从部署到运维又拍云waf最佳实践与常见问题汇总

1.

准备与账号配置

- 注册并登录又拍云控制台：进入控制台->安全->WAF。
- 创建项目与子账号：建议使用独立项目隔离WAF策略；为运维创建具有限制权限的子账号。
- 申请WAF试用/购买实例：选择按流量计费或按带宽计费，根据业务峰值预估带宽并留出余量。

2.

域名接入与CNAME配置

- 添加防护域名：控制台->WAF->添加域名，填写业务域名。
- 配置源站（回源）信息：填写回源IP/域名、端口、回源协议（HTTP/HTTPS）。若使用HTTPS，上传或选择证书。
- 修改DNS：将业务域名的解析记录由原A/别名改为又拍云提供的CNAME地址，等待生效（TTL时间与DNS缓存）。

3.

证书与HTTPS配置

- 推荐启用HTTPS：在WAF中开启HTTPS回源与前端HTTPS。
- 上传证书或使用又拍云托管证书：在证书管理中上传PEM/KEY或申请Let's Encrypt证书（如支持）。
- 验证回源证书：若源站使用自签名证书，需在WAF回源设置中开启“忽略证书校验”或添加回源证书白名单。

4.

默认规则与策略选择

- 启用基础规则集：在策略管理中选择推荐的通用规则库（SQLi、XSS、文件包含、命令注入等）。
- 选择处理动作：Observe(观察)/Challenge(验证码/JS挑战)/Block(拦截)。新上线建议先用Observe或Challenge收集命中情况。
- 规则优先级：把业务重要的放行白名单放在规则链顶端，阻断规则放在后面以避免误杀。

5.

自定义规则与正则语法示例

- 控制台创建自定义规则：路径匹配、请求方法、参数名或参数值正则、User-Agent等条件组合。
- 例：拦截包含 casin0 字样的参数：条件 param.matches ".*casin0.*" → 动作 Block。
- 使用权重与优先级：当多个规则冲突时，通过优先级数值调整执行顺序。

6.

IP 黑白名单与地域控制

- 白名单：将可信内部IP或第三方API的IP加入白名单，避免误拦。
- 黑名单：对检测为危险的IP或Bot放入黑名单并设置封禁时长。
- 地域封禁：按国家/地区做限制（注意考虑CDN节点与真实用户分布）。

7.

流量控制与速率限制（Rate Limit）

- 限流规则配置：按单IP或单URI在一段时间内的最大请求数设置阈值。
- 典型配置：登录接口 60 次/分钟 单IP → Challenge；敏感接口 10 次/分钟 → Block。
- 分级动作：达到预警阈值先Challenge，再Block，减少误杀风险。

8.

Bot 管理与爬虫防护

- 启用Bot识别策略：使用User-Agent指纹、行为指纹与挑战机制识别恶意爬虫。
- JS挑战/滑块验证码：对高度可疑流量启用JS挑战，自动识别浏览器执行能力。
- 白名单合法爬虫：为搜索引擎或合作爬虫制定白名单并限制抓取频率。

9.

日志采集与实时监控

- 启用访问日志与事件日志：配置日志推送到又拍云日志服务或第三方（S3/ELK/OSS）。
- 配置告警：通过邮件/钉钉/Slack接收异常流量、规则触发、流量阈值告警。
- 日志分析：定期用ELK或又拍云日志查询常见命中规则、异常URI、IP分布。

10.

故障定位与调试流程

- 发现误拦后的第一步：通过命中日志找出规则ID、触发条件与样例请求。
- 临时解除影响：对误杀规则切换到Observe或将触发样本加入白名单并记录。
- 回溯与修复：优化规则正则、降低灵敏度或添加更精确的条件，避免放宽全局策略。

11.

通过API进行自动化与示例

- 获取API Token：控制台->API凭证，生成用于自动化脚本的Key/Secret。
- 示例：使用curl添加自定义规则（伪示例）：
curl -X POST "https://api.upyun.com/waf/v1/rules" -H "Authorization: Bearer YOUR_TOKEN" -d '{"domain":"example.com","rule":{"action":"block","condition":"param.name =~ /ticket/","priority":100}}'
- 把此类调用纳入CI以实现策略下发与回滚。

12.

常规运维与版本控制

- 策略变更流程：变更先在测试域名/Observe模式验证，再Rolling到生产。
- 变更记录：对每次规则调整记录变更单、原因与回滚步骤。
- 定期评审：每月检查高频触发规则、误杀率与新威胁情报更新规则库。

13.

应急响应与恢复步骤

- DDoS/大流量来临：启用宽松白名单/全站限速与上游流量清洗联动。
- 回滚策略：保存上一版策略快照，快速恢复到已知稳定配置。
- 联合排查：与网络/CDN/源站团队协同排查回源问题、负载与TCP层问题。

14.

优化建议与成本控制

- 分层防护：在CDN层做基础过滤，WAF做深度应用层策略，减少WAF处理量从而节省成本。
- 规则精细化：用更精准的条件替代宽泛正则，降低误判与处理开销。
- 流量峰值预留：按业务季节性调整计费方案与带宽包。

15.

常见问题答疑（Q1）

Q: 我的站点切换到又拍云WAF后出现大量404/403，是WAF导致的吗？
A: 首先检查WAF命中日志：是否有规则导致Block/Challenge。若是，临时将相关规则改为Observe或加入URI白名单；其次检查回源配置（Host头、回源证书、回源域名）是否正确，CNAME切换后Host仍应使用业务域名，回源路径与端口一致。

16.

常见问题答疑（Q2）

Q: 如何调试误报导致的真实用户被拦截？
A: 在控制台查看误报请求的完整请求头与请求体样本，定位触发规则ID；把样本加入白名单或将该规则切换到Observe并修正正则；上线前在测试环境用接近真实流量的压测进行验证。

17.

常见问题答疑（Q3）

Q: 是否可以把WAF规则通过代码管理并实现自动回滚？
A: 可以。通过又拍云提供的API导出/导入规则，将规则文件纳入版本控制（Git），在CI/CD中编写变更审批与回滚脚本；变更前先在测试域名或Observe模式验证，异常时自动回滚到上一个稳定版本。