Cloudflare WAF 配置教程：防火墙规则、挑战模式与误拦截排查步骤

Cloudflare WAF 真正难的地方，不是“开了没开”，而是怎么让规则既能挡住异常请求，又不误伤正常用户和自己的自动化流程。很多站点一上来就把挑战模式拉满，结果机器人没完全挡住，自己后台、API 和正常访客反而先被误伤。教程站最该解决的，就是这种“看起来安全，实际一团乱”的问题。这篇文章就围绕 WAF 的配置、误拦截和排查顺序，把你真正会用到的步骤写清楚。

步骤 1：先分清 WAF 规则的目标

WAF 规则不是越多越好，而是越清晰越好。你要先明确自己到底想防什么：后台暴力请求、特定接口滥刷、国家地区访问、UA 异常、SQL 注入探测，还是爬虫行为。目标不明确，规则就会越写越乱，最后自己都不知道哪条规则在起作用。

步骤 2：挑战模式和拦截模式不要混用过头

Cloudflare 常见的动作包括允许、托管质询、JS 挑战、阻止等。对于不确定流量，优先考虑挑战而不是一刀切阻断。因为挑战能帮助你区分“看起来像异常”和“确定是恶意”的请求，减少误伤。

步骤 3：给 WordPress 后台和 API 留白名单

如果你的网站有 WordPress 后台、REST API 或自动化发稿流程，必须明确哪些路径要保护、哪些路径要放行。比如 /wp-json/、媒体上传接口、你自己的固定办公 IP 等，都应该有单独规则，而不是和整站访客共用一套粗暴策略。

步骤 4：误拦截时先看事件日志，再回看规则

遇到正常用户打不开、接口报错、自动化失败，不要先瞎关功能。先查 Cloudflare 事件记录，确认是哪条规则、哪个动作、哪个路径、哪个 IP 触发了拦截。看清楚以后，再决定是改条件、降级动作为挑战，还是添加白名单。

步骤 5：把规则按层次整理，不要全部堆一起

最稳的做法是把规则分成几层：全站基础规则、后台保护规则、API 例外规则、国家地区规则、速率限制规则。这样后面排障时，你至少知道问题在哪一层，而不是面对一堆互相打架的条件表达式。

步骤 6：上线后定期复盘误报与漏报

WAF 不是配完就完，它需要根据你站点实际流量不断微调。教程站更推荐你定期复盘：哪些规则几乎从不命中，哪些规则误伤严重，哪些路径需要例外。这样规则才会越来越稳。

操作清单

• 先定义防护目标，再写规则。
• 不确定流量优先挑战，不要直接封。
• WordPress 后台和 REST API 要单独考虑。
• 误拦截先看事件日志，不要盲关功能。
• 规则按层次拆开，便于后续维护。

常见问题 FAQ

1）为什么开了 WAF 以后后台操作异常？

通常是后台路径或 API 路径也被套进了全站规则，导致正常请求被误伤。

2）为什么机器人还在，但正常用户被拦了？

说明你当前规则更多是在挡“看起来不像浏览器”的请求，而不是真正针对恶意行为本身。

3）WAF 和速率限制要一起开吗？

很多场景下要一起用，但要分清两者目标：WAF 侧重特征匹配，速率限制侧重行为频率。