配置精准访问防护规则_Web应用防火墙 WAF_用户指南_配置防护规则

前提条件

已添加防护网站。

规格限制

检测版不支持该功能。

约束条件

• 专业版不支持“全检测”检测模式。
• 专业版不支持配置Response字段。
• 精准访问防护规则可以添加引用表，引用表防护规则对所有防护域名都生效，即所有防护域名都可以使用精准防护规则的引用表。

  专业版不支持引用表管理功能。

• 当精准访问防护规则的“防护动作”设置为“阻断”时，您可以设置攻击惩罚。设置攻击惩罚后，如果访问者的IP、Cookie或Params恶意请求被拦截时，WAF将根据攻击惩罚设置的拦截时长来封禁访问者。有关配置攻击惩罚的详细操作，请参见配置攻击惩罚标准。

应用场景

精准访问防护支持业务场景定制化的防护策略，可用于盗链防护、网站管理后台保护等场景。

操作步骤

1. 登录管理控制台。
2. 进入防护策略配置入口，如图1所示。
   图1 防护策略配置入口
   

3. 在“精准访问防护”配置框中，用户可根据自己的需要更改“状态”，单击“自定义精准访问防护规则”，进入精准访问防护规则配置页面，如图2所示。
   图2 精准访问防护配置框
   

4. 在“精准访问防护配置”页面，设置“检测模式”，如图3所示。
   精准访问防护规则提供了两种检测模式：

   • 短路检测：当用户的请求符合精准防护中的拦截条件时，便立刻终止检测，进行拦截。
   • 全检测：当用户的请求符合精准防护中的拦截条件时，不会立即拦截，它会继续执行其他防护的检测，待其他防护的检测完成后进行拦截。
     图3 检测模式
     

5. 在“精准访问防护配置”页面左上角，单击“添加规则”。
6. 在弹出的对话框中，根据表1和配置示例添加精准访问防护规则。

   以图4的配置为例，其含义为：当用户访问目标域名下包含“/admin”的URL地址时，WAF将阻断该用户访问目标URL地址。

   图4 添加精准访问防护规则
   

   表1 规则参数说明

   参数	参数说明	取值样例
   防护动作	可选择“阻断”、“放行”或者“仅记录”。默认为“阻断”。	“阻断”
   攻击惩罚	当“防护动作”设置为“阻断”时，您可以设置攻击惩罚标准。设置攻击惩罚后，当访问者的IP、Cookie或Params恶意请求被拦截时，WAF将根据惩罚标准设置的拦截时长来封禁访问者。	长时间IP拦截
   生效时间	用户可以选择“立即生效”或者自定义设置生效时间段。 自定义设置的时间只能为将来的某一时间段。	“立即生效”
   条件列表	单击“添加”增加新的条件，一个防护规则至少包含一项条件，最多可添加30项条件，多个条件同时满足时，本条规则才生效。 字段 子字段：当字段选择“Params”、“Cookie”或者“Header”时，请根据实际使用需求配置子字段。 须知： 子字段的长度不能超过2048字节，且只能由数字、字母、下划线和中划线组成。 逻辑：在“逻辑”下拉列表中选择需要的逻辑关系。 说明： 选择“包含任意一个”、“不包含所有”、“等于任意一个”、“不等于所有”、“前缀为任意一个”、“前缀不为所有”、“后缀为任意一个”或者“后缀不为所有”时，需要选择引用表，创建引用表的详细操作请参见创建引用表。 “不包含所有”、“不等于所有”、“前缀不为所有”、“后缀不为所有”是指当访问请求中字段不包含、不等于、前/后缀不为引用表中设置的任何一个值时，WAF将进行防护动作（阻断、放行或仅记录）。例如，设置“路径”字段的逻辑为“不包含所有”，选择了“test”引用表，如果“test”引用表中设置的值为test1、test2和test3，则当访问请求的路径不包含test1、test2或test3时，WAF将进行防护动作。 内容：输入或者选择条件匹配的内容。 说明： 具体的配置请参见表2。	“路径”包含“/admin/” “User Agent”前缀不为“mozilla/5.0” “IP”等于“192.168.2.3” “Cookie[key1]”前缀不为“Nessus”
   优先级	设置该条件规则检测的顺序值。如果您设置了多条规则，则多条规则间有先后匹配顺序，即访问请求将根据您设定的精准访问控制规则顺序依次进行匹配，优先级较小的精准访问控制规则优先匹配。 您可以通过优先级功能对所有精准访问控制规则进行排序，以获得最优的防护效果。	5
   规则描述	可选参数，设置该规则的备注信息。	--

