Web应用防火墙（原生版）的企业版及以上版本支持自定义BOT防护策略，通过智能BOT防护+攻击惩罚，帮助用户实现自动化动态拉黑攻击IP，实现业务的自动化防护。

用户可以结合业务情况进行自定义防护规则的配置，实现自动封禁和自动解禁。

示例场景

• 防护对象：“www.ctyun.cn”。

• 触发条件：来自“xxx.xxx.10.15”的请求中，5秒内“请求URI中包含password”的请求次数大于等于10次。

• 处置措施：自动封禁“xxx.xxx.10.15”30分钟，30分钟后解封。

前提条件

• 已购买WAF SaaS模式企业版或旗舰版实例。

• 防护域名“www.ctyun.cn”已接入WAF并开启防护。

步骤一：配置并开启BOT防护

1. 开启BOT防护：在“防护配置 > 对象防护配置”页面，选择“安全防护”页签，定位到“BOT防护”模块，开启BOT防护。

   

2. 单击自定义规则右侧的“前去配置”，进入自定义防护规则页面。

   

3. 单击“新建防护规则”，添加一条自定义防护规则。

   • 匹配条件：来自“xxx.xxx.10.15”的请求中，5秒内请求URI中包含password的请求次数大于等于10次。

   • 处置动作：动态拦截最大支持600秒（即10分钟）。

   • 攻击惩罚：需要拦截超过10分钟，可以开启攻击惩罚。攻击惩罚功能可将多次触发自定义规则的会话对象进行自动拉黑封禁。

   

步骤二：配置并开启攻击惩罚

1. 在“防护配置 > 对象防护配置”页面，选择“系统配置”页签，定位到“攻击惩罚”模块，开启攻击惩罚。

   

2. 单击攻击惩罚右侧的“前去配置”，进入攻击惩罚配置页面。

   

3. 配置攻击惩罚标准。

   • 首次拦截：触发后封禁30分钟，到期自动解除封禁。

   • 重复拦截：每新增一次拦截，封禁时长增加10分钟（如第二次封禁40分钟，第三次50分钟，依此类推）。

   • 永久拦截：同一IP累计触发5次拦截后，将被永久封禁。

   

步骤三：验证拦截效果

当“xxx.xxx.10.15”访问“www.ctyun.cn”页面时，若WAF检测到5秒内“请求URI中包含password”的请求次数大于等于10次，访问请求会被WAF拦截，且自动封禁“xxx.xxx.10.15”，时长为30分钟。

1. 查看防护事件：在“防护事件 > 查询防护事件”页面，您可以查看该防护事件。

2. 查看BOT防护动态拦截列表：在“防护配置 > 对象防护配置”页面，选择“安全防护”页签，定位到“BOT防护”模块，单击拦截列表右侧的“解除拦截”，进入动态拦截页面，可查看已被拦截的对象及拦截时间。

3. 查看攻击惩罚列表：在“防护配置 > 对象防护配置”页面，选择“系统配置”页签，定位到“攻击惩罚”模块，单击惩罚列表右侧的“前去查看”，进入惩罚列表页面，可查看攻击惩罚拦截对象及惩罚时间。

步骤四：手动为封禁IP解封

解除BOT防护动态拦截

1. 在“防护配置 > 对象防护配置”页面，选择“安全防护”页签，定位到“BOT防护”模块。

2. 单击拦截列表右侧的“解除拦截”，进入动态拦截页面。

3. 对于正在拦截中的对象，单击操作列的“解除拦截”可放开拦截。

解除攻击惩罚

1. 在“防护配置 > 对象防护配置”页面，选择“系统配置”页签，定位到“攻击惩罚”模块。

2. 单击惩罚列表右侧的“前去查看”，进入惩罚列表页面。

3. 对于正在惩罚中的拦截对象，单击操作列的“解除惩罚”可放开惩罚对象封禁。