操作指南
规则引擎配置
规则引擎是底层通用的请求匹配机制,Web防护规则、流量防护规则、网页防篡改、名单防护、高级配置等功能模块均基于此机制定义规则的触发条件。
请求内容例子
POST /waf/waf_get_domain_list?test=a&test2=b HTTP/1.1
Host: demo.jxwaf.com:8000
Content-Length: 10
Accept: application/json, text/plain, */*
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.118 Safari/537.36
Content-Type: application/json;charset=UTF-8
Origin: http://demo.jxwaf.com:8000
Referer: http://demo.jxwaf.com:8000/
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: sessionid=ie7l7u89zeqf93syv4jvolhr0ljgngn5
Connection: close
{"page":1}
匹配参数
| 匹配参数选项 | 获取数据说明 |
|---|---|
| http_args:path | /waf/waf_get_domain_list |
| http_args:query_string | test=a&test2=b |
| http_args:method | POST |
| http_args:src_ip | 1.1.1.1 |
| http_args:raw_body | {"page":1} |
| http_args:version | 1.1 |
| http_args:scheme | HTTP |
| http_args:raw_header | 获取原始 header 内容 |
| header_args:host | demo.jxwaf.com:8000 |
| header_args:cookie | sessionid=ie7l7u89zeqf93syv4jvolhr0ljgngn5 |
| header_args:referer | http://demo.jxwaf.com:8000/ |
| header_args:user_agent | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.118 Safari/537.36 |
| header_args: | 获取指定的 header 值,例如这里输入 header_args:Accept-Encoding,则返回 "gzip, deflate, br" |
| cookie_args: | 获取指定的 cookie 值,例如这里输入 cookie_args:sessionid,则返回"ie7l7u89zeqf93syv4jvolhr0ljgngn5" |
| uri_args: | 获取指定的查询字符串参数的值,例如输入 uri_args:test ,则返回 "a" |
| post_args: | 获取指定的请求体参数的值,假如请求体的内容为 page=1&number=2,则输入 post_args:number,则返回 "2" |
| json_post_args: | 获取指定的请求体参数的值,例如输入 json_post_args:page ,则返回 "1" |
| ctx_args: | 获取防护组件中用户自定义参数值 |
| global_name_list_result: | 获取名单防护功能中名单的匹配结果 |
参数处理
| 参数处理选项 | 处理说明 |
|---|---|
| 不处理 | 不进行处理,获取数据为 "a",则返回"a") |
| 小写处理 | 获取数据为"AbcdEf",则返回"abcdef" |
| BASE64 解码 | 获取数据为"QWJjZEVm",则返回"AbcdEf",如果解码失败,则返回 nil |
| 长度计算 | 获取数据为"AbcdEf",则返回"6" |
| URL 解码 | 获取数据为"test%3Da%26test2%3Db",则返回"test=a&test2=b" |
| UNICODE 解码 | 获取数据为"\u0073\u0073\u0073\u0061\u0061",则返回"sssaa" |
| 十六进制解码 | 获取数据为"\x61\x61\x61\x62\x62\x62",则返回"aaabbb" |
