前提条件

已添加防护网站。

约束条件

• Web基础防护支持“拦截”和“仅记录”模式，检测版仅支持“仅记录”模式。
• 当Web基础防护设置为“拦截”模式时，您可以设置攻击惩罚。设置攻击惩罚后，如果访问者的IP、Cookie或Params恶意请求被拦截时，WAF将根据攻击惩罚设置的拦截时长来封禁访问者。有关配置攻击惩罚的详细操作，请参见配置攻击惩罚标准。

操作步骤

1. 登录管理控制台。
2. 进入防护策略配置入口，如图1所示。
   图1 防护策略配置入口
   

3. 在“Web基础防护”配置框中，用户可根据自己的需要参照表1更改Web基础防护的“状态”和“模式”，如图2所示。
   图2 Web基础防护配置框
   

   表1 防护动作参数说明

   参数	说明
   状态	Web应用防护攻击的状态。 ：开启状态。 ：关闭状态。
   模式	拦截：发现攻击行为后立即阻断并记录。 仅记录：发现攻击行为后只记录不阻断攻击。 须知： 检测版仅支持“仅记录”模式。

4. 在“Web基础防护”配置框中，单击“高级设置”，进入“Web基础防护”界面。
5. 选择“防护配置”页签，根据您的业务场景，开启合适的防护功能，如图3所示，检测项说明如表2所示。
   图3 Web基础防护
   
   

   当“模式”设置为“拦截”时，您可以根据需要选择配置的攻击惩罚。

   表2 检测项说明

   检测项	说明
   常规检测	防护SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击。 说明： 开启“常规检测”后，WAF将根据内置规则对常规检测项进行检测。
   Webshell检测	防护通过上传接口植入网页木马。 说明： 开启“Webshell检测”后，WAF将对通过上传接口植入的网页木马进行检测。
   深度检测	防护同形字符混淆、通配符变形的命令注入、UTF7、Data URI Schema等深度反逃逸。 说明： 开启“深度检测”后，WAF将对深度反逃逸进行检测防护。
   header全检测	默认关闭。关闭状态下WAF会检测常规存在注入点的header字段。 说明： 开启“header全检测”后，WAF将对请求里header中所有字段进行攻击检测。

   1. 防护等级设置。

      在页面上方，选择防护等级，Web基础防护设置了三种防护等级：“宽松”、“中等”、“严格”，默认情况下，选择“中等”。

      表3 防护等级说明

      防护等级	说明
      宽松	防护粒度较粗，只拦截攻击特征比较明显的请求。 当误报情况较多的场景下，建议选择“宽松”模式。
      中等	默认为“中等”防护模式，满足大多数场景下的Web防护需求。
      严格	防护粒度最精细，可以拦截具有复杂的绕过特征的攻击请求。 当需要更严格地防护SQL注入、跨站脚本、命令注入等攻击行为时，建议使用“严格”模式。

   2. 防护检测类型设置。

      默认开启“常规检测”防护检测，用户可根据业务需要，参照表2开启其他需要防护的检测类型。

6. 选择“防护规则”页签，查看Web基础防护规则的详细信息，如图4所示，相关参数说明如表4所示。
   图4 查看防护规则
   
   

   单击，您可以根据“CVE编号”、“危险等级”、“应用类型”或“防护类型”，搜索指定规则。

   表4 防护规则说明

   参数	说明
   规则ID	防护规则的ID，由系统自动生成。
   CVE编号	防护规则对应的CVE（Common Vulnerabilities & Exposures，通用漏洞披露）编号。对于非CVE漏洞，显示为--。
   危险等级	防护规则防护漏洞的危险等级，包括： 高危 中危 低危
   应用类型	防护规则对应的应用类型，例如，WordPress。
   防护类型	防护规则的类型，例如，命令注入。
   规则描述	防护规则对应的攻击详细描述。

防护效果

假如已添加域名“www.example.com”，且已开启了Web基础防护的“常规检测”，防护模式为“拦截”。您可以参照以下步骤验证WAF防护效果：

1. 清理浏览器缓存，在浏览器中输入防护域名，测试网站域名是否能正常访问。
   • 不能正常访问，参照域名接入WAF章节重新完成域名接入。
   • 能正常访问，执行2。

2. 清理浏览器缓存，在浏览器中输入“http://www.example.com?id=1%27%20or%201=1”模拟SQL注入攻击。
3. 返回Web应用防火墙控制界面，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，查看防护域名拦截日志，您也可以下载防护事件数据。