1. X-Forwarded-For

流量经过CDN或者代理等场景，一般都会在HTTP头部插入对应的X-Forwarded-For字段记录真实的源IP地址，以便服务器知道访问的真实IP。勾选启用，如下图所示。

头部字段：识别插入的HTTP头部字段，目前能够识别X-Forwarded-For、Cdn-Src-Ip和Clientip三种，也可以自定义进行配置。

代理服务器IP：如果访问经过CDN、或网络环境中部署了代理设备或负载均衡设备，请在此填写受信任的真实CDN IP或代理IP，用于进行日志记录和联动封锁。

日志记录设置

用于设置日志记录类型，页面如下。

状态码：配置范围为200-599, 响应状态码记录状态码条件：

1.请求方向的攻击。

2.检测到攻击动作是允许。

：

如果外层启用开关关闭，但记录响应状态码处于勾选状态且引用当前模板的策略启用记录日志时，功能仍旧生效

 

COOKIE攻击防护

COOKIE是客户端浏览某网站时，网站存储在客户端机器上的一个小文本文件。一般情况下，它会记录客户端的用户ID、密码、浏览过的网页、停留的时间等信息，当同一客户端再次访问该网站时，网站通过读取COOKIE，得知相关信息就可以做出相应的动作。当客户端访问服务器时，一些重要的信息会保留在COOKIE里，可能会被他人利用，导致信息泄露。

攻击者利用COOKIE的方式一般有两种：盗用COOKIE和篡改COOKIE，盗用COOKIE是为了伪造合法身份欺骗服务器，篡改COOKIE是为了利用服务器实现上的逻辑缺陷。

COOKIE攻击防护是根据COOKIE的属性和客户諯信息来检测COOKIE是否被盗用和篡改。可以针对所有的COOKIE属性做防护，也可以针对某些属性做防护。

根据COOKIE的属性值和客户端通信来检测COOKIE否被盗用或者篡改。配置如下图所示。

当COOKIE被篡改时可选择是否需要替换篡改，选择替换时，会将COOKIE替换为*，可以指定COOKIE属性防护或不防护。

参数防护

自定义参数防护：可以自定义相关参数，支持正则表达式匹配，表示满足设置相关正则表达式的条件后，匹配动作为拒绝。

CC攻击防护

用于防止针对网站发起的CC攻击。配置如下。

来源IP防CC：启用后，来源IP地址的访问次数超过设定上限的，禁止该IP地址的任何后续访问。

Referer防CC：启用后，对于Referer中相同的URL，累计访问次数超过设定上限的，禁止具有相同Referer URL的任何来源IP地址的访问。

特定URL防CC：启用后，来源IP地址对目的URL的访问次数超过设定上限的，禁止该IP地址的任何后续访问。

CC防护规则配置：可以自定义CC防护规则。

用户登录权限防护

客户网站中有管理页面，但不允许对管理页面的直接登陆，必须通过AF设备的短信认证后才能登陆管理页面，这就是用户登陆权限防护。支持web登录权限防护和非web登录权限防护。

Web登录路径

URL：Web资源防护，即登录的URL的防护路径，如192.168.1.1/login.php

非Web登录方式

预定义服务/FTP：选择需要防护的非Web资源，只支持TCP类型。

URL：主动认证的URL，访问后返回认证页面。

允许短信验证号码

手机号码：填写管理员手机号码，即认证接收的号码。

发送测试短信：发送测试短信，验证短信猫是否可用。

验证通过后有效时间：白名单时间，认证后这段时间内无需再认证。

勾选允许bypass，当检测到短信网关失败后，登录防护将自动取消短信认证。

：

配置用于非Web登陆方式认证的URL：此处配置一个不存在的url，用户访问此url时必须经过AF设备，AF设备会抓取TCP连接并返回短信认证页面。若此处配置的url与客户内部网站的真实URL冲突，用户将只能浏览到短信认证页面。

CSRF防护

跨站伪造请求(Cross Site Request Forgery，CSRF)，也被称成为“one click attack”或者session riding，通常缩写为CSRF或者XSRF，是一种挟制终端用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。通过配置CSRF防护，可以有效防止该类攻击行为。配置页面如下。

通过配置需要进行防护的域名，已经新增需要防护的页面和允许访问的来源页面，保证跳转只能从允许访问的来源页面（Referer）来访问需要防护的页面（Target），达到组织CSRF攻击的目的。

受限URL防护

 保护用户的关键资源不被非法客户端强制浏览。配置如下。

仅允许从www.sangfor.com.cn/bbs/index.html 访问www.sangfor.com.cn的域名主页，不允许通过其他方式的访问该域名。

Web智能语义引擎

通过智能语义引擎，对命令注入、PHP代码、JAVA代码、XEE攻击、Webshell上传、SQL注入、XSS攻击、后门扫描防护进行算法检测，不需要进行规则检测，从而提高检测率。如下图所示。

 Web智能语义引擎说明

引擎类型	说明
命令注入防护	提高命令注入攻击检测的安全效果，如果用户对安全性要求较高，可以接受一定的误报，建议选择高检出；如果用户对业务稳定性要求高，建议选择低误报。
PHP代码注入防护	提升对未知漏洞进行PHP代码注入攻击的检测能力，减少对规则的依赖，如用户对业务稳定性要求较高，可选择低误报。
JAVA代码注入防护	增加对更多java表达式语言的检测能力，减少漏报。
XXE攻击防护	XXE安全检测引擎，通过语法进行分析检测，减少漏报以及误报，提高AF拦截成功率，提高AF安全检测能力
Webshell上传防护	减少因为缓冲区截断而导致的漏报，如果用户对安全性要求较高，能接受一定的误报，建议选择高检出如果用户对业务稳定性要求高，建议选择低误报。
SQL注入防护	SQL注入防护引擎，将改进AF的防御效果，增加抗绕过能力和降低误报率，该功能默认启用，并选择低误报和禁用非注入型检测，适用于SQL业务较多的场景，在SQL业务较少的场景下可选择高检出和启用非注入型检测。
XSS攻击防护	XSS攻击防护引擎可以增强对XSS攻击的检测能力，降低误报率，该功能默认启用，并选择低误报，适用于后台编辑前端页面较多的场景，在安全要求较高的场景下可以选择高检出。
后门扫描防护	后门扫描防护引擎可以增强对后门扫描攻击的检测能力，该功能默认启用，并选择低误报，在安全要求较高的场景下可以选择高检出。
模板注入防护	模板注入防护引擎对用户输入未经过滤就解析，用户输入可利用模板语法将恶意payload注入模板中，服务端执行模板，引起RCE和信息泄露等危害，以模板为概念产生的漏洞问题进行防护，默认关闭，在安全要求较高的场景下可以选择高检出。
PHP反序列化攻击防护	PHP反序列化攻击防护引擎可以增强对PHP反序列化攻击的检测防护能力，该功能默认启用，并选择低误报，在安全要求较高的场景下可以选择高检出

 

业务自主学习防护

业务自主学习防护是通过识别异常流量的方式，对客户的业务流量建立由特征模型组

成的基线，从而检出异于业务的流量，针对检出的异常流量，也将尝试识别其中的已

知攻击特征，从而分离出未知恶意行为和已知攻击行为。该功能默认关闭。

 

解析配置

XML解析引擎检测功能，增强XML攻击检测识别。能够检测http报文中的body部分，即通过XML协议传输包装的webshell的一种攻击绕过手段。如下图所示。