匹配方式
| 匹配方式选项 | 匹配说明 |
|---|---|
| 后缀匹配 | 获取数据为"AbcdEf",后缀匹配"cdEf"成功,后缀匹配"aaaa"失败 |
| 包括 | 获取数据为"AbcdEf", 包括匹配"cdE"成功,包括匹配"aaaa"失败 |
| 不包括 | 获取数据为"AbcdEf", 不包括匹配"aaaa"成功,不包括匹配"dEf"失败 |
| 等于 | 获取数据为"AbcdEf", 等于匹配"AbcdEf"成功,等于匹配"dEf"失败 |
| 不等于 | 获取数据为"AbcdEf", 不等于匹配"dEf"成功,不等于匹配"AbcdEf"失败 |
| 数字大于 | 获取数据为"6", 数字大于匹配"10"成功,数字大于匹配"4"失败。获取数据为"qqq",数字大于匹配"10"失败 |
| 数字小于 | 获取数据为"6", 数字小于匹配"4"成功,数字小于匹配"10"失败。获取数据为"qqq",数字小于匹配"10"失败 |
| 数字等于 | 获取数据为"6", 数字等于匹配"6"成功,数字等于匹配"10"失败。获取数据为"qqq",数字等于匹配"10"失败 |
| 数字不等于 | 获取数据为"6", 数字不等于匹配"5"成功,数字不等于匹配"6"失败。获取数据为"qqq",数字不等于匹配"10"失败 |
| 参数存在判断 | 判断参数是否存在,只有两个选项,参数存在 和 参数不存在 |
执行动作说明
以下为各模块通用的执行动作,具体可用动作因模块而异(详见各模块说明):
- 阻断请求
拦截请求,返回默认拦截页面。可以在 系统管理 -> 拦截页面配置 中配置自定义拦截页面。
- 拒绝响应
服务器不返回任何数据给客户端。适合 CC 防护场景,可以避免出口带宽被打满的情况。
- 观察模式
仅记录日志不拦截,日志可以在 运营中心 -> 日志查询 中查看详情。
- 人机识别
无交互认证:无需用户交互,通过人机识别算法快速识别当前环境是否为正常浏览器环境(可理解为 5 秒盾)。
滑块认证:在无交互认证的基础上,增加滑块验证,通过后继续无交互认证。
拼图认证:在无交互认证的基础上,增加拼图验证,通过后继续无交互认证。
选字认证:在无交互认证的基础上,增加选字验证,通过后继续无交互认证。
- 安全防护全加白
跳过所有安全防护模块(Web 和流量),不进行检测和处置。
- Web安全防护加白
仅跳过 Web 安全防护模块的检测。
- 流量安全防护加白
仅跳过流量安全防护模块的检测。
- 网络封禁
在网络层封禁攻击 IP,需设置封禁持续时间(秒)。封禁 IP 可通过 运营中心 -> 网络封禁IP名单 查看。
网站防护
新增分组
| 配置项 | 说明 |
|---|---|
| 分组名称 | 必填,用于标识分组 |
| 分组描述 | 选填,描述分组用途 |
创建分组后,每个分组包含三个配置入口:
| 配置入口 | 说明 |
|---|---|
| 查看网站 | 管理分组内的网站域名列表 |
| 防护配置 | 管理该分组的安全防护策略 |
| 高级配置 | 管理自定义请求头、响应头等高级配置 |
新增网站
域名/IP格式示例:
1.1.1.1
1.1.1.1:8000
demo.jxwaf.com
*.jxwaf.com:8000
| 配置项 | 说明 |
|---|---|
| 域名/IP | 请输入IP或域名,域名支持通配符,例如 *.jxwaf.com |
| 网站地址 | 请输入网站地址 |
| 描述 | 选填,网站描述信息 |
| 协议类型 | HTTP/HTTPS(HTTPS需提前配置SSL证书) |
| 回源地址 | 支持IP和域名,域名需要省略 https:// 或 http:// |
| HTTP回源端口 | 默认 80 |
| HTTPS回源端口 | 默认 443 |
| 回源协议 | 需与源站端口匹配(80→http,443→https) |
| 负载均衡 | 轮询或 IP_HASH(会话保持) |
| WAF前存在代理 | 开启后从X-Real-IP或X-Forwarded-For获取真实IP |
| 新建连接超时时间 | 源站新建连接超时时间(秒),默认 5 |
| 读连接超时时间 | 读取源站响应的超时时间(秒),默认 60 |
| 写连接超时时间 | 发送请求到源站的超时时间(秒) ,默认 60 |
防护配置
进入分组的「防护配置」后,包含 Web安全防护 和 流量安全防护 两大类:
| Web安全防护 | 流量安全防护 |
|---|---|
| Web防护引擎 | 流量防护引擎 |
| Web防护规则 | 流量防护规则 |
| 网页防篡改 | IP区域封禁 |
