Web Application Firewall：風險識別

配置項

說明

账号提取

可自訂配置账号类型和账号位置。最多添加五個條件，條件之間為或關係。

帳號提取：如果登入請求的要求方法是GET，同時請求參數為username=158***&password=***，則在帳號位置選擇Query參數，在參數名稱處填寫username, WAF即可提取手機號資訊進行後續匹配。

风险标签

• 疑似小号：疑似第三方平台提供手機號，非個人使用者，預設為高風險。

• 诈骗风险：疑似歷史上存在欺詐行為，預設為高風險。

• 垃圾注册：疑似使用非法工具進行使用者註冊，用於後續的營銷活動等，預設為高風險。

• 营销作弊：疑似使用非法工具參與營銷活動，如大量註冊領取優惠券等，預設為高風險。

• 黄牛账号：疑似使用非法工具參與搶票或其他秒殺類活動，預設為高風險。

風險等級分為高風險、中高風險、中風險，可根據業務需求自由選擇。

规则分类

疑似BOT：存在部分爬蟲表徵，但缺乏直接證據（如攻擊痕迹或明確意圖），需進一步驗證其意圖。

恶意BOT：以非法目的為主導，通過自動化手段對目標系統或網路發起攻擊、竊取資料或執行惡意操作的自動化程式。

处置动作

• 拦截：表示攔截命中規則的請求，並向發起請求的用戶端返回攔截響應頁面。

  說明

  WAF預設使用統一的攔截響應頁面，您可以通過自訂響應功能，自訂攔截響應頁面。更多資訊，請參見設定自訂響應規則配置攔截響應頁面。

• 观察：表示不攔截命中規則的請求，只通過日誌記錄請求命中了規則。您可以通過WAF日誌，查詢命中當前規則的請求，分析規則的防護效果（例如，是否有誤攔截等）。

  觀察模式方便您試運行首次配置的規則，待確認規則沒有產生誤攔截後，再將規則設定為其他處置動作模式。

• JS验证：表示WAF向用戶端返回一段正常瀏覽器可以自動執行的JavaScript代碼。如果用戶端正常執行了JavaScript代碼，則WAF在一段時間（預設30分鐘）內允許存取該用戶端的所有請求（不需要重複驗證），否則攔截請求。

  說明

  啟用Bot-App端的風險識別功能後，將無法選擇JS驗證作為處置方案。

• 滑块：表示WAF向用戶端返回滑動驗證頁面。如果用戶端成功執行滑動驗證，則WAF在一段時間（預設30分鐘）內允許存取該用戶端的所有請求（不需要重複驗證），否則攔截請求。

• 严格滑块：表示WAF向用戶端返回滑動驗證頁面。如果用戶端成功執行滑動驗證，則WAF允許存取本次請求，否則攔截請求。嚴格滑塊驗證模式下，用戶端的每次請求都需要驗證。

• 回源标记：表示客戶可以自訂Header名稱及內容（規則類型、規則ID、網頁端UMID），WAF不會直接處理，而是會通過新增Header的方式將命中資訊返回給來源站點，客戶可以與後端風控系統結合做業務側處理。

规则灰度

配置規則是針對不同維度對象的生效比例。

開啟規則灰階後，您還需要設定灰階维度和灰度比例。灰階维度包括：IP、自定义Header、自定义参数、自定义Cookie、Session、网页端UMID。

生效模式

• 永久生效（預設）：防護模板開啟時，規則永久生效。

• 按时间段生效：為防止更新的防護規則在活動前被攻擊者識別和破解，通常選擇在活動開始時生效新規則。您可以將具體某一時區的一段時間設定為防護規則的生效時間。

• 按周期生效：適用於周期性活動，需在活動期間啟用更嚴格的防護規則，其他時間則使用較寬鬆的規則；或在低流量時段下發新規則以驗證其效果和誤判風險。您可以將具體某一時區的每一天的一段時間設定為防護規則的生效時間。