况时，建议您在域名接入配置时选择监控模式（推荐模式），或者在网站防护模式中选择告警模式，先观察一段时间（推荐两周）的流量、攻击特征，收集到一定的域名信息特征和攻击日志后结合业务场景选择是否切换到拦截模式。

您可以分析根据以下情况进行调整：

如果攻击日志中未发现正常的业务请求被误拦截，攻击日志内容中记录的都是非法请求的情况下，建议您将域名总开关、域名规则开关均切换到拦截模式，开始对您的网站进行域名规则防护。
如果发现攻击日志中存在正常业务流量日志内容，如果您有一定的网站安全基础，您可以手动配置访问控制、关闭误拦截的域名规则等方式减少误报，再切换至拦截模式。
如果发现攻击日志中存在正常业务流量日志内容，您也可以联系天翼云安全专家沟通具体的解决方案，联系方式见服务保障。

域名的业务请求中应当注意内容：

在常规的业务请求中，尽量不要直接以原始SQL语句、代码作为参数进行传递，可能会遭受到攻击篡改和域名规则的误拦截，比如/ap1/v1/update?content=select * from t where
在常规的业务请求中，要注意不要泄露服务器敏感信息(比如直接将含有数据库连接的错误堆栈内容返回浏览器)。服务器敏感信息泄露可能会被攻击者获取用于入侵，同时有服务器敏感信息泄露风险的请求也很可能被WAF拦截。