全部產品
Search

搜尋本產品

    :邊緣WAF防護(舊版)

    文件中心

    :邊緣WAF防護(舊版)

    更新時間:Dec 19, 2025

    DCDN結合邊緣Web Application FirewallWAF(Web Application Firewall)能力,在DCDN節點上提供WAF防護功能,可以有效識別業務流量惡意特徵,將正常、安全的流量回源到伺服器。避免網站伺服器被惡意入侵,保障業務的核心資料安全,解決因惡意攻擊導致的伺服器效能異常問題。

    重要

    舊版WAF存在部分請求漏攔截的問題,如果您有該功能的需求,建議您升級到ESA邊緣安全加速服務邊緣安全加速 ESAWAF防護,在全站加速DCDN的WAF基礎上,提供更好的防護效果。

    重要

    • 當前邊緣WAF和WebSocket協議不相容,無法同時開啟。

    • WAF主要保護您的來源站點不被入侵,但無法防止您的DCDN網域名稱被惡意使用者盜刷流量。每個訪問您網域名稱的請求都將進入WAF引擎檢測,因此無論最終對請求是攔截還是觀察,請求都將被計費。

      如果您的網域名稱有被盜刷流量的風險,不建議使用全站加速服務。您也可以通過阿里雲監控服務的雲產品監控配置頻寬/QPS的閾值警示,有流量異常波動時及時停用全站加速服務。

    前提條件

    您已經升級了全站加速至全站加速(安全版)。如何升級,請參見開通全站加速(安全版)

    功能說明

    阿里雲DCDN的WAF功能,是指DCDN融合了WAF能力,在DCDN節點上提供WAF防護功能。WAF防護具體功能,請參見什麼是Web Application Firewall

    支援的功能如下表所示,單擊下錶鏈接即可查看詳細功能介紹。

    功能項

    企業版

    Web掃描防護

    支援

    帳號安全

    支援

    CC攻擊防護

    支援

    海量IP黑名單封鎖

    支援

    Rate Limit

    支援

    爬蟲情報庫

    支援

    驗證碼整合

    支援

    爬蟲智能演算法

    支援

    基礎Web攻擊防護

    支援

    0 DAY規則更新防護

    支援

    預警|阻斷模式

    支援

    解碼防混淆編碼繞過

    支援

    規則群組自訂

    支援

    HTTP欄位存取控制

    支援

    Log Service

    支援(3T)

    配置WAF防護(單個網域名稱)

    1. 登入DCDN控制台

    2. 在左側導覽列,單擊域名管理

    3. 域名管理頁面,找到目標網域名稱,單擊操作列的配置

    4. 單擊安全設定,選擇WAF防護頁簽。

    5. 開啟WAF防護-中國大陸WAF防護-海外地區開關。

    6. 配置防護。

      1. 單擊修改配置

      2. 根據業務需求和頁面提示,添加網站防護配置(例如Web安全、Bot管理等)。

    配置WAF防護(多個網域名稱)

    1. 登入DCDN控制台

    2. 在左側導覽列,選擇WAF防護 > 組態管理

    3. 在組態管理頁面的頂部,選擇您要設定WAF防護的地區:中國大陸或者海外地區

    4. 添加需要防護的網域名稱。

      1. 單擊網域名稱防護接入

      2. 域名防护接入對話方塊,選擇需要接入的網域名稱。

        說明

        一次只能選擇一個網域名稱進行接入,如果您需要接入多個網域名稱,請多次接入。

      3. 單擊確定

    5. 配置防護。

      1. 單擊目標網域名稱對應的防護配置

      2. 根據業務需求和頁面提示,添加網站防護配置(例如Web安全、Bot管理等)。

    添加網站防護配置

    Web安全

    功能

    參數

    說明

    Web入侵防護

    狀態

    Web入侵防護開關。

    模式

    Web入侵防護模式如下:

    • 攔截:發現入侵後直接攔截。

    • 警示:發現入侵後只警示不攔截。

    防護規則群組

    Web入侵防護規則如下:

