关于共享配置

一、功能介绍

1. 功能定义

共享配置是用于跨域名复用安全规则的核心模块，支持将自定义规则、频率限制、白名单、自定义Bot、WAF/APP例外等防护配置创建为可共享的规则集，一次创建后可被多个业务域名引用，实现「一次配置，多处生效」。

2. 访问入口

登录控制台 → 左侧导航栏选择「防护配置」→ 点击「共享配置」，即可进入共享配置管理页面。

页面包含以下核心标签页：

• 自定义规则：识别特定请求并执行拦截/延迟响应等动作
• 频率限制：限制单IP/会话的请求频率
• 白名单：放行特定IP/UA/区域的请求
• 自定义Bot：识别并管控特定Bot行为
• WAF规则例外：豁免特定请求的WAF检测
• APP/API例外：豁免特定API请求的检测
• 处理动作：统一管理可复用的响应动作

3. 核心定位

共享配置的核心价值是解决多站点/多域名场景下的安全规则复用问题，避免重复配置，提升安全管理效率与策略一致性。

二、原理说明

1. 共享机制

共享配置与具体业务域名解耦：

• 创建共享规则时，不绑定特定域名，生成独立的配置ID。
• 通过「引用域名」字段，将共享规则关联到一个或多个业务域名，实现一对多复用。
• 单域名可同时引用多个共享规则，规则间按优先级顺序执行。

2. 生效逻辑

1. 请求到达边缘节点后，先匹配域名专属配置规则。
2. 再匹配多域名共享配置规则。
3. 若共享规则与单域名规则冲突，按配置优先级（可自定义）执行最终处理动作
4. 配置变更后，边缘节点会实时/准实时同步更新，确保策略快速生效

3. 数据流转

客户端请求 → 边缘节点 → 匹配域名专属规则 → 匹配多域名共享配置规则 → 执行处理动作（拦截 / 放行 / 延迟响应等） → 返回响应

三、产品能力

1. 核心能力

2. 解决的客户问题

• 痛点1：多站点重复配置效率低下
  客户拥有数十个业务域名时，无需为每个域名重复创建相同规则（如封禁俄罗斯IP、Google站点验证白名单），一次创建即可全量复用，大幅减少运维工作量。
• 痛点2：安全策略不一致导致防护漏洞
  避免不同域名间安全策略差异（如部分域名未配置频率限制），通过共享配置实现全局策略统一，提升整体防护一致性。
• 痛点3：团队协作与策略同步困难
  安全团队创建的共享规则可快速同步给所有业务域名，无需逐个通知修改，降低协作成本与人为失误。
• 痛点4：新业务上线周期长
  新域名上线时，可直接引用成熟的共享安全策略，无需从零开始配置，缩短上线时间，快速获得安全防护。
• 痛点5：合规审计追溯困难
  共享规则的创建者、变更记录、引用域名均可追溯，满足等保、PCI DSS等合规要求，便于安全事件溯源。

四、典型使用场景

场景1：封禁特定地区IP

客户需要封禁所有来自俄罗斯的IP访问，可创建名为block russia的共享自定义规则，匹配俄罗斯区域IP，处理动作设为「拦截」，并引用到所有业务域名，实现全站点统一封禁。

场景2：统一站点验证白名单

客户需要为所有域名配置Google站点验证白名单，可创建名为google-site-verification的共享规则，匹配Google验证请求路径/UA，处理动作设为「放行」，引用到所有域名，避免重复配置。

场景3：API接口频率限制

客户为所有API域名配置统一的频率限制规则（如单IP每分钟最多100次请求），创建共享频率限制规则后，批量引用到所有API域名，保障API服务稳定性。

五、注意事项

• 域名专属配置优先级高于多域名共享配置，若存在冲突需提前规划优先级。
• 删除共享规则前，需确认已无业务域名引用，避免影响正常业务。
• 共享规则变更后，会同步到所有引用该规则的域名，需谨慎操作并提前评估影响。

六、操作入口

• 创建共享规则：点击「新增规则」，选择规则类型，配置匹配条件与处理动作，提交后即可引用。
• 引用共享规则：点击规则名称，选择「关联域名」，勾选目标共享规则并保存。
• 管理共享规则：在共享配置页面可编辑、复制、删除规则，查看引用域名与变更记录。