| Web白名单规则 | 流量白名单规则 |
以下各章节分别介绍每个功能模块的详细配置。
Web 防护引擎
- Web防护引擎状态:开启/关闭 AI 模型防护总开关
开启后可选择以下防护模式:
- 模型训练:纯学习模式。通过在线蒸馏技术将 AI 大模型的检测能力继承至本地推理引擎,仅训练不处置。适用于业务上线初期的学习阶段
- 日常防护:业务优先策略。遇到未知请求先放行,同时可结合语义分析引擎进行检测;待模型通过在线蒸馏训练完成后,以模型训练结果为准进行防护
- 重保防护:安全优先策略。遇到未知请求先拦截,同时通过在线蒸馏实时更新本地模型,后续同类请求精准放行。适用于重保期间或高安全要求场景
- 离线防护:仅使用本地已训练的模型进行防护,不与 AI 模型服务通信。适用于无法连接外网的隔离环境
四种防护模式的处理流程:
请求到达
│
├── 模型训练 ──→ 在线蒸馏训练 ──→ 放行
│
├── 日常防护 ──→ 模型已识别? ──是──→ 按模型结果处置
│ │
│ 否
│ │
│ 放行 → 语义分析引擎检测 → 在线蒸馏更新模型
│
├── 重保防护 ──→ 模型已识别? ──是──→ 按模型结果处置
│ │
│ 否
│ │
│ 拦截 → 在线蒸馏更新模型
│
└── 离线防护 ──→ 本地推理引擎检测 ──→ 按本地模型结果处置
语义分析防护(日常防护模式下可选):
- 开启:检测到攻击后拦截
- 观察:仅记录日志不拦截
- 关闭:不使用语义分析防护
AI服务提供商:
- JXWAF:由JXWAF提供AI模型服务,用户可免费使用
防护状态说明:
开启状态下,检测到攻击会返回默认拦截页面,可以在 系统管理 -> 拦截页面配置 中配置自定义拦截页面。观察状态下,仅记录日志不拦截,日志可以在 运营中心 -> 日志查询 中查看详情
Web 防护规则
通过自定义规则匹配请求,实现对特定 URL、参数、请求头的精准防护。
规则支持以下元素:
- 规则名称:规则唯一标识
- 规则描述:描述规则用途
- 规则匹配:规则匹配条件
- 执行动作:阻断请求、观察模式
配置示例:禁止访问 /admin 目录,执行动作为阻断请求。
网页防篡改
- 规则名称:规则唯一标识
- 规则描述:描述规则用途
- 规则匹配:规则匹配条件
- 页面地址:输入需要防篡改防护的页面地址,例如
https://www.jxwaf.com,点击获取按钮即可获取页面内容 - 页面内容:通过页面地址获取到的页面内容,可以人工进行调整,后续请求直接返回该内容,不进行回源获取
- 内容类型:设置返回内容的 Content-Type
当规则匹配成功后,WAF 会直接返回已缓存的页面内容,不会回源获取,从而防止页面被篡改。
Web 白名单规则
对特定请求跳过Web安全防护检测
- 规则名称:规则唯一标识
- 规则描述:描述规则用途
- 规则匹配:规则匹配条件
- 执行动作:Web安全防护加白(仅跳过 Web 安全防护模块)、观察模式
配置示例:对公司内网 IP 192.168.1.0/24 的请求执行 Web安全防护加白,跳过检测。
流量防护引擎
- 流量防护引擎状态:开启/关闭流量防护引擎总开关
- 防护预案:日常观察 / 日常防护 / 攻击防护 / 紧急防护
防护预案说明:
- 日常观察:仅记录日志不处置,适用于观察阶段的业务
- 日常防护:对明显攻击进行处置,平衡安全与业务可用性
- 攻击防护:严格处置,适用于正在遭受攻击的场景
- 紧急防护:最严格策略,适用于业务已被攻击且不可用的紧急情况
以下各防护子模块可独立开启/关闭:
IP访问限制
- IP访问限制:开启/关闭
- 触发条件:统计时间 xx 秒内,同一 IP 请求次数 > xx 次
- 执行动作:对该 IP 执行处置,持续时间 xx 秒
IP数量限制
- IP数量限制:开启/关闭
- 触发条件:统计时间 xx 秒内,访问的独立 IP 数 > xx 个
- 执行动作:对超出限制的新访问 IP 执行处置
域名访问限制
- 域名访问限制:开启/关闭
- 触发条件:统计时间 xx 秒内,对同一域名的请求次数 > xx 次
- 执行动作:对超出限制的请求执行处置
SSL指纹防护
- SSL指纹防护:开启/关闭
- 触发条件:检测到非浏览器 SSL 指纹(脚本、爬虫或自动化工具等)
- 执行动作:对非浏览器 SSL 指纹的访问执行处置
仅对 HTTPS 请求生效。
无差别紧急防护
- 无差别紧急防护:开启/关闭
- 触发条件:所有请求生效
- 执行动作:对所有请求执行处置
各子模块中可选的执行动作类型,详见 执行动作说明。
流量防护规则
自定义流量防护规则,支持通过匹配条件筛选请求,并按统计实体进行频率控制。
