Bunny Shield评测：3个需要改进的方面

Bunny Shield的优势

Bunny Shield延续了Bunny.net提供简洁易用界面的传统。启用服务和设置防火墙或速率限制规则都非常简单。对于没有专职安全人员的小型网站和团队来说，这种可用性非常宝贵。

开箱即用的规则目录相当合理，能够捕获常见威胁，同时不会让用户陷入复杂的调优工作。对大多数用户而言，Bunny Shield是基础Web保护的明智选择。

遇到的最关键问题之一是Bunny Shield阻止了Let’s Encrypt的HTTP-01质询。这有时会通过Bunny自身的证书机制停止自动TLS证书续订，如果不及时发现可能导致服务中断。

好消息是Bunny支持团队已表示知晓该问题并正在修复。目前，依赖HTTP-01验证的用户应谨慎操作或禁用WAF。

目前Bunny Shield没有提供特定的机器人管理解决方案。这意味着无法区分有害机器人和合法爬虫（如Ahrefs、Semrush等SEO工具）。这导致这些"良性机器人"被阻止，影响了SEO审计和可见性。

建议增加机器人管理层或至少为预期爬虫提供简单的白名单功能。

403流量日志和WAF事件日志之间存在明显差异。虽然能看到请求被阻止，但无法清晰追溯触发了哪个具体WAF规则及其原因。这使得调试误报或微调防火墙行为变得棘手，特别是在处理大量数据时。

当Bunny Shield阻止请求时，会返回带有唯一拒绝代码的403错误。遗憾的是，目前似乎没有这些代码的查询工具。如果能在仪表板中集成查询功能，将极大改善WAF规则调试体验。

总体而言，Bunny Shield预览版表现不错，特别是在易用性方面。它易于访问，与Bunny.net平台紧密集成，已经满足了许多开发者的基本安全需求。

但要使Bunny Shield成为优秀产品，还需要解决几个关键问题，例如可观察性、机器人管理和可配置性都需要改进。

期待看到这个产品的未来发展，肯定会密切关注后续更新。