网站接入WAF实例后，您可以按照以下推荐防护模块对已接入的网站进行防护策略配置。

Web基础防护

一般情况下，建议选用“拦截”模式，并选用“正常规则组”防护策略。

• 防护规则组：可选择宽松规则组、正常规则组、严格规则组。

  • 正常规则组：中等宽松规则组，该规则组综合考虑误报和漏报策略检测情况，选择均衡的规则策略进行匹配，一般情况下，该种策略为默认推荐规则，建议用户选择正常策略。
  • 宽松规则组：该规则组更关注精准攻击拦截度，对于疑似攻击行为的访问请求将会认定为安全从而放行，如需减少误拦截，可选用该规则组。
  • 严格规则组：该规则组关注攻击拦截的覆盖程度，会全面拦截攻击和疑似攻击行为，如需尽可能保证业务的安全性，可选用该规则组。

• 处置动作：可选择拦截、观察两种动作。

  • 拦截：将会拦截掉所有攻击行为，并产生告警拦截日志。
  • 观察：会放行所有攻击行为，但会产生告警日志。

说明
业务接入WAF防护一段时间后（一般为2~3天），如果出现网站业务的正常请求被WAF误拦截的情况，您可以通过设置自定义规则组的方式提升Web防护效果。相关操作，请参见自定义防护规则组，提升Web攻击防护效果。

CC防护

业务正常运行时，建议采用“常规”防护模式。

由于CC防护的“紧急”防护模式可能产生一定量的误拦截，如果您的业务为App业务或Web API服务，不建议您开启“紧急”防护模式。如果使用CC安全防护的正常模式仍发现误拦截现象，建议您使用“精准访问控制”功能放行特定类型请求。

说明
业务接入WAF防护一段时间后（一般为2-3天），可以通过分析业务日志数据（例如，访问URL、单个IP访问QPS情况等）评估单个IP的请求QPS峰值，提前通过自定义CC防护策略配置限速策略，避免遭受攻击后的被动响应和临时策略配置。

BOT防护

当您的业务经常受到爬虫骚扰或面临数据泄露、被篡改的风险，针对防护需求，建议您为网站开启BOT防护功能。BOT防护设置支持公开类型、自定义会话策略两大类防护策略。

• 公开类型：云WAF提供已知公开的BOT大类，包括Web爬虫、扫描器、语言库等爬虫类型，用户可以根据自身需求对公开BOT类型设置防护状态及防护动作，WAF将对命中公开类型的BOT请求进行相应处理。
• 自定义会话策略：提供自定义协议特征、自定义会话特征两类防护策略，每种类型特征包含多个判定维度，用户可以根据实际业务情况设置协议特征规则状态、自定义会话策略，WAF将对命中防护策略的请求进行处理。

精准访问控制

当攻击源IP比较分散时，可以通过分析防护事件日志，使用精准访问控制提供的丰富字段和逻辑条件组合，灵活配置访问控制策略实现精准防护，有效降低误拦截。

• 支持URL、Cookie、Referer、User、Agent、Params、Header等HTTP常见参数和字段的条件组合。
• 支持包含、等于、大于等于、小于等于、正则匹配等逻辑条件，设置阻断或放行等策略。

说明
当您配置了自定义CC防护，其可能会产生误拦截，建议您通过防护事件日志分析找出攻击特征，配合使用精准访问防护策略实现精准拦截。
支持对创建的规则设置失效时间及优先级。

IP黑白名单

您可以将网站业务已有信任的访问客户端（例如，监控系统、通过内部固定IP或IP段调用的API接口、固定的程序客户端请求等），设置成IP白名单；同时可封禁与业务不相关的IP地址和地址段。

说明
支持添加IPv4、IPv6地址，支持添加IP地址段；支持对创建的规则设置失效时间。
IP黑白名单模块的防护检测逻辑优先级高于其他防护模块，IP黑白名单内部检测逻辑，白名单高于黑名单。

地域访问控制

地域访问控制支持针对地理位置的黑名单封禁，可指定需要封禁的国家、地区，阻断该区域的来源IP的访问。

说明
支持封禁境内、境外的地域。
支持针对创建的防护规则定义失效时间。

以上配置完成后，建议您进行配置准确性检查和验证测试，检查项包括域名是否填写正确、是否备案、接入配置协议/端口是否与实际一致、WAF前是否有配置其他代理、源站填写的IP是否是真实的服务器IP、回源算法是否与预期一致、证书信息是否准确上传、证书是否合法完整等。

所有的检测测试均通过后，再进行逐个域名修改DNS解析记录，将网站业务流量切换至WAF，避免业务异常。