规则名称

自定义规则名称。

waftest

规则描述

可选参数，设置该规则的备注信息。

—

限速模式

“源限速”：对源端限速，如某IP（或用户）的访问频率超过限速频率，就会对该IP（或用户）的访问限速。

“IP限速”：根据IP区分单个Web访问者。
“用户限速”：根据Cookie键值或者Header区分单个Web访问者。
“其他”：根据Referer（自定义请求访问的来源）字段区分单个Web访问者。

说明：

选择“其他”时，“Referer”对应的“内容”填写为包含域名的完整URL链接，仅支持前缀匹配和精准匹配的逻辑，“内容”里不能含有连续的多条斜线的配置，如“///admin”，WAF引擎会将“///”转为“/”。

例如：若用户不希望访问者从“www.test.com”访问网站，则“Referer”对应的“内容”设置为“http://www.test.com”。

“目的限速”：选择该参数时，可选择以下限速类型进行配置：

“策略限速” ：当多个域名共用一个策略时，该策略下对应的所有域名请求次数合并限速(不区分访问IP)；泛域名防护场景时，该泛域名对应的所有子域名的请求次数合并限速(不区分访问IP)。
“域名限速”：每个域名单独统计总请求次数，超过设定值则触发防护动作(不区分访问IP)。
“URL限速”：每个URL请求单独统计请求次数，超过设定值则触发防护动作(不区分访问IP)。

—

用户标识

“限速模式”选择“源限速 > 用户限速”时，需要配置此参数：

选择Cookie时，设置Cookie字段名，即用户需要根据网站实际情况配置唯一可识别Web访问者的Cookie中的某属性变量名。用户标识的Cookie，不支持正则，必须完全匹配。

例如：如果网站使用Cookie中的某个字段name唯一标识用户，那么可以用name字段来区分Web访问者。

选择Header时，设置需要防护的自定义HTTP首部，即用户需要根据网站实际情况配置可识别Web访问者的HTTP首部。

name

域名聚合统计

“限速模式”选择“目的限速 > 策略限速”时，不需要配置此参数。

默认关闭，开启后，泛域名对应的所有子域名的请求次数合并限速(不区分访问IP)。例如，配置的泛域名为“*.a.com”，会将所有子域名（b.a.com，c.a.com等）的请求一起聚合统计。

—

限速条件

单击“添加”增加新的条件，至少配置一项条件，最多可添加30项条件，多个条件同时满足时，本条规则才生效。

字段。
子字段：当“字段”选择IPv4、IPv6、Cookie、Header、Params时，请根据实际需求配置子字段。

须知：

子字段的长度不能超过2048字节，且只能由数字、字母、下划线和中划线组成。

逻辑：在“逻辑”下拉列表中选择需要的逻辑关系。

说明：

当“逻辑”关系选择“包含任意一个”、“不包含所有”、“等于任意一个”、“不等于所有”、“前缀为任意一个”、“前缀不为所有”、“后缀为任意一个”或者“后缀不为所有”时，需要选择引用表，创建引用表的详细操作请参见创建引用表对防护指标进行批量配置。

内容：输入或者选择条件匹配的内容。

“路径”包含“/admin/”

限速频率

单个Web访问者在限速周期内可以正常访问的次数，如果超过该访问次数，Web应用防火墙服务将根据配置的“防护动作”来处理。

“全局计数”：根据不同的限速模式，将已经标识的请求在一个或多个WAF节点上的计数聚合。默认为每WAF节点单独计数，开启后本区域所有节点合并计数。“IP限速”不能满足针对某个用户进行限速，需要选择“用户限速”或“其他”的Referer限速，此时标识的请求可能会访问到不同的WAF节点，开启全局计数后，将请求访问的一个或多个WAF节点访问量聚合，达到全局统计的目的。

说明：

如果网站在接入WAF前，已经使用了CDN、高防等其他代理服务，WAF收到的访问IP会被分散到各个WAF节点进行流量转发，WAF默认为WAF节点单独计数。因此，WAF针对单个Web访问者的访问次数的计数会分散，所以“限速频率”中访问次数的设置原则如下：

云模式：该模式支持“全局计数”，即支持将已经标识的请求在一个或多个WAF节点上的计数聚合，因此，配置时勾选“全局计数”即可。
独享模式：该模式暂不支持“全局计数”，因此配置“限速频率”中访问次数应配置为：允许单个Web访问者在限速周期内访问网站的次数/MIN(WAF前使用的代理服务总数：WAF节点数)。

例如，WAF前已使用3个代理服务，WAF节点数（防护该网站的独享引擎实例数）为2，则取其最小值为2，如果您想当单个Web访问者在限速周期内访问网站的次数不能超过1000次，则“限速频率”中访问次数应配置为1000除以2，500。

10次/60秒

防护动作

当访问的请求频率超过“限速频率”时，可设置以下防护动作：

人机验证：表示超过“限速频率”后弹出验证码，进行人机验证，完成验证后，请求将不受访问限制。人机验证目前支持英文。
阻断：表示超过“限速频率”将直接阻断。
动态阻断：上一个限速周期内，请求频率超过“限速频率”将被阻断，那么在下一个限速周期内，请求频率超过“放行频率”将被阻断。
仅记录：表示超过“限速频率”将只记录不阻断。可下载防护事件数据查看域名的防护日志。

阻断

锁定验证

当“防护动作”选择“人机验证”时，需要配置该参数。

当人机验证未通过时，在设定时间内的访问都要进行验证。

300秒

放行频率

当“防护动作”选择“动态阻断”时，可配置放行频率。

如果在一个限速周期内，访问超过“限速频率”触发了拦截，那么，在下一个限速周期内，拦截阈值动态调整为“放行频率”。

“放行频率”小于等于“限速频率”。

说明：

当“放行频率”设置为0时，表示如果上一个限速周期发生过拦截后，下一个限速周期所有的请求都不放行。

8次/60秒

阻断时长

当“防护动作”选择“阻断”时，可设置阻断后恢复正常访问页面的时间。

600秒

阻断页面

当“防护动作”选择“阻断”时，需要设置该参数，即当访问超过限速频率时，返回的错误页面。

当选择“默认设置”时，返回的错误页面为系统默认的阻断页面。
当选择“自定义”，返回错误信息由用户自定义。

自定义

页面类型

当“阻断页面”选择“自定义”时，可选择阻断页面的类型“application/json”、“text/html”或者“text/xml”。

text/html

页面内容

当“阻断页面”选择“自定义”时，可设置自定义返回的内容。

不同页面类型对应的页面内容样式：

text/html：Forbidden
application/json：{“msg”: “Forbidden”}
text/xml： Forbidden