   表2 条件列表配置

   字段	子字段（举例）	逻辑	内容（举例）
   路径：设置的防护路径，不包含域名，仅支持精准匹配（需要防护的路径需要与此处填写的路径完全相等。例如，需要防护的路径为“/admin”，该规则必须填写为“/admin”）	--	在“逻辑”下拉列表框中选择逻辑关系。	/buy/phone/
   User Agent：设置为需要防护的扫描器的用户代理。	--		Mozilla/5.0 (Windows NT 6.1)
   IP：设置为需要防护的访问者IP地址。 支持IPv4和IPv6两种格式的IP地址。 须知： 当前仅“华东”区域支持IPv6防护，且仅企业版和旗舰版支持IPv6。	--		IPv4，例如：192.168.1.1 IPv6，例如：1050:0:0:0:5:600:300c:326b
   Params：设置为需要防护的请求参数。	sttl		201901150929
   Referer：设置为需要防护的自定义请求访问的来源。 例如：防护路径设置为“/admin/xxx”，若用户不希望访问者从“www.test.com”访问该页面，则“Referer”对应的“内容”设置为“http://www.test.com”。	-		http://www.test.com
   Cookie：根据Cookie区分的Web访问者。	name		Nessus
   Header：设置为需要防护的自定义HTTP首部。	Accept		text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
   Method：需要防护的自定义请求的方法。	--		GET、POST、PUT、DELETE、PATCH
   Request Line：需要防护的自定义请求行的长度。	--		50
   Request：需要防护的自定义请求的长度。包含请求头、请求行、请求体。	--		--
   Protocol：需要防护的请求的协议。	--		http
   Response Code：请求返回的状态代码。 须知： 仅企业版和旗舰版支持该字段。	--	等于 不等于 等于任意一个 不等于所有	404
   Response Length：请求返回的响应长度。 须知： 仅企业版和旗舰版支持该字段。	--	长度等于 长度不等于 长度大于 长度小于	--
   Response Time：响应时间。 须知： 仅企业版和旗舰版支持该字段。	--	长度等于 长度不等于 长度大于 长度小于	--
   Response Header：响应头。 须知： 仅企业版和旗舰版支持该字段。	--	包含 不包含 等于 不等于	--
   Response Body：响应的消息体。 须知： 仅企业版和旗舰版支持该字段。	--	包含 不包含 包含任意一个 不包含所有	--

7. 单击“确认添加”，添加的精准访问防护规则展示在精准访问防护规则列表中。
   图5 精准访问防护规则列表
   
   • 规则添加成功后，默认的“规则状态”为“已开启”，若您暂时不想使该规则生效，可在目标规则所在行的“操作”列，单击“关闭”。
   • 若需要修改添加的精准访问防护规则时，可单击待修改的精准访问防护规则所在行的“修改”，修改精准访问防护规则。
   • 若需要删除添加的精准访问防护规则时，可单击待删除的精准访问防护规则所在行的“删除”，删除精准访问防护规则。

防护效果

假如已添加域名“www.example.com”，且配置了如图4所示的精准访问防护规则。可参照以下步骤验证防护效果：

1. 清理浏览器缓存，在浏览器中输入防护域名，测试网站域名是否能正常访问。
   • 不能正常访问，参照域名接入WAF章节重新完成域名接入。
   • 能正常访问，执行2。

2. 清理浏览器缓存，在浏览器中访问“http://www.example.com/admin”页面或者包含/admin的任意页面，正常情况下，WAF会阻断满足条件的访问请求，返回拦截页面。
3. 返回Web应用防火墙控制界面，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，查看防护域名拦截日志，您也可以下载防护事件数据。

配置示例

精准访问控制规则支持多种配置方法，您可以结合自身业务特点定义相应的规则。以下罗列了常用的精准访问防护规则的配置示例，供您参考。

• 拦截特定的攻击请求

  通过分析某类特定的WordPress反弹攻击，发现其特征是User-Agent字段都包含WordPress，如图6所示。

  图6 WordPress反弹攻击
  

  因此，可以设置精准访问控制规则，拦截该类WordPress反弹攻击请求。

  图7 User Agent配置
  
• 阻断特定的URL请求

  如果您遇到有大量IP在访问某个特定且不存在的URL，您可以通过配置以下精准访问防护规则直接阻断所有该类请求，降低源站服务器的资源消耗，如图8所示。

  图8 特定的URL拦截
  
• 防盗链

  通过配置Referer匹配字段的访问控制规则，您可以阻断特定网站的盗链。例如，您发现“https://abc.blog.com”大量盗用本站的图片，您可以配置精准访问防护规则阻断相关访问请求。

  图9 防盗链
  
• 单独放行指定IP的访问

  配置两条精准访问防护规则，一条拦截所有的请求，如图10所示，一条单独放行指定IP的访问，如图11所示。

  图10 阻断所有的请求
  
  图11 放行指定IP