如何将网站接入WAF并配置防护策略进行日常运维

域名接入配置。

根据您的业务场景，参考以下接入配置指导，将您的网站域名接入WAF：

单独使用WAF配置指导

同时部署WAF和DDoS高防配置指导

同时部署WAF和CDN配置指导

如果在添加域名配置时，提示您配置的域名已被其他用户使用，建议您检查是否已在其他阿里云账号的WAF实例中添加与该域名冲突的配置记录。如果确实存在，您需要删除造成冲突的域名配置记录后再进行配置。

源站保护配置：

源站保护：为避免恶意攻击者绕过WAF直接攻击或入侵源站服务器，建议您完成源站保护配置。更多信息，请参见源站保护。

标记WAF回源流量：将网站域名接入WAF进行防护后，您可以为网站域名设置流量标记（相关操作，请参见设置流量标记）。通过设置流量标记的方式，方便地标识经过WAF转发的流量，从而实现精准的源站保护（访问控制）、防护效果分析，有效防止流量绕过WAF请求源站。

如果您接入WAF的网站域名的业务源站使用的是Windows IIS Web服务，在配置HTTPS域名时，IIS默认会启用需要服务器名称指示（即SNI）。这种情况下，在将域名接入WAF后可能会出现访问空白页502的错误信息，您只需禁用该配置选项即可解决该问题。

防护策略配置。

参考以下推荐防护配置对已接入的网站业务进行防护：

规则防护引擎

一般情况下，建议选用拦截模式，并选用中等规则组防护策略。

业务接入WAF防护一段时间后（一般为2~3天），如果出现网站业务的正常请求被WAF误拦截的情况，您可以通过设置自定义规则组的方式提升Web防护效果。相关操作，请参见使用自定义规则组提升Web攻击防护效果。

CC安全防护

业务正常运行时，建议采用系统默认配置。

由于CC防护的防护-紧急模式可能产生一定量的误拦截，如果您的业务为App业务或Web API服务，不建议您开启防护-紧急模式。如果使用CC安全防护的正常模式仍发现误拦截现象，建议您使用精准访问控制功能放行特定类型请求。

业务接入WAF防护一段时间后（一般为2-3天），可以通过分析业务日志数据（例如，访问URL、单个IP访问QPS情况等）评估单个IP的请求QPS峰值，提前通过自定义CC攻击防护配置限速策略，避免遭受攻击后的被动响应和临时策略配置。

当您的网站遭受大量CC攻击时，建议您开通日志服务功能。通过访问日志分析，发现恶意访问请求的特征，然后结合以下WAF的安全防护功能进行联合防御：

自定义CC攻击防护：针对URL设置灵活的限速策略，有效缓解CC攻击（HTTP Flood）带来的业务影响。

自定义CC攻击防护的限速策略可能产生误拦截，建议您通过深度日志分析找出攻击特征，配置精准访问控制策略实现精准拦截。

自定义ACL访问控制：当攻击源IP比较分散时，可以通过分析访问日志，使用精准访问控制提供的丰富字段和逻辑条件组合，灵活配置访问控制策略实现精准防护，有效降低误拦截。

支持IP、URL、Referer、User Agent、Params、Header等HTTP常见参数和字段的条件组合。

支持包含、不包含、等于、不等于、前缀为、前缀不为等逻辑条件，设置阻断或放行策略。

地域级IP黑名单：针对全球来源IP地理位置进行自定义地域访问控制。您可以根据业务的用户分布情况，屏蔽不需要的访问来源地区。

数据风控：通过风险决策引擎和人机识别算法，有效识别和拦截欺诈行为。

数据风控功能目前仅适用于网页/H5环境。

一般来说，功能性页面遭恶意被刷的风险较低，可不配置数据风控策略。而对于注册、登录、密码找回、营销活动类等静态页面，建议您根据防护需求配置数据风控，有效识别和拦截欺诈行为。

配置完成后，务必进行兼容性和业务可用性测试，避免数据风控策略配置对正常业务造成影响。

部分页面前端代码与数据风控的JavaScript脚本可能存在兼容性问题。如果遇到此类问题，建议您使用指定页面插入JS功能，并在测试通过后开启防护，避免影响正常业务。如果您仍然无法解决，可以联系阿里云技术支持获得帮助。

