策略配置

在配置 Web 应用程序防火墙 (WAF) 策略之前，必须先创建 WAF 策略。

创建 WAF 策略

1. 在左侧导航面板上，单击配置。
2. 从可用功能列表中选择策略。
3. 单击“创建策略”按钮。
4. 提供策略名称，然后确保您选择了 WAF 配置文件。
5. 选中复选标记可将 WAF 配置文件应用于策略。
   1. 或者，您可以在 URL 查询和发布表单正文中启用分号字段分隔符，这仅表示分号 (;) 用于分隔多个字段。
6. 计数器措施部分提供了常用保护类型和方法的列表，供用户选择。展开每个机器人防护技术度量以配置所需的值。每个机器人防护技术措施都可以设置为以下状态之一。
   1. 绕过/无 — 不执行任何操作。
   2. 阻止 — 一旦达到阈值限制，违规流量将被阻止。
   3. 日志 — 一个或多个请求或违规不会被阻止，但会记录详细信息以供审查。
   4. 阻止和记录 — 阻止一个或多个请求并存储详细信息。
7. 某些 对策提供了学习和放松规则。
   1. 放宽规则 — 您可以手动输入允许符合条件的流量通过的值。如果启用了学习，则可以单击条目的 +（加号），将其直接应用于放宽规则。
   2. 学习 — 在开始捕获数据之前，必须为每个 bot 保护技术措施启用学习。主动监控流量后，将返回阻止规则的列表，您可以查看这些规则的准确性。
8. 要配置放宽规则，请单击“添加”，然后填写弹出窗口中显示的字段。
9. 单击“提交”。
   1. 名称 — 为已配置的放宽规则提供一个名称。
   2. 已启用 - 设置为“开”或“关”。
   3. 为名称正则表达式 - 设置为“开”或“关”。
   4. URL — 提供允许的 URL。
   5. 位置 — 从下拉菜单中选择
      1. cookie
      2. 表单字段，
      3. 标头。
10. 值类型 — 从下拉菜单中选择 1. 关键字 1. 特殊字符串， 1. Wildchar。
    1. 值表达式正则表达式-设置为 ON 或 OFF 吗？
    2. 值表达式 — 提供规则的值表达式。
11. 要启用学习，请选择所需配置的开/关选项。
12. 单击保存。

配置响应程序策略

响应程序策略部分为客户提供了更大的灵活性，但确实需要更详细、更深入地了解您的流量配置才能正确使用和整合。但是，如果使用得当，响应程序策略可以检查任何字段（值）和操作数，然后运行选定的操作。

1. 在“策略配置”屏幕中，选择“响应程序策略”选项卡。
2. 单击“开始”按钮以添加响应程序策略。
3. 为策略提供一个名称。
4. 从下拉菜单中选择操作类型。
   1. 删除
   2. 日志
   3. 重定向到
   4. 回复方式
5. “响应”字段将由您选择的操作决定。
   1. 掉落。当流量被丢弃时，响应为 N/A。
   2. 日志。响应为 N/A，因为流量存储在日志文件中。
   3. 重定向到。提供要重定向的 URL。URL 必须以反斜杠 (/) 开头。
   4. 回应。提供要为响应显示的文本。
6. 选择“匹配”部分旁边的箭头，为您的策略配置精确的规范。填写以下字段
   1. 字段。从选项的下拉列表中选择字段类型。
   2. 操作数。从下拉菜单中选择字段的操作数类型。
   3. 值。提供与“字段”和“操作数”组合关联的值。
   4. 要选择更多匹配条件，请单击加号图标。
7. 要添加更多响应方策略，请单击加号图标。这样做会增加每个已配置策略左上角的响应程序策略编号。此外，如果您使用多个规则，则所有规则都必须通过/匹配，然后才能采取关联的操作。
8. 单击保存。

网络控制

该策略的“网络控制”部分允许按国家/地区类型对流量进行地理 (GEO) 封锁。但是，如果您想封锁整个国家/地区，但允许特定 IP 地址通过，则可以将网络控制配置为这样做。 单击“添加”按钮以指示是否应阻止或允许 IP/CIDR 地址。完成后单击“提交”按钮。

该策略的“网络控制”部分允许按国家/地区类型对流量进行地理 (GEO) 封锁。但是，如果您想封锁某个国家/地区但允许特定 IP 地址通过，则可以将网络控制配置为这样做。

1. 在“策略配置”屏幕中，选择“网络控制”选项卡。
2. 单击“添加”按钮以配置要阻止或允许通过的 IP 地址
3. 提供 IP 地址，然后选择未阻止（允许 IP 地址通过）或 阻止（阻止来自该 IP 地址的所有通信）。完成后单击“提交”按钮
4. 要选择要阻止流量的整个国家/地区，请单击“封锁的国家/地区”下拉菜单中的。选择要屏蔽流量的所有国家/地区。完成选择后，从下拉菜单中单击
5. 要允许列出来自封锁国家/地区的 IP 地址，请先选择要阻止的国家/地区，然后添加该国家/地区允许通过的 IP 地址，然后选择“未阻止”选项。允许列表操作发生在应用封禁操作之前。
6. 单击保存。