    • 寬鬆規則:當您發現在中等規則下存在較多誤攔截時,建議您選擇寬鬆規則。寬鬆模式下對業務的誤判程度最低,但也容易漏過攻擊。

    • 中等規則:預設使用中等規則。

    • 嚴格規則:當您需要更嚴格地防護路徑穿越、SQL注入、命令執行時,建議您選擇嚴格規則

    解碼設定

    設定需要正則防護引擎解碼分析的內容格式。

    1. 單擊jiema,開啟配置視窗。

    2. 選中或取消選中要解碼的格式。

      • 不支援取消的格式:URL解碼JavaScript Unicode解碼Hex解碼注釋處理空格壓縮

      • 支援取消的格式:Multipart解析JSON解析XML解析PHP序列化解碼HTML實體解碼UTF-7解碼Base64解碼Form解析

    3. 單擊確定

    說明

    為保證防護效果,正則防護引擎預設對請求中所有格式類型的內容進行解碼分析。如果您發現正則防護引擎經常對業務中包含指定格式內容的請求造成誤攔截,您可以取消解碼對應格式,針對性地降低誤殺率。

    進階防護

    狀態

    開啟或關閉主動防禦功能。

    模式

    • 警示:只觸發警示,不阻斷攻擊請求。

    • 攔截:直接阻斷攻擊請求。

    Bot管理

    功能

    參數

    說明

    合法爬蟲

    狀態

    合法爬蟲開關。

    說明

    合法爬蟲提供合法搜尋引擎白名單(例如Google、Bing、百度、搜狗、360、Yandex等),可應用於全網域名稱下允許存取。您可以根據實際需求,單擊前去配置,啟用或者關閉合法爬蟲。

    典型爬蟲行為識別

    狀態

    典型爬蟲行為識別開關。

    說明

    典型爬蟲行為識別提供典型爬蟲行為識別的通用演算法執行個體,可配置基本業務參數和風險閾值進行機器學習,輸出智能防護結果以對抗進階爬蟲。您可以根據實際需求,單擊前去配置,添加演算法規則。

    爬蟲威脅情報

    狀態

    爬蟲威脅情報開關。

    說明

    爬蟲威脅情報雲端式平台強大的計算能力,提供撥號池IP、IDC機房IP、惡意掃描工具IP以及雲端即時模型產生的惡意爬蟲庫等多種維度威脅情報,可應用於全網域名稱或指定路徑下進行阻斷。您可以根據實際需求,單擊前去配置,編輯情報。

    App防護

    狀態

    App防護開關。

    說明

    為原生App提供可信通訊、防機器指令碼濫刷等安全防護。需要整合阿里雲的SDK。

    存取控制/限流

    功能

    參數

    說明

    CC安全防護

    狀態

    防護開關。

    說明

    開啟後基於Challenge Collapsar(CC) 攻擊的流量特徵,協助您防護針對頁面請求的CC攻擊,並提供不同模式的防護策略。

    模式

    • 防護(預設模式):網站無明顯流量異常時採用此模式,避免誤殺。

    • 防護-緊急:在網站出現異常情況時,選用此模式。

    掃描防護

    高頻Web攻擊封鎖

    防護開關。

    開啟後自動封鎖在短時間內發起多次Web攻擊的用戶端IP。

    • 單擊前去配置可自訂防護策略。

    • 單擊解鎖當前封鎖IP可手動解鎖。

    目錄遍曆防護

    防護開關。

    開啟後自動封鎖在短時間內發起多次目錄遍曆攻擊的用戶端IP。

    • 單擊前去配置可自訂防護策略。

    • 單擊解鎖當前封鎖IP可手動解鎖。

    掃描工具封鎖

    防護開關。開啟後自動阻斷常見掃描工具IP的訪問請求。

    協同防禦

    防護開關。開啟後自動阻斷阿里雲全球惡意掃描攻擊IP庫中IP的訪問請求。

    IP黑名單

    狀態

    IP黑名單控制開關。

    IP黑名單支援一鍵封鎖特定的IP地址和位址區段訪問,以及指定地區的IP地址的訪問限制能力。

    說明

    您可以根據實際需求,單擊前去配置,添加IP地址黑名單和IP地區黑名單。

    自訂防護策略

    狀態

    自訂防護策略開關。

    自訂防護策略支援自訂精準條件的存取控制規則,以及基於精準條件下的指定統計對象的訪問限制自訂規則。

    說明

    您可以根據實際需求,單擊前去配置,添加自訂防護策略。

    查看WAF日誌和報表

    當您的網站接入WAF防護後,您可通過報表查看網域名稱遭受的攻擊情況和產品的防護效果。詳細日誌和報表請參見查看WAF日誌和報表