- 规则名称:规则唯一标识
- 规则描述:描述规则用途
- 规则匹配:设置匹配条件,不开启则对所有请求生效
- 统计对象:统计攻击实体,如 IP、Cookie 中的 session 等
- 统计时间(秒):统计时间窗口
- 请求次数超过:触发处罚的阈值
- IP处罚方式:阻断请求 / 拒绝响应 / 人机识别 / 网络封禁 / 观察模式
- IP处罚持续时间:处罚持续时间(秒)
配置例子:
规则匹配 关闭
统计对象 http_args:src_ip + http_args:path
统计时间(秒) 60
请求次数超过 100
IP处罚方式 阻断请求
IP处罚持续时间 3600
同一 IP 地址针对同一个 URI,在 60 秒内发起超过 100 次请求后,将被阻断 3600 秒。
如果同一 IP 访问不同的 URI,在 60 秒内发起超过 100 次请求,则不符合规则匹配条件,不会触发处罚。
IP 区域封禁
- IP区域封禁状态:开启/关闭
- 匹配模式:白名单模式(仅允许列表内区域访问)/ 黑名单模式(禁止列表内区域访问)
- 名单区域:选择对应的国家或地区
- 执行动作:阻断请求 / 拒绝响应 / 观察模式 / 人机识别
例如开启白名单模式并选择「中国大陆」,则非中国大陆的 IP 访问将被处置。
流量白名单规则
对特定请求跳过流量安全防护检测:
- 规则名称:规则唯一标识
- 规则描述:描述规则用途
- 规则匹配:设置匹配条件
- 执行动作:流量安全防护加白(仅跳过流量安全防护模块)、观察模式
配置示例:对搜索引擎爬虫 IP 段 66.249.0.0/16 的请求执行流量安全防护加白,避免误限速。
名单防护
- 名单名称:名单的唯一标识
- 名单描述:名单用途说明
- 过期时间:默认永久生效,可自定义过期时间(秒)
- 匹配参数:支持与防护规则相同的匹配参数,支持多个组合。例如封禁特定 IP 访问特定域名,可设置
header_args:host + http_args:src_ip,条目写入www.test.com1.1.1.1 - 执行动作:阻断请求 / 拒绝响应 / 人机识别 / 网络封禁 / 观察模式 / 安全防护全加白 / Web安全防护加白 / 流量安全防护加白
名单条目支持添加、搜索、删除操作,可通过 WAF 节点 API 动态增加和删除条目。
防护组件
自定义组件系统,支持编写 Lua 代码实现自定义检测逻辑。
- 组件名称
- 组件描述
- 组件代码:Lua 代码,需 Base64 编码后输入
- 组件配置:JSON 格式,将通过
conf_data传入组件
模板如下:
local _M = {}
function _M.check(conf_data)
if conf_data == nil then
return
end
return
end
return _M
高级配置
自定义请求头
在转发请求到源站前,按匹配条件为请求添加指定的请求头。
- 规则名称:规则唯一标识
- 规则描述:描述规则用途
- 规则匹配:设置匹配条件,不开启则对所有请求生效
- 请求头名称:要添加的请求头名称,例如
Content-Type - 请求头字段值:请求头的值,例如
application/json
自定义响应头
在返回响应给客户端前,按匹配条件为响应添加指定的响应头。
- 规则名称:规则唯一标识
- 规则描述:描述规则用途
- 规则匹配:设置匹配条件,不开启则对所有请求生效
- 响应头名称:要添加的响应头名称,例如
X-Frame-Options - 响应头字段值:响应头的值,例如
DENY
自定义响应内容
按匹配条件直接返回自定义内容,不进行回源。
- 规则名称:规则唯一标识
- 规则描述:描述规则用途
- 规则匹配:设置匹配条件,不开启则对所有请求生效
- Content-Type:返回的 Content-Type,例如
application/json - 响应码:返回的 HTTP 状态码
- 响应内容:返回的页面内容
自定义回源地址
按匹配条件将请求转发到指定的上游服务器地址,实现灵活的流量调度。
- 规则名称:规则唯一标识
- 规则描述:描述规则用途
- 规则匹配:设置匹配条件,不开启则对所有请求生效
- 回源地址:指定的上游服务器地址
- HTTP回源端口:上游服务器的 HTTP 端口,默认 80
- HTTPS回源端口:上游服务器的 HTTPS 端口,默认 443
系统管理
基础信息
管理 WAF 节点与管理服务器之间的通信认证密钥(UUID 格式),支持重新生成。
SSL 证书管理
- SSL证书域名:建议输入证书域名,例如
