很多企業把 WAF 視為「出事才加裝」的補丁，但實務上，WAF 的價值在於 上線前先把可預期風險關掉。尤其是活動頁、購物車、會員註冊與後台登入這類高互動頁面，如果沒有先建立防護基線，流量一放大就容易出現 bot 濫用、暴力登入、注入攻擊與可用性波動。

以下整理 5 個最常被忽略、但最該在上線前完成的 WAF 防護基線，讓網站在成長前就先站穩。

網站上線前必備：5 大 WAF 核心防護基線

1) 先定義「業務關鍵路徑」再套規則

不要一開始就全站同一套規則。先辨識關鍵路徑（登入、註冊、結帳、API webhook、管理後台），再分層配置 WAF 規則與敏感度。這樣可以同時兼顧防護力與誤攔截控制。

2) 建立 Bot 與 Rate Limit 的雙層門檻

僅靠 IP 封鎖通常不夠。建議採「Bot 行為判斷 + 路徑級流量限制」雙層策略：先分辨正常爬蟲與異常自動化流量，再針對登入、表單、查詢 API 設定每分鐘請求上限，避免資源被惡意消耗。

3) 對 OWASP Top 10 相關規則做情境化調整

WAF 預設規則可先擋大部分噪音，但企業站常有客製 API 或第三方串接。建議針對 SQL Injection、XSS、RCE 等核心規則做情境化白名單與例外管理，避免「全開造成誤攔」或「為了不誤攔而全關」。

4) 讓告警與日誌可用，而不只是可看

許多團隊有開告警，但沒有告警分級與處理路徑。建議把 WAF 告警分成 P1/P2/P3，並對應通報對象、SLA、回應動作（封鎖、驗證、觀察）。同時保留可回溯的事件紀錄，方便事後追蹤與稽核。

5) 上線前做一次「低風險演練」

在正式流量前，用測試環境或低峰時段做一次規則演練：包含誤攔排除、速率限制觸發、告警通知是否到位。這一步能提前暴露設定落差，避免真實攻擊發生時手忙腳亂。

結語：WAF 要當作營運基礎，而不是事故保險

WAF 最有價值的時機，是在問題發生之前。當防護基線、告警流程與調校機制都建立好，網站才能在流量成長與活動高峰時維持穩定，資安與營運目標也比較不會互相拉扯。