安恒云waf实战部署建议从网络到规则库的全面检查清单型文章

1) 清点应用与域名：列出所有域名、IP、端口与后端服务；
2) 确认流量规模：统计峰值并预留20%-50%余量；
3) 权限与凭证：准备运维账号、API Key、SSL 私钥。

1) 明确模式：反向代理（建议）或旁路镜像；
2) 反向代理步骤：修改DNS到WAF出口IP → 配置回源地址；
3) 旁路镜像步骤：配置交换机镜像或SPAN并验证包收集。

1) 上传证书：在管理控制台上传PEM/KEY并绑定域名；
2) 谨慎启用TLS1.3/1.2：先在测试域启用并检查兼容性；
3) 配置后备证书与OCSP。

1) 部署多可用区实例并启用健康探测；
2) 配置主动被动或主动主动的同步策略；
3) 验证故障切换：下线主链路，确认流量切换无中断。

1) 开启访问/阻断/系统日志并配置日志推送（Kafka/OSS/ELK）；
2) 配置关键告警（高阻断率、CPU、带宽）；
3) 验证日志可查询并建立索引与报表。

1) 从被动观察模式开始，开启“监测”模式收集命中；
2) 根据误报和真实攻击调整白名单与IP黑名单；
3) 建议先不开启严格阻断，观察72小时后逐步收紧。

1) 导入或同步安恒官方规则集并记录版本号；
2) 使用真实请求回放验证规则命中与误报；
3) 创建自定义规则：明确匹配字段、动作（告警/阻断）与优先级。

1) 进行分阶段压测（低、中、高峰）并观测延时与QPS；
2) 根据CPU和带宽曲线调整实例规格或池大小；
3) 配置连接超时、速率限制防止资源耗尽。

1) 将策略和规则库纳入版本控制（记录变更人、时间、原因）；
2) 配置一键回滚点并验证回退流程；
3) 定期演练配置回滚与故障恢复。

问：如何定位突增阻断导致业务中断？

答：先查看阻断日志按时间倒序筛查新规则或IP段；暂停可疑自定义规则并切换到监测模式，回放被阻断请求定位误报条件，同时检查流量峰值与爬虫激增情况。

问：规则误报多如何系统化处理？

答：建立误报登记表→收集样本→在测试域复现→调整规则匹配范围或添加白名单→灰度发布→观察7天再全量推送。

问：上线后日常巡检Checklist有哪些？

答：每日查看阻断/告警概况、关键域名证书有效期、日志推送状态；每周核对规则库版本并执行一次压测；每月演练回滚与故障切换。