www.jxwaf.com或*.jxwaf.com - 描述:证书用途说明
- 公钥:需携带完整的证书链数据(PEM 格式)
- 私钥:证书对应的私钥(PEM 格式)
日志传输配置
- 远程日志记录:开启/关闭,开启后通过 TCP 传输 JSON 格式的日志数据到日志服务器
- 日志服务器地址:远程日志服务器 IP 地址
- 日志服务器端口:远程日志服务器端口
- 全流量日志记录:开启/关闭,开启后记录所有请求日志,关闭时仅记录处置请求
日志查询配置
- 日志查询配置:开启/关闭
- ClickHouse 服务器地址:ClickHouse 数据库服务器 IP
- ClickHouse 服务器端口:端口默认为 9004,即 ClickHouse 的 MySQL 兼容查询端口
- 用户名:ClickHouse 用户
- 密码:ClickHouse 密码
- 数据库名称:ClickHouse 数据库
- 数据库表名:ClickHouse 数据表
WebTDS 分析配置
- WebTDS分析:开启/关闭,对接 WebTDS 进行深度分析
- 分析节点IP:WebTDS 节点 IP
- 分析节点端口:WebTDS 节点端口
拦截页面配置
- 自定义拦截页面:开启/关闭,开启后可自定义阻断请求动作拦截时返回的页面内容
- 拦截响应码:默认 403
- 拦截页面HTML:拦截时返回的 HTML 内容
- 自定义404页面:开启/关闭,开启后可自定义未接入网站时返回的页面内容
- 404响应码:默认 404
- 404页面HTML:返回的 HTML 内容
配置备份与恢复
支持将全部 WAF 配置导出为 JSON 备份文件,也可从备份文件恢复配置,方便迁移或灾备。
运营中心
Web 安全报表
提供 Web 攻击的多维度分析报表:
- Web攻击次数:统计周期内的攻击总数及环比变化率
- Web攻击接口数:被攻击的唯一接口数量及环比变化率
- Web攻击IP数:发起攻击的唯一 IP 数量及环比变化率
- Web攻击来源地区数量:攻击来源的国家/地区数量及环比变化率
- Web攻击来源地区:攻击地理分布可视化地图
- Web攻击趋势:按时间维度的攻击趋势图
- Web攻击来源地区 TOP5:攻击来源最多的前五个地区
- Web攻击防护策略 TOP5:触发最多的前五个防护策略
- Web攻击接口 TOP5:被攻击最多的前五个接口
- Web攻击IP TOP5:发起攻击最多的前五个 IP
流量安全报表
提供流量攻击的多维度分析报表:
- 流量攻击次数:统计周期内的攻击总数及环比变化率
- 流量攻击接口数:被攻击的唯一接口数量及环比变化率
- 流量攻击IP数:发起攻击的唯一 IP 数量及环比变化率
- 流量攻击来源地区数量:攻击来源的国家/地区数量及环比变化率
- 流量攻击来源地区:攻击地理分布可视化地图
- 流量攻击趋势:按时间维度的攻击趋势图
- 流量攻击来源地区 TOP5:攻击来源最多的前五个地区
- 流量攻击防护策略 TOP5:触发最多的前五个防护策略
- 流量攻击接口 TOP5:被攻击最多的前五个接口
- 流量攻击IP TOP5:发起攻击最多的前五个 IP
攻击事件
按攻击 IP 维度汇总攻击行为,列表字段:
- 攻击IP:发起攻击的 IP 地址
- 攻击详情:攻击次数、拦截次数、攻击接口数量、拦截接口数量
- 防护策略:触发拦截的防护模块,如「AI应用安全防护」
- 时间:开始攻击时间、最新攻击时间
- 操作:查看行为轨迹 / 查看攻击详情 / 加入名单防护
日志查询
提供全量请求日志的检索与分析能力,支持多维度组合过滤,用于安全事件追溯、攻击行为分析和故障排查。
查询条件
时间范围:支持快速选择(1天 / 7天 / 30天)或自定义时间段
高级筛选(支持以下字段组合查询):
| 可选字段 | 字段标识 | 说明 |
|---|---|---|
| 请求时间 | request_time | 精确到秒的时间戳 |
| 域名 | host | 目标域名(Host) |
| 请求方法 | method | GET / POST / PUT / DELETE 等 |
| 请求路径 | request_uri | URL 路径 |
| Cookie | cookie | 请求携带的 Cookie 信息 |
| 查询参数 | query_string | Query String 参数 |
| 请求体 | raw_body | Request Body 原始内容 |
| 状态码 | status | HTTP 响应状态码 |
| 来源IP | src_ip | 客户端 IP 地址 |
| UA | user_agent | User-Agent 浏览器标识 |
