AWAFAWAF

配置

AWAF 的核心设置保存在 config.ini,规则和例外保存在 lists/ 目录。

基础模式

先启用日志和 CAPTCHA;确认真实用户和代理头无误后,再启用 BLOCK。

[main]
enabled = On
debug = On
header404 = Off

代理与真实 IP

如果 PHP 前面有 nginx、负载均衡或 CDN,请启用 header_proxy,否则 AWAF 会看到代理地址。

[header_proxy]
enabled = On
header_ip = X-Real-IP
header_http_version = X-Forwarded-Http-Version
header_protocol = X-Forwarded-Proto

过滤动作

风险较高的启发式规则建议使用 CAPTCHA,确认的攻击来源再使用 BLOCK,以减少误拦截。

[fps_checker]
enabled = On
action = CAPTCHA
fps = 50

[http_checker]
enabled = On
protocols = "HTTP/1.0"
action = BLOCK

规则列表

长期例外放入 whitelist_*,临时封禁放入 blacklist_*,不确定来源放入 captcha_*。

  • whitelist_ip, blacklist_ip, captcha_ip
  • whitelist_url, blacklist_uri, captcha_uri
  • whitelist_useragent, captcha_useragent
  • whitelist_asn, blacklist_asn, captcha_asn

日志与更新

部署期间使用 debug,稳定后降低日志量并设置轮转。AWAF 更新应保留 config.ini、lists/ 和 logs/。

[logs]
max_size = 10
rotate = 7

[sysupdate]
enabled = Off
branch = dev