接入百度智能云 Web 应用防火墙（Web Application Firewall，简称 WAF）后，您可以配置流量防护规则，基于多维度组合统计分析，当响应流量达到配置阈值时自动执行处置动作，精准识别并拦截大流量下载等带宽消耗型恶意流量。本文将指导您完成流量防护规则的创建与配置流程。

流量防护功能仅 SaaS WAF 支持，负载均衡型 WAF 暂不支持。

1. 登录 百度云 Web 应用防火墙控制台，在顶部菜单栏选择资源对应的地域。
2. 在左侧导航栏，选择 防护配置 -> Web 防护，点击 流量防护 标签页。
3. 在 流量防护 页面，单击 添加规则。

• 规则名称：为该规则设置一个名称。
• 优先级：设置规则的执行优先级，取值范围为 0~200 的整数，数字越小优先级越高。允许多条规则使用相同优先级数值，不同规则之间的优先级不要求为连续的数字。
  如需了解优先级的详细匹配逻辑，请参阅优先级说明。

• 匹配条件：定义参与流量统计的请求特征。点击「添加条件」可增加多个匹配条件，每个条件由匹配字段、逻辑符和匹配内容三部分组成。
  当规则包含多个匹配条件时，请求必须同时满足所有条件（逻辑与关系）才会被纳入统计。如需了解匹配字段和逻辑符的详细说明，请参阅匹配条件说明。

• 流量阈值：定义流量分组统计维度以及触发处置的条件，包含「请求特征」与「阈值配置」两部分。
  • 请求特征：选择按何种维度对命中匹配条件的请求进行分组聚合统计，支持多维度组合，命中匹配条件的请求会按所选维度组合进行响应流量累加统计。支持以下维度：
    • IP：以客户端 IP 地址为维度进行统计。
    • JA3：以 TLS JA3 指纹为维度进行统计。
    • JA4：以 TLS JA4 指纹为维度进行统计。
    • User-Agent：以请求的 User-Agent 字段值为维度进行统计。
    • URL Path：以请求的 URI 路径为维度进行统计。
    • 国家：以客户端 IP 所属国家为维度进行统计。
    • 省份：以客户端 IP 所属省份为维度进行统计。
    • 自定义 header-key：以指定的 HTTP Header 字段值为维度进行统计。
    • 自定义 query-key：以指定的 URL 查询参数值为维度进行统计。
    • 自定义 cookie-key：以指定的 Cookie 字段值为维度进行统计。
  • 阈值配置：设定触发处置动作的流量条件。
    • 统计周期（秒）：响应流量的统计周期。
    • 流量阈值：在统计周期内，同一请求特征组合的累计响应流量达到该值即触发处置动作。
• 生效范围：选择处置动作的作用范围：
  • 仅作用于当前规则的匹配条件：仅对满足当前规则匹配条件的请求执行处置动作。
  • 作用于整个防护站点：对该统计对象（如 IP）发起的所有访问当前防护站点的请求执行处置动作。
• 生效模式：指定生效时间，可选项包括：
  • 永久生效：规则开启时，永久生效，默认情况。
  • 按时间段生效：防护规则仅在指定的一段时间内生效。
  • 按周期生效：防护规则仅在指定的时间周期内生效。
• 处置动作：指定请求命中规则后的处理方式，可选项包括：
  • 观察：不阻断命中规则的请求，仅在日志中记录该请求信息。您可以通过查看 WAF 日志，分析规则的实际防护效果（例如检查是否存在误拦截情况）。
  • JS 挑战：WAF 向客户端下发一段 JavaScript 验证代码，标准浏览器会自动执行该代码。若客户端成功完成验证，WAF 将在一定时间内（默认 30 分钟）放行该客户端的后续请求；若验证失败则拦截请求。
  • 人机识别：对命中策略的访问，进行智能人机识别，包括 JavaScript 检测 + 验证码动态验证（仅企业版支持）。
  • 滑块验证：对命中请求触发滑块验证，验证通过后颁发 cookie，默认 30 分钟内不重复验证（仅企业版支持）。
  • 严格滑块验证：每次命中规则都会触发滑块验证，验证通过后放行（仅企业版支持）。
  • 动态令牌：校验请求是否携带合法令牌，合法请求可自动通过验证，无令牌或令牌无效的请求将被拦截（仅企业版支持）。
  • 拦截：直接阻断命中规则的请求，并向客户端返回拦截响应页面。
  • 回源标记：支持自定义 Header 内容，WAF 不执行处置动作，而是通过添加 Header 方式将命中信息传递给源站，供源站进行二次处理或判断。
  如需了解各处置动作的详细说明，请参阅处置动作说明。

• 处置时长（秒）：设置触发处置动作后的持续时间，单位为秒，取值范围 60~3600，默认 1800 秒。
• 自定义响应页面：选择拦截、JS 挑战、人机识别、滑块验证、严格滑块验证、动态令牌处置动作时，可在处置动作下方的「自定义响应页面」下拉框中选择绑定对应类型的自定义响应页面。
  自定义响应页面具体配置操作，请参阅自定义响应页面。

在防护站点配置项中，选择需要应用此规则的域名或实例。规则创建完成后，您也可以通过编辑规则来调整或移除已关联的防护站点。