WAF
WAF 检查经过 fn-knock 的 HTTP 请求,并按已启用规则记录或阻断可疑内容。它适合补充网关认证和应用安全,不能保护绕过网关的端口、TCP/UDP 流量或宿主机服务。
配置原则
- 先确认请求日志、真实客户端 IP 和基础认证已经正确。
- 启用 WAF 后先观察日志,识别健康检查、Webhook、应用 API 等正常流量。
- 再逐步启用阻断规则或提高防护强度。
- 发生误拦截时,用 Trace ID、Host、路径和规则名定位,优先收窄单条规则而不是整体关闭防护。
系统规则和自定义规则在 系统设置 → WAF 管理。系统规则可同步更新;自定义规则应纳入版本控制或安全备份,并在升级前记录变更。
常用地豁免
常用地豁免会改变部分规则对常见来源的处理方式。它是降低误伤的权衡,不应被理解为“可信地区完全安全”。开启前先确认 IP 归属地服务准确,并保留对异常请求的日志观察。
WAF 日志
日志可用于区分三种情况:规则检测但未阻断、规则阻断、以及请求根本没有进入 WAF。排障时先查请求日志确认流量进入网关,再用 WAF 日志中的时间、Host、客户端 IP 和 Trace ID 对照。
