配置精准访问防护规则定制化防护策略-凯发k8国际娱乐官网入口
精准访问防护策略可对http首部、cookie、访问url、请求参数或者客户端ip进行条件组合,定制化防护策略,为您的网站带来更精准的防护。
精准访问防护规则允许您设置访问防护规则,对常见的http字段(如ip、路径、referer、user agent、params等)进行条件组合,用来筛选访问请求,并对命中条件的请求设置仅记录、放行或阻断操作。
精准访问防护规则可以添加引用表,引用表防护规则对所有防护域名都生效,即所有防护域名都可以使用精准防护规则的引用表。
如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能为该企业项目下域名配置防护策略。
约束条件
- 入门版不支持该功能。
- 标准版不支持“全检测”检测模式。
- 标准版不支持引用表管理功能。
- 添加或修改防护规则后,规则生效需要等待几分钟。规则生效后,您可以在“防护事件”页面查看防护效果。
- 当精准访问防护规则的“防护动作”设置为“阻断”时,您可以。配置攻击惩罚后,如果访问者的ip、cookie或params恶意请求被拦截时,waf将根据攻击惩罚设置的拦截时长来封禁访问者。
- 配置的“路径”的“内容”不能包含特殊字符(' "<>&*#%\?)。
应用场景
精准访问防护支持业务场景定制化的防护策略,可用于盗链防护、网站管理后台保护等场景。
操作步骤
- 。
- 单击管理控制台左上角的,选择区域或项目。
- 单击页面左上方的,选择 。
- 在左侧导航树中,选择“防护策略”,进入“防护策略”页面。
- 单击目标策略名称,进入目标策略的防护配置页面。
- 选择“精准访问防护”配置框,用户可根据自己的需要开启或关闭精准访问防护策略。
- :开启状态。
- :关闭状态。
- 在“精准访问防护配置”页面,设置“检测模式”。
精准访问防护规则提供了两种检测模式:
- 短路检测:当用户的请求符合精准防护中的拦截条件时,便立刻终止检测,进行拦截。
- 全检测:当用户的请求符合精准防护中的拦截条件时,不会立即拦截,它会继续执行其他防护的检测,待其他防护的检测完成后进行拦截。
图1 检测模式
- 在“精准访问防护”规则配置列表左上方,单击“添加规则”。
- 在弹出的对话框中,根据表1添加精准访问防护规则。
以图2的配置为例,其含义为:当用户访问目标域名下包含“/admin”的url地址时,waf将阻断该用户访问目标url地址。
如果不确定配置的精准访问防护规则是否会使waf误拦截正常的访问请求,您可以先将精准访问防护规则的“防护动作”设置为“仅记录”,在“防护事件”页面查看防护事件,确认waf不会误拦截正常的访问请求后,再将该精准访问防护规则的“防护动作”设置为“阻断”。
图2 添加精准访问防护规则
表1 规则参数说明 参数
参数说明
取值样例
规则描述
可选参数,设置该规则的备注信息。
--
条件列表
单击“添加”增加新的条件,一个防护规则至少包含一项条件,最多可添加30项条件,多个条件同时满足时,本条规则才生效。
条件设置参数说明如下:- 字段
- 子字段:当字段选择“ip”、“params”、“cookie”或者“header”时,请根据实际使用需求配置子字段。
须知:
子字段的长度不能超过2048字节,且只能由数字、字母、下划线和中划线组成。
- 逻辑:在“逻辑”下拉列表中选择需要的逻辑关系。
说明:
- 选择“包含任意一个”、“不包含所有”、“等于任意一个”、“不等于所有”、“前缀为任意一个”、“前缀不为所有”、“后缀为任意一个”或者“后缀不为所有”时,“内容”需要选择引用表名称,创建引用表的详细操作请参见。
- “不包含所有”、“不等于所有”、“前缀不为所有”、“后缀不为所有”是指当访问请求中字段不包含、不等于、前/后缀不为引用表中设置的任何一个值时,waf将进行防护动作(阻断、放行或仅记录)。例如,设置“路径”字段的逻辑为“不包含所有”,选择了“test”引用表,如果“test”引用表中设置的值为test1、test2和test3,则当访问请求的路径不包含test1、test2或test3时,waf将进行防护动作。
- 内容:输入或者选择条件匹配的内容。
说明:具体的配置请参见。
- “路径”包含“/admin/”
- “user agent”前缀不为“mozilla/5.0”
- “ip”等于“192.168.2.3”
- “cookie[key1]”前缀不为“jsessionid”
防护动作
可选择“阻断”、“放行”或者“仅记录”。默认为“阻断”。
“阻断”
攻击惩罚
当“防护动作”设置为“阻断”时,您可以设置攻击惩罚标准。设置攻击惩罚后,当访问者的ip、cookie或params恶意请求被拦截时,waf将根据惩罚标准设置的拦截时长来封禁访问者。
长时间ip拦截
优先级
设置该条件规则检测的顺序值。如果您设置了多条规则,则多条规则间有先后匹配顺序,即访问请求将根据您设定的精准访问控制规则优先级依次进行匹配,优先级较小的精准访问控制规则优先匹配。
您可以通过优先级功能对所有精准访问控制规则进行排序,以获得最优的防护效果。
须知:如果多条精准访问控制规则的优先级取值相同,则waf将根据添加防护规则的先后顺序进行排序匹配。
5
生效时间
用户可以选择“立即生效”或者自定义设置生效时间段。
自定义设置的时间只能为将来的某一时间段。
“立即生效”
- 单击“确认”,添加的精准访问防护规则展示在精准访问防护规则列表中。
- 规则添加成功后,默认的“规则状态”为“已开启”,若您暂时不想使该规则生效,可在目标规则所在行的“操作”列,单击“关闭”。
- 若需要修改添加的精准访问防护规则时,可单击待修改的精准访问防护规则所在行的“修改”,修改精准访问防护规则。
- 若需要删除添加的精准访问防护规则时,可单击待删除的精准访问防护规则所在行的“删除”,删除精准访问防护规则。
防护效果
假如已添加域名“www.example.com”,且配置了如图2所示的精准访问防护规则。可参照以下步骤验证防护效果:
配置示例-拦截特定的攻击请求
通过分析某类特定的wordpress反弹攻击,发现其特征是user-agent字段都包含wordpress,如图3所示。
因此,可以设置精准访问控制规则,拦截该类wordpress反弹攻击请求。
配置示例-拦截特定的url请求
如果您遇到有大量ip在访问某个特定且不存在的url,您可以通过配置以下精准访问防护规则直接阻断所有该类请求,降低源站服务器的资源消耗,如图5所示。
配置示例-拦截指定文件类型(zip、tar、docx等)
通过配置路径字段匹配的文件类型,您可以阻断特定的文件类型。例如,您需要拦截“.zip”格式文件,您可以配置精准防护规则阻断“.zip”文件类型访问请求,如图7所示。
配置示例-防盗链
通过配置referer匹配字段的访问控制规则,您可以阻断特定网站的盗链。例如,您发现“https://abc.blog.com”大量盗用本站的图片,您可以配置精准访问防护规则阻断相关访问请求。
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