精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条 件组合,定制化防护策略,为您的网站带来更精准的防护。
精准访问防护规则允许您设置访问防护规则,对常见的HTTP字段(如IP、路径、
Referer、User Agent、Params等)进行条件组合,用来筛选访问请求,并对命中条件 的请求设置仅记录、放行或阻断操作。
精准访问防护规则可以添加引用表,引用表防护规则对所有防护域名都生效,即所有 防护域名都可以使用精准防护规则的引用表。
说明
如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通 操作权限,才能为该企业项目下域名配置防护策略。
前提条件
已添加防护网站。
约束条件
● 检测版不支持该功能。
● 标准版(原专业版)不支持“全检测”检测模式。
● 标准版(原专业版)不支持配置Response字段。
● 标准版(原专业版)不支持引用表管理功能。
● 目前以下区域支持配置Response字段:
– 华北-北京一 准。配置攻击惩罚后,如果访问者的IP、Cookie或Params恶意请求被拦截时,
WAF将根据攻击惩罚设置的拦截时长来封禁访问者。
应用场景
精准访问防护规则”,进入精准访问防护规则配置页面,如图10-21所示。图10-21 精准访问防护配置框
用户指南 10 配置防护规则
步骤4 在“精准访问防护配置”页面,设置“检测模式”,如图10-22所示。
精准访问防护规则提供了两种检测模式:
● 短路检测:当用户的请求符合精准防护中的拦截条件时,便立刻终止检测,进行 拦截。
● 全检测:当用户的请求符合精准防护中的拦截条件时,不会立即拦截,它会继续 执行其他防护的检测,待其他防护的检测完成后进行拦截。
图10-22 检测模式
步骤5 在“精准访问防护配置”页面左上角,单击“添加规则”。
步骤6 在弹出的对话框中,根据表10-7和配置示例-拦截特定的攻击请求添加精准访问防护规 则。
以图10-23的配置为例,其含义为:当用户访问目标域名下包含“/admin”的URL地 址时,WAF将阻断该用户访问目标URL地址。
须知
如果不确定配置的精准访问防护规则是否会使WAF误拦截正常的访问请求,您可以先 将精准访问防护规则的“防护动作”设置为“仅记录”,在“防护事件”页面查看防 护事件,确认WAF不会误拦截正常的访问请求后,再将该精准访问防护规则的“防护 动作”设置为“阻断”。
图10-23 添加精准访问防护规则
表10-7 规则参数说明
参数 参数说明 取值样例
防护动作 可选择“阻断”、“放行”或者“仅记 录”。默认为“阻断”。
“阻断”
攻击惩罚 当“防护动作”设置为“阻断”时,您可 以设置攻击惩罚标准。设置攻击惩罚后,
当访问者的IP、Cookie或Params恶意请求 被拦截时,WAF将根据惩罚标准设置的拦 截时长来封禁访问者。
长时间IP拦截
生效时间 用户可以选择“立即生效”或者自定义设 置生效时间段。
自定义设置的时间只能为将来的某一时间 段。
“立即生效”
用户指南 10 配置防护规则
参数 参数说明 取值样例
● 子字段:当字段选择“Params”、
“Cookie”或者“Header”时,请根 据实际使用需求配置子字段。 一个值时,WAF将进行防护动作(阻 断、放行或仅记录)。例如,设置“路 径”字段的逻辑为“不包含所有”,选 择了“test”引用表,如果“test”引 用表中设置的值为test1、test2和 test3,则当访问请求的路径不包含 test1、test2或test3时,WAF将进行防 护动作。
● 内容:输入或者选择条件匹配的内 容。
说明具体的配置请参见表10-8。
● “路径”包含“/
admin/”
● “User Agent”前缀不 为“mozilla/5.0”
● “IP”等于
“192.168.2.3”
● “Cookie[key1]”前缀 不为“jsessionid”
优先级 设置该条件规则检测的顺序值。如果您设 同,则WAF将根据添加防护规则的先后顺序进 行排序匹配。
5
参数 参数说明 取值样例
admin”,该规则必 须填写为“/
admin”)
-- 在“逻辑”下拉列表框
中选择逻辑关系。 /buy/phone/
须知路径设置为“/”
时,表示防护网站 所有路径。
User Agent:设置为 需要防护的扫描器的 用户代理。
-- Mozilla/5.0
(Windows NT 6.1) IP:设置为需要防护
的访问者IP地址。
支持IPv4和IPv6两种 格式的IP地址。
须知
仅专业版(原企业 版)和铂金版(原旗 舰版)支持IPv6防 护,且当前仅“华 东”和“华北”区域 支持IPv4/IPv6双栈和 NAT64。
-- ● IPv4,例如:
192.168.1.1
● IPv6,例如:
1050:0:0:0:5:60 0:300c:326b
Params:设置为需
要防护的请求参数。 sttl 201901150929
用户指南 10 配置防护规则
