华为云waf怎么设置多域名防护与自定义规则最佳实践分享

1.1 登录华为云控制台（console.huaweicloud.com），在顶部搜索框输入“WAF”并进入“Web应用防火墙”。

1.2 确认已有或创建WAF实例（按需选择按量或包年包月），准备好各域名的源站IP/域名、证书（如果需要HTTPS）、以及DNS管理权限以便修改解析。

2.1 在WAF实例页面，选择“域名管理”或“保护域名”，点击“新增域名”。

2.2 填写域名、回源地址（IP/域名）和主机头（Host），选择是否开启HTTPS并上传或选择证书；保存并重复添加其他域名。

3.1 推荐使用WAF反向代理模式：在域名DNS处将A记录或CNAME指向WAF提供的接入地址；保持TTL较短以便回滚。

3.2 检查回源连接：在WAF中设置回源端口、健康检查和回源白名单，确保WAF能够正常访问源站。

4.1 在“策略管理”中创建全局策略和域名专属策略。将公共防护（SQLi、XSS、CC）放在全局策略，域名差异化规则放入域名专属策略。

4.2 策略绑定：为每个域名绑定对应的策略，优先级遵循“域名策略 > 全局策略”。

5.1 入口：控制台 -> WAF 实例 -> 策略管理 -> 自定义规则 -> 新建规则。

5.2 配置条件：选择匹配对象（URI、Method、Header、Query、Body、ClientIP），选择匹配方式（正则、包含、等于），填写匹配表达式，例如正则匹配：^/api/v1/.*。

5.3 配置动作与优先级：动作可选阻断(Block)、观察(Observe/Log only)、放行(Allow)、限速(Rate limit)。设置优先级（数值越小优先级越高）。保存并发布策略。

6.1 IP白名单/黑名单：对象选择ClientIP，匹配方式为CIDR或单IP，动作Allow或Block，用于放行内网或屏蔽恶意IP段。

6.2 接口限流：对象选择URI，匹配/api路径，动作选择限速，限流维度选择IP，设置阈值如100req/10s，超过执行Block或Challenge。

6.3 防SQL/XSS补充规则：对Query或Body使用正则匹配常见注入特征，并在Observe模式下跑1-2天，确认无误后切换Block。

7.1 先在自定义规则中使用“观察/检测模式”（不阻断）监测命中日志，查看是否误报。线上观察期建议72小时以上。

7.2 查看“攻击日志”和“访问日志”，结合Cloud Eye或短信/邮件告警配置实时报警。确认无误后将规则切换为阻断并记录变更。

7.3 备份策略：在策略页导出策略配置（JSON），并在重大变更前保存快照，便于回滚。

问题：如何避免自定义规则误伤正常用户？

回答：先在观察模式运行规则并分析命中日志，逐步调整正则或添加例外（白名单），为规则设定较高优先级但谨慎采用全局阻断策略，必要时仅对特定域名或路径生效。

问题：多域名是否需要分别配置证书？

回答：如果使用HTTPS，建议为每个域名上传对应证书或使用泛域名证书；在WAF域名配置中绑定证书，确保WAF能终端SSL并正常回源。

问题：如何快速排查规则冲突或性能问题？

回答：通过调低规则优先级逐个禁用排查冲突，利用WAF的实时日志与Trace功能查看请求处理路径；若性能下降，检查限速规则与大流量攻击，必要时升级实例规格或接入CDN做前置缓存。