警报阈值

“警报阈值”部分允许您配置阈值，一旦达到该阈值，将针对已配置的规则发生的违规发送警报。 要配置警报阈值，请单击“添加”按钮。从下拉菜单中选择维度，然后配置相应的字段。

为了进一步澄清，只有在指定的时间范围内超过发生计数后，才会发送警报。例如，如果发生率为 3，时间段为 60 秒，则在 60 秒的时间段内发生第四次违规之前不会发送警报。

此时将出现一个弹出式帮助窗口，其中包含下拉菜单中选定维度的说明。

“警报阈值”部分允许您定义在发送与所配置规则相关的违规的警报之前必须达到的阈值。 警报阈值由维度、KEY 和指定的计数或数量设置。阈值警报可以同步到 SLACK，通过直接提供指向门户网站警报页面的链接，并以电子邮件形式发送。警报通知也将显示在用户界面门户的铃铛（通知）图标下。 值得注意的是，警报阈值也是根据机器人保护技术措施在 WAF 配置文件 部分设置的。

1. 在“策略配置”窗口中，选择“警报阈值”选项卡。
2. 单击添加。

3. 从下拉菜单选项列表中选择维度。每个尺寸选择都在弹出窗口的顶部提供简要说明。

   1. 更多字段由您选择的维度类型决定。
4. 填写基于所选维度类型出现的任何其他字段。
5. 选择出现次数。这决定了发生违规时必须达到的阈值限制以及要发送的通知。
6. 默认情况下，时间帧保持在 60 秒。
7. 完成应用程序安全阈值的自定义后，单击“提交”按钮。
8. 添加完警报阈值后，单击“保存”按钮

可信来源

“可信来源”部分有助于配置可可靠地用于学习流量数据的 IP 列表，并生成放松建议。如果未配置 Trusted Sources，则来自所有来源的流量都将用于学习，但不会提供适当的放松建议。

1. 单击“添加”以配置新的可信源。选择是否要启用“可信源”，然后提供 IP 地址/CIDR。“描述”字段是可选字段，可使用自由文本进行填充。
2. 完成后单击“提交”。
3. 单击保存。

资产

“资产”选项卡显示此策略当前分配到的任何资产。如果存在任何关联的资产，您可以将其移除，这将导致每个资产都经历一个置备流程，在此过程中，规则和配置可能会被暂时禁用。

如果没有资产与您的策略关联，“关联资产”下拉菜单将显示“0 Selected”。选择要与您的保单关联的资产。

要移除关联的资源，请将鼠标悬停在下拉菜单上，然后单击要移除的资源旁边的减号按钮，或者在下拉菜单中单击，然后单击突出显示的资源将其移除。

机器人保护技术测量

计数器措施 部分提供了常用保护类型和方法的列表，供用户选择。

1. 展开每个机器人防护技术度量以配置所需的值。每个机器人防护技术措施都可以设置为以下状态之一。

   1. 绕过/无 — 不采取任何操作。
   2. 阻止 — 一旦达到阈值限制，就会阻止违规通信。
   3. 日志 — 不阻止一个或多个请求或违规，但会记录详细信息以供查看。
   4. 阻止和记录 — 阻止一个或多个请求并记录详细信息。

2. 某些对策提供学习和放松规则。

   1. 放宽规则 — 您可以手动输入允许符合条件的流量通过的值。如果启用了学习，则可以单击条目旁边的+（加号）图标，将其直接应用于放宽规则。
   2. 学习 — 在开始捕获数据之前，必须为每个 bot 保护技术措施启用学习。主动监控流量后，将返回阻止规则的列表，您可以查看这些规则的准确性。
3. 要配置放宽规则，请单击“添加”按钮，然后填写弹出窗口中显示的字段。完成后单击“提交”。
   1. 名称 — 为已配置的放宽规则提供一个名称。
   2. 已启用 - 设置为“开”或“关”。
   3. 为名称正则表达式 - 设置为“开”或“关”。
   4. URL — 提供允许的 URL。
   5. 位置 — 从下拉菜单中选择
      1. cookie
      2. 表单字段，
      3. 标头。
   6. 值类型 — 从下拉菜单中选择
      1. 关键字
      2. 特殊字符串，
      3. Wildchar。
   7. 值表达式是正则表达式 — 设置为 ON 或 OFF
   8. 值表达式 — 提供规则的值表达式。
4. 要启用学习，请选择所需配置的 OFF/ON 选项。
5. 单击保存。