字段 子字段(举 例)
逻辑 内容(举例)
Referer:设置为需要 防护的自定义请求访 问的来源。
例如:防护路径设置 为“/admin/xxx”,
若用户不希望访问者 从“www.test.com”
访问该页面,则
“Referer”对应的
“内容”设置为
“http://
www.test.com”。
- http://
www.test.com
Cookie:根据Cookie
区分的Web访问者。 name jsessionid Header:设置为需
要防护的自定义 HTTP首部。
Accept text/
html,application/
xhtml
+xml,application/
xml;q=0.9,image/
webp,image/
apng,*/*;q=0.8 Method:需要防护
的自定义请求的方 法。
-- GET、POST、
PUT、DELETE、
PATCH Request Line:需要
防护的自定义请求行 的长度。
-- 50
Request:需要防护 的自定义请求的长 度。包含请求头、请 求行、请求体。
--
--Protocol:需要防护
的请求的协议。 -- http
Response Code:请 求返回的状态代码。
-- ● 等于
● 不等于
● 等于任意一个
● 不等于所有
404
字段 子字段(举 例)
逻辑 内容(举例)
Response Length:
请求返回的响应长
--Response Time:响 应时间。
--Response Header:
响应头。 -- ● 包含
● 不包含
● 等于
● 不等于
--Response Body:响
应的消息体。 -- ● 包含
专业版(原企业版)、铂金版(原旗舰版)和独享模式支持“Response Code”、
“Response Length”、“Response Time”、“Response Header”和“Response Body”字段,且仅以下区域支持这些字段:
● 华北-北京一
● 规则添加成功后,默认的“规则状态”为“已开启”,若您暂时不想使该规则生 效,可在目标规则所在行的“操作”列,单击“关闭”。
● 若需要修改添加的精准访问防护规则时,可单击待修改的精准访问防护规则所在 行的“修改”,修改精准访问防护规则。
● 若需要删除添加的精准访问防护规则时,可单击待删除的精准访问防护规则所在 行的“删除”,删除精准访问防护规则。
----结束
防护效果
假如已添加域名“www.example.com”,且配置了如图10-23所示的精准访问防护规 则。可参照以下步骤验证防护效果:
步骤1 清理浏览器缓存,在浏览器中输入防护域名,测试网站域名是否能正常访问。
● 不能正常访问,参照步骤三:域名接入配置章节重新完成域名接入。
● 能正常访问,执行2。
步骤2 清理浏览器缓存,在浏览器中访问“http://www.example.com/admin”页面或者包 含/admin的任意页面,正常情况下,WAF会阻断满足条件的访问请求,返回拦截页 面。
步骤3 返回Web应用防火墙控制界面,在左侧导航树中,单击“防护事件”,进入“防护事 件”页面,查看防护域名拦截日志,您也可以下载防护事件数据。
----结束
配置示例-拦截特定的攻击请求
通过分析某类特定的WordPress反弹攻击,发现其特征是User-Agent字段都包含 WordPress,如图10-25所示。
图10-25 WordPress 反弹攻击
因此,可以设置精准访问控制规则,拦截该类WordPress反弹攻击请求。
图10-26 User Agent 配置
配置示例-拦截特定的 URL 请求
如果您遇到有大量IP在访问某个特定且不存在的URL,您可以通过配置以下精准访问防 护规则直接阻断所有该类请求,降低源站服务器的资源消耗,如图10-27所示。
图10-27 特定的 URL 拦截
配置示例-拦截字段为空值的请求
如果您需要拦截某个为空值的字段,您可以通过配置精准访问防护规则直接阻断该类 请求。例如,防护域名“www.example.com”,您需要对Referer的空字段进行拦截,
配置示例如图10-28所示。
图10-28 Referer 空值拦截
配置示例-拦截指定文件类型(zip、tar、docx 等)
通过配置路径字段匹配的文件类型,您可以阻断特定的文件类型。例如,您需要拦截
“.zip”格式文件,您可以配置精准防护防护规则阻断“.zip”文件类型访问请求,如
用户指南 10 配置防护规则
图10-29 阻断特定文件类型请求
配置示例-防盗链
通过配置Referer匹配字段的访问控制规则,您可以阻断特定网站的盗链。例如,您发 现“https://abc.blog.com”大量盗用本站的图片,您可以配置精准访问防护规则阻断 相关访问请求。
图10-30 防盗链
配置示例-放行指定 IP 的特定 URL 请求
通过配置多条“条件列表”,当访问请求同时满足条件列表时,可以实现放行指定IP 的特定URL请求,如图10-31所示。
图10-31 放行指定 IP 访问特定路径