Cr1ssJ/waf-security-runbooks

# WAF 安全运维手册 ## 📋 本仓库内容 本仓库包含基于实际 WAF 运维经验的操作手册，记录了运维团队的实践经验和决策逻辑。这些不是厂商文档的简单复述——它们记录了 WAF 工程师日常使用的决策逻辑和排查流程，用于区分误报和真实威胁、在不产生安全盲点的前提下调整策略，并高效响应安全事件。 **目标读者：** - WAF / Application Security Engineers - Security Operations Center (SOC) Analysts 处理 Web 流量告警 - 云安全专业人员管理 WAAP 平台 - 准备从事 Imperva、Cloudflare 或类似平台相关工作的人员 ## 📁 仓库结构 ``` waf-security-runbooks/ │ ├── README.md │ ├── 01-false-positive-diagnosis/ │ └── waf-false-positive-triage.md │ │ │ ├── 02-ddos-alert-triage/ │ └── ddos-burst-vs-attack.md │ │ │ ├── 03-bot-protection/ │ ├── abp-traffic-classification.md │ └── mobile-sdk-fingerprints.md │ │ ├── 04-waf-rule-tuning/ │ └── allowlist-decision-framework.md │ │ │ ├── 05-incident-response/ │ └── incident-report-template.md ``` ## 🗂️ 手册索引 | 序号 | 手册 | 描述 | |---|---|---| | 01 | [误报诊断](./01-false-positive-diagnosis/) | 确认或排除 WAF 告警中误报的结构化分类流程 | | 02 | [DDoS 告警分类](./02-ddos-alert-triage/) | 如何区分 Imperva 突发检测与真实容量攻击 | | 03 | [Bot 防护与 ABP](./03-bot-protection/) | ABP 流量分类——移动 SDK、善意的 Bot 和恶意模式 | | 04 | [WAF 规则调优](./04-waf-rule-tuning/) | 在不产生安全盲点的前提下调优 WAF 规则的方法论 | | 05 | [事件响应](./05-incident-response/) | 多向量攻击响应流程和面向客户的报告模板 | ## 🔧 平台覆盖范围 | 平台 | 覆盖级别 | |---|---| | **Imperva Cloud WAAP** | 主要——大多数手册都涉及 Imperva 的概念和术语 | | **Cloudflare WAF** | 次要——在适用时标注等效概念 | | **通用 / 平台无关** | 所有核心方法论均适用于各平台 | ## ⚠️ 重要说明 - 所有手册均不包含客户数据、专有配置或敏感信息。 - 所有示例均使用模拟/匿名流量模式。 - 手册反映的是运维经验，可能不代表厂商官方推荐的做法。 ## 🤝 贡献指南 欢迎提交 Pull Request。如果您有 WAF 平台的运维经验并希望贡献手册或更正内容，请先提交 Issue 讨论具体范围。 *作者：Cristian Jiménez — WAF 工程师 | 云安全* *[LinkedIn](https://www.linkedin.com/in/cristian-jimenez1603/) · [GitHub](https://github.com/Cr1ssJ)*

标签：ABP, AMSI绕过, AppImage, DDoS防护, Imperva, WAAP, WAF, Web应用防火墙, 威胁检测, 安全告警, 安全手册, 安全运营, 扫描框架, 机器人防护, 规则调优, 误报诊断, 运行手册, 防御加固