🔥 前言：为什么需要自定义 Cloudflare WAF？

最近网站频繁遭遇：

• 扫描器探测（masscan / nmap / zgrab）

• 恶意爬虫抓取

• CC 请求轰炸

• 灰色自动化脚本访问

于是我整理了一套 Cloudflare WAF 自定义规则（共 5 条），经过长时间运行验证，效果非常稳定，误杀率极低。

整体策略遵循：

1. 先放行可信流量（白名单）

2. 再拦截明确恶意行为（扫描器 / 恶意 ASN）

3. 对不确定流量进行 Challenge 验证

4. 对高风险地区进行托管质询

适合大多数网站直接套用。

🛡️ Cloudflare WAF 自定义规则（共 5 条）

1️⃣ 白名单｜管理员 IP 放行（避免误伤）

目的：  确保自己访问后台时不会被 WAF 拦截。

规则：

(ip.src eq 127.0.0.1)

动作：  ✅ Skip（跳过 WAF 检查）

跳过内容：

• 所有自定义规则

• 所有速率限制规则

• 所有托管规则

• 超级自动程序攻击模式

2️⃣ 白名单｜SEO 与静态资源放行（保护收录）

目的：  避免误伤 Google/Bing 抓取，确保 SEO 正常。

放行内容：

• rss.xml

• sitemap.xml

• robots.txt

• favicon

• PWA manifest

规则：

(cf.client.bot) or (http.request.uri.path in {"/rss.xml" "/sitemap.xml" "/robots.txt" "/favicon.ico" "/favicon.svg" "/favicon-96x96.png" "/apple-touch-icon.png" "/site.webmanifest" "/web-app-manifest-192x192.png" "/web-app-manifest-512x512.png"})

动作：  ✅ Skip

建议：  路径需根据自己网站实际情况调整。

3️⃣ 拦截｜恶意 ASN + 扫描器 UA（强力阻断）

目的：  直接阻断明显恶意行为。

匹配 UA 包括：

• masscan

• nmap

• zgrab

• WPScan

• sqlmap

• Acunetix

• fimap

• 各类扫描器关键词

匹配 ASN 包括：

• 恶意 ASN

• 中国大陆云厂商 ASN（阿里云 / 腾讯云 / 华为云等）

• 其他高风险 ASN

规则（节选）：

(http.user_agent eq "") 
or (http.user_agent eq "undefined") 
or (http.user_agent contains "masscan") 
or (http.user_agent contains "nmap") 
or (http.user_agent contains "zmap") 
or (http.user_agent contains "zgrab") 
or (http.user_agent contains "WPScan") 
or (http.user_agent contains "sqlmap") 
...
or (ip.src.asnum in {210644 216246 211522 214351 213194 ...})

动作：  ⛔ Block（直接阻断）

说明：  这条规则会屏蔽百度等国内搜索引擎 ASN，如需国内 SEO，请自行调整。

4️⃣ 验证｜灰色 UA 与自动化行为（JS Challenge）

目的：  对疑似自动化脚本进行验证，减少误杀。

匹配 UA 示例：

• java

• python

• libwww

• PyCurl

• PHPCrawl

• wrk

• hey

规则：

(http.user_agent contains "java")
or (http.user_agent contains "python")
or (http.user_agent contains "libwww")
or (http.user_agent contains "libweb")
or (http.user_agent contains "PyCurl")
or (http.user_agent contains "PHPCrawl")
or (http.user_agent contains "wrk")
or (http.user_agent contains "hey/")
or (http.user_agent contains "apache")
or (http.user_agent contains "scanbot")

动作：  ⚠️ JS Challenge（JS 质询）

说明：  比 Block 更温和，适合处理“可能是人类，也可能是脚本”的流量。

5️⃣ 验证｜高风险国家访问（Managed Challenge）

目的：  对来自高风险地区的访问增加验证。

规则：

(ip.src.country eq "RU") 
or (ip.src.country eq "UA") 
or (ip.src.country eq "T1")

动作：  ⚠️ Managed Challenge（托管质询）

📊 运行效果（24 小时数据）

说明： 当前攻击主要集中在扫描器探测阶段。

⚡ 总结与建议

这套 Cloudflare WAF 规则具有以下优势：

• ✅ 不误伤管理员

• ✅ 不影响 SEO 抓取

• ✅ 扫描器直接拦截

• ✅ 灰色流量用 Challenge 缓冲

• ✅ 高风险地区加一道门槛

• ✅ 适合大多数网站直接套用

如果你的网站也经常遭遇扫描器、恶意爬虫、CC 攻击，这套规则能显著提升安全性与稳定性。