日志功能

根据您的业务和预算情况，选择启用日志服务功能。开通日志服务功能，可记录更多详细的原始日志信息，同时实现更灵活的访问日志自定义分析，发现恶意请求特征。更多信息，请参见概述。

监控告警

根据您的业务情况，为网站业务设置具体的QPS、4XX、5XX告警触发阈值。通过配置WAF告警监控功能，实时感知攻击事件。更多信息，请参见配置云监控通知。

本地测试。

完成上述WAF配置后，建议您进行配置准确性检查和验证测试。

您可以通过修改本地系统Hosts文件方式进行测试。相关操作，请参见本地验证。

编号

检查项

是否必检

1

接入配置域名是否填写正确

是

2

域名是否备案

是

3

接入配置协议是否与实际协议一致

是

4

接入配置端口是否与实际提供的服务端口一致

是

5

WAF前是否有配置其他七层代理（例如，DDoS高防、CDN等）

是

6

源站填写的IP是否是真实服务器IP，而不是错误地填写了高防IP或其他服务IP

是

7

回源算法是否与预期一致

否，建议检查

8

证书信息是否正确上传

是

9

证书是否合法（例如，加密算法不合规、错误上传其他域名的证书等）

是

10

证书链是否完整

是

11

是否配置流量标记

否，建议检查

12

告警监控配置

否，建议检查

13

是否已了解按量计费实例的计费方式

仅适用于按量计费WAF实例。

是

编号

检查项

是否必检

1

测试业务（包括Web、App客户端、Windows客户端、Linux客户端、其他环境的客户端）是否能够正常访问

是

2

测试业务登录会话保持功能是否正常

是

3

观察业务返回4XX和5XX响应码的次数，确保回源IP未被拦截

是

4

对于App业务，检查是否存在SNI问题

是

5

是否配置后端真实服务器获取真实源IP

否，建议检查

6

是否配置源站保护，防止攻击者绕过WAF直接入侵源站

否，建议检查

正式切换业务流量。

必要测试项均检测通过后，建议采用灰度的方式逐个域名修改DNS解析记录，将网站业务流量切换至Web应用防火墙，避免批量操作导致业务异常。修改DNS解析记录后，需要10分钟左右生效。如果切换流量过程中出现异常，请快速恢复DNS解析记录。

真实业务流量切换后，您需要再次根据上述业务可用性验证项进行测试，确保网站业务正常运行。

日常运维。

您可以参考以下最佳实践根据所需防护的具体场景，进一步配置具有针对性的防护策略：

规则防护引擎最佳实践

CC攻击防护最佳实践

如果您使用的是按量计费WAF实例，请仔细阅读WAF按量计费实例计费方式（具体内容，请参见计费说明），避免出现实际产生的费用超出预算的情况。

为避免WAF实例遭受大量DDoS攻击触发黑洞策略，导致网站业务无法访问的情况，建议您根据实际情况选择DDoS原生防护或DDoS高防产品，防御DDoS攻击。更多信息，请参见什么是DDoS原生防护、什么是DDoS高防（新BGP&国际）。

如果出现业务访问延时或丢包的问题，参考以下建议变更部署方式：

针对源站服务器在地区非中国内地、WAF实例为中国内地地区、主要访问用户来自中国内地的情况，如果用户访问网站时存在延时高、丢包等现象，可能是由于回源网络链路问题，推荐您将源站服务器部署在中国内地。

针对源站服务器在非中国内地、WAF实例为非中国内地、主要访问用户来自中国内地的情况，如果用户访问网站时存在延时高、丢包等现象，可能存在跨网络运营商导致的访问链路不稳定，推荐您使用中国内地的WAF实例。

如果需要删除已防护的域名配置记录，确认网站业务是否已正式接入WAF。

如果尚未正式切换业务流量，直接在Web应用防火墙管理控制台中删除域名配置记录即可。

如果已完成业务流量切换，删除域名配置前务必前往域名DNS解析服务控制台，修改域名解析记录将业务流量切换回源站服务器。

删除域名配置前，请务必确认域名的DNS解析已经切换至源站服务器。

删除域名配置后，WAF将无法再为您的域名提供专业级安全防护。