| 国家代码 | iso_code | IP 归属国家/地区代码 |
| WAF动作 | waf_action | pass / block 等 |
| WAF模块 | waf_module | 触发的防护模块名称 |
| WAF策略 | waf_policy | 匹配的防护策略名称 |
| 扩展信息 | waf_extra | 额外的上下文数据 |
| 响应头 | raw_resp_headers | Response Headers 原始内容 |
| 响应体 | raw_resp_body | Response Body 原始内容 |
| SSL指纹 | jxwaf_ssl_fingerprint | SSL/TLS 握手指纹特征 |
- 匹配方式:支持精确匹配、模糊匹配等多种匹配模式
- 组合查询:可同时添加多个过滤条件,支持动态增删
日志详情
每条日志记录包含以下完整信息(按数据类别分类):
请求元信息
| 字段 | 说明 |
|---|---|
| 请求时间 | 请求到达 WAF 的时间戳 |
| 域名 | 目标域名 |
| 请求方法 | HTTP 方法(GET / POST 等) |
| 请求路径 | URL 路径 |
| 完整请求URI | 包含查询参数的完整 URI |
| 协议 | http / https |
| HTTP版本 | HTTP/1.1 等 |
请求内容
| 字段 | 说明 |
|---|---|
| 请求头 | Request Headers 原始内容 |
| Cookie | 请求携带的 Cookie |
| 查询参数 | Query String 参数 |
| 请求体 | Request Body 原始内容 |
客户端特征
| 字段 | 说明 |
|---|---|
| 来源IP | 经过代理/CDN后的客户端IP |
| 原始来源IP | 客户端真实原始IP |
| UA | User-Agent 浏览器标识 |
| 国家代码 | IP 归属国家/地区代码 |
| 设备指纹 | 设备唯一标识(jxwaf_devid) |
| SSL指纹 | SSL/TLS 握手指纹特征 |
响应信息
| 字段 | 说明 |
|---|---|
| 状态码 | WAF 返回给客户端的HTTP状态码 |
| 响应头 | Response Headers 原始内容 |
| 响应体 | Response Body 原始内容(如拦截页面HTML) |
WAF 处理结果
| 字段 | 说明 |
|---|---|
| WAF动作 | pass / block 等处置动作 |
| WAF模块 | 触发的防护模块名称 |
| WAF策略 | 匹配的防护策略名称 |
| 扩展信息 | 额外的上下文数据 |
| WAF节点ID | 处理该请求的WAF节点UUID |
| WAF处理耗时 | WAF引擎处理耗时(毫秒) |
上游转发信息(仅当请求被放行时)
| 字段 | 说明 |
|---|---|
| 上游地址 | 后端服务器地址 |
| 上游状态码 | 后端服务器返回的HTTP状态码 |
| 上游响应耗时 | 后端服务器响应耗时(毫秒) |
其他信息
| 字段 | 说明 |
|---|---|
| 分组名 | 域名所属分组名称 |
| 请求UUID | 请求唯一标识符(用于日志关联追踪) |
AI模型蒸馏记录
查看 AI 模型蒸馏的分析记录,包含以下信息:
- 域名:请求的目标域名
- 接口:请求的路径
- 请求内容:待分析请求的原始数据
- 攻击类型:AI 分析判定的攻击类型
- AI分析结果:模型的分析结论(正常请求 / 攻击请求)
- 操作:可对记录进行查看详情等操作
网络封禁 IP 名单
展示被网络层封禁的 IP 地址列表,支持按 IP 搜索。页面顶部显示全局封禁状态(封禁/解封)和配置同步时间,可通过「新增IP名单」手动添加。
列表字段:
- IP地址:被封禁的 IP
- 状态:封禁 / 加白
- 过期时间:封禁生效的截止时间,过期自动解除
- 来源:封禁来源(用户手动创建 / 引擎自动封禁)
- 操作:编辑
新增IP名单配置项:
- IP地址:要封禁或加白的 IP
- 过期时间(秒):1天 / 7天 / 30天 / 自定义
- 状态:封禁 / 加白
节点状态
展示各 WAF 防护节点的运行状态,包含以下信息:
- 节点:节点唯一标识(UUID)
- 主机名称:节点主机名
- IP地址:节点 IP 地址
- 时间:心跳时间(节点最后上报时间)、配置同步时间(最后拉取配置时间)
- 健康状态:正常 / 异常(超过 10 分钟无心跳则为异常)
- 操作:支持删除离线节点