配置参考
FOXWAF 推荐通过 Web 控制台配置,所有变更即时生效;以下是各模块的关键参数说明。
站点
每个站点是一份「监听端口 + SNI / Host + 上游 + 证书 + 规则」的组合:
| 字段 | 说明 |
|---|---|
| 监听 | 0.0.0.0:443 / 0.0.0.0:80 / 多端口共存 |
| SNI / Host | 支持精确、通配符(*.example.com)与正则匹配 |
| 上游 | 多个 http://ip:port / https://...;可设权重 |
| 负载均衡 | 轮询 / 加权 / 一致性哈希 / 最少连接 |
| 证书 | RSA / ECDSA / SM2;可启用 OCSP Stapling |
| HTTPS 重定向 | 80 → 443 自动跳转 |
| WebSocket | 透传开关;超时单独配置 |
TLS 证书
- 支持上传 PEM / PFX;私钥存储经加密落盘
- 多域名独立证书:每条 SNI 绑定一份证书,互不影响
- 证书替换即时生效:旧连接自然结束,新连接使用新证书
- 国密 SM2 证书与 RSA / ECDSA 共存于同一 SNI(同时颁发双证)
规则集
规则集分为系统规则、行业规则、自定义规则三类:
| 类别 | 来源 | 更新方式 |
|---|---|---|
| 系统规则 | OWASP Core / FOXWAF 官方扩展 | 随版本发布更新 |
| 行业规则 | 金融 / 政务 / 电商专项Pro | 云端规则源订阅 |
| 自定义规则 | 控制台或 API 创建Pro | 保存即生效 |
建议:新建自定义规则先用「监控模式」观察 24~48 小时,确认无误报后再切换为「阻断模式」。
CC / Bot 防护Pro
- CC 速率:按 IP / 用户 / 路径设置每秒 / 每分钟阈值
- JS Challenge:超阈值时返回轻量 JS 验证页,浏览器自动通过、自动化工具被拦截
- Bot 检测:行为分析 + TLS 指纹 + DevTools 反调试三重判定
- 白名单:搜索引擎爬虫(Googlebot / Bingbot 等)按 UA + 反向 DNS 校验后放行
镜像源
WAF 升级时按优先级依次尝试镜像源,任一成功即停止。可在控制台「镜像源管理」配置:
| 平台 | 说明 |
|---|---|
| GitHub | 海外节点首选 |
| GitCode | 国内 CSDN 旗下,稳定且无需代理 |
| 官方直链 | 所有镜像失败时的兜底 |
热更新
所有配置在保存时即时生效,无需重启。底层使用 RCU 风格切换:
- 新请求走新配置;进行中的请求继续按旧配置完成
- 规则 Trie 重建采用双 buffer,写入完成后原子指针切换
- 证书 / SNI 路由表为只读 map,更新时整体替换
审计与合规
- 所有配置变更记录于「审计日志」,含操作者、时间、前后值
- 攻击日志支持导出 CSV / JSON,对接 SIEM / SOC
- 支持按月份归档与自动清理,符合等保三级日志留存要求
延伸阅读
- 安全架构 — 流水线与热更新机制
- OpenAPI 参考 — PRO 自动化 API 完整接口目录
- 插件与扩展 — 注入业务专属逻辑
- 版本发布 — 各版本的功能更新