签名

“签名”部分允许您指定特定的可配置规则，以简化保护您的网站免受已知攻击的任务。签名表示一种模式，该模式是对操作系统、Web 服务器、网站、基于 XML 的 Web 服务或其他资源的已知攻击的组成部分。

标准签名

“标准签名”部分显示一组预配置的文字和 Perl 兼容正则表达式 (PCRE) 关键字和特殊字符串，用于防范常见 Web 漏洞。这些已配置的签名无法编辑，因为它们是我们的默认配置。

1. 选择“签名”选项卡，然后选择“标准签名”选项。
2. “已配置的签名”部分显示已选择或添加到您当前正在查看或创建的 WAF 配置文件策略中的所有签名。
   1. 对于新策略，此部分为空。
3. 在“签名池”部分中，您可以看到我们为您创建的预配置签名列表。您可以使用箭头或页码选项查看更多签名；如果要查找特定的签名，则可以使用“筛选”选项。
   1. 筛选器选项在每个字段（ID、类别、描述、参考文献）中搜索您的条件，并相应地返回结果。
4. 单击“查看” 图标可查看签名池的简要概述，或单击“添加 以将签名池添加到已配置的签名”部分。
5. 添加所需的签名后，单击“保存”按钮

自定义签名

“自定义签名”部分允许您创建自定义签名以防范攻击和漏洞。

1. 选择“自定义签名”。
2. 单击添加。
3. 选择签名的操作类型。
   1. 封锁和日志
   2. 日志
   3. 无
4. 提供签名的类别类型。
5. 提供自定义签名的描述
6. （可选）您可以配置请求规则和/或响应规则。
   1. 请求规则只检查请求，响应规则只检查响应。
7. 对于“请求规则”，单击“开始”按钮，然后从下拉菜单中选择“区域”类型。这决定了您需要填写的其他字段。
   1. 您可以单击加号图标添加另一行或条目，或单击减号图标删除所选行
8. 对于“响应规则”，单击“开始”，然后从下拉菜单中选择“区域”类型。这决定了您需要填写的其他字段。
   1. 您可以单击加号图标添加另一行或条目，或单击减号图标删除所选行。
9. 要取消创建请求或响应规则，请单击“响应规则”旁边的“允许 X”，将其从自定义签名中删除。
10. 完成签名配置后，单击“提交”按钮。
11. 完成 WAF 配置文件策略的配置后，单击“保存”按钮

将 CWAAP 配置文件与资产关联

创建 CWAAP 配置文件后，下一步就是将其应用于资产，以便您的配置生效。

1. 在左侧导航菜单的“配置”部分中，选择“资产”。
2. 为要向其添加策略的资产选择铅笔图标。如果您尚未创建资产，请参阅我们的关于如何创建资源的指南。
3. 选择策略选项卡。
4. 从下拉菜单中，选择新创建的策略名称。 a. 如果您没有看到列出的策略名称，请刷新并重试，因为置备期可能需要几分钟。
5. 单击“保存”按钮。

将 CWAAP 策略应用于策略后，请等待几分钟时间进行配置。

编辑 WAF 策略

创建策略后，您可以轻松地编辑任何现有配置。但是，对已与资产关联的策略的更改会导致出现预配期，这可能会对您的流量配置产生暂时影响。

1. 从左侧导航菜单的“配置”部分中，选择“策略”。
2. 单击要编辑的策略旁边的铅笔图标。
3. 浏览每个“策略配置”选项卡以进行更改，然后在任意/所有选项卡上进行更改后单击“ 保存”按钮。

删除 WAF 策略

如果您需要从资产中移除 CWAAP 策略，可以通过多种方式完成此操作。

注意：

1. 从左侧导航菜单的“配置”部分中，选择“策略”。
2. 单击要删除的策略旁边的铅笔图标。
3. 单击删除。

取消资产与 WAF 保单的关联

在该策略中，您可以取消关联分配策略的资产，或禁用 WAF 配置文件。

1. 从左侧导航菜单的“配置”部分中，选择“策略”。
2. 单击 铅笔 图标编辑策略。
3. 在“WAF 配置文件”选项卡上，清除“将 WAF 配置文件应用到策略”下的复选框“要忽略的部分。这将禁用 WAF 配置文件。

或

1. 在“策略配置”屏幕中，选择“资产”选项卡。
2. 选择减号图标可移除选定资源。
3. 单击保存。

编辑资产

在“资产”部分中，您可以编辑选定的资产并移除策略。

1. 在左侧导航菜单的“配置”部分中，选择“资产”。
2. 单击要编辑的资源旁边的 铅笔 图标。
3. 选择“策略”选项卡。
4. 将鼠标悬停在下拉菜单上，然后单击 减号 图标以移除关联的策略。
5. 单击保存。