精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合,定制化防护策略,为您的网站带来更精准的防护。
精准访问防护规则允许您设置访问防护规则,对常见的HTTP字段(如IP、路径、Referer、User Agent、Params等)进行条件组合,用来筛选访问请求,并对命中条件的请求设置放行或阻断操作。
如果您已开通企业项目,您可以在“企业项目”下拉列表中选择您所在的企业项目,为该企业项目下域名配置防护策略。
已添加防护网站。
检测版不支持该功能。
精准访问防护支持业务场景定制化的防护策略,可用于盗链防护、网站管理后台保护等场景。
以图4的配置为例,其含义为:当用户访问目标域名下包含“/admin”的URL地址时,WAF将阻断该用户访问目标URL地址。
参数 |
参数说明 |
取值样例 |
---|---|---|
防护动作 |
可选择“阻断”、“放行”或者“仅记录”。默认为“阻断”。 |
“阻断” |
攻击惩罚 |
当“防护动作”设置为“阻断”时,您可以设置攻击惩罚标准。设置攻击惩罚后,当访问者的IP、Cookie或Params恶意请求被拦截时,WAF将根据惩罚标准设置的拦截时长来封禁访问者。 |
长时间IP拦截 |
生效时间 |
用户可以选择“立即生效”或者自定义设置生效时间段。 自定义设置的时间只能为将来的某一时间段。 |
“立即生效” |
条件列表 |
单击“添加”增加新的条件,一个防护规则至少包含一项条件,最多可添加30项条件,多个条件同时满足时,本条规则才生效。
说明:
具体的配置请参见表2。 |
|
优先级 |
设置该条件规则检测的顺序值。如果您设置了多条规则,则多条规则间有先后匹配顺序,即访问请求将根据您设定的精准访问控制规则顺序依次进行匹配,优先级较小的精准访问控制规则优先匹配。 您可以通过优先级功能对所有精准访问控制规则进行排序,以获得最优的防护效果。 |
5 |
规则描述 |
可选参数,设置该规则的备注信息。 |
-- |
字段 |
子字段(举例) |
逻辑 |
内容(举例) |
---|---|---|---|
路径:设置的防护路径,不包含域名,仅支持精准匹配(需要防护的路径需要与此处填写的路径完全相等。例如,需要防护的路径为“/admin”,该规则必须填写为“/admin”) |
-- |
在“逻辑”下拉列表框中选择逻辑关系。 |
/buy/phone/ |
User Agent:设置为需要防护的扫描器的用户代理。 |
-- |
Mozilla/5.0 (Windows NT 6.1) |
|
IP:设置为需要防护的访问者IP地址。 支持IPv4和IPv6两种格式的IP地址。 须知:
当前仅“华东”区域支持IPv6防护,且仅企业版和旗舰版支持IPv6。 |
-- |
|
|
Params:设置为需要防护的请求参数。 |
sttl |
201901150929 |
|
Referer:设置为需要防护的自定义请求访问的来源。 例如:防护路径设置为“/admin/xxx”,若用户不希望访问者从“www.test.com”访问该页面,则“Referer”对应的“内容”设置为“http://www.test.com”。 |
- |
http://www.test.com |
|
Cookie:根据Cookie区分的Web访问者。 |
name |
Nessus |
|
Header:设置为需要防护的自定义HTTP首部。 |
Accept |
text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8 |
|
Method:需要防护的自定义请求的方法。 |
-- |
GET、POST、PUT、DELETE、PATCH |
|
Request Line:需要防护的自定义请求行的长度。 |
-- |
50 |
|
Request:需要防护的自定义请求的长度。包含请求头、请求行、请求体。 |
-- |
-- |
|
Protocol:需要防护的请求的协议。 |
-- |
http |
|
Response Code:请求返回的状态代码。 须知:
仅企业版和旗舰版支持该字段。 |
-- |
|
404 |
Response Length:请求返回的响应长度。 须知:
仅企业版和旗舰版支持该字段。 |
-- |
|
-- |
Response Time:响应时间。 须知:
仅企业版和旗舰版支持该字段。 |
-- |
|
-- |
Response Header:响应头。 须知:
仅企业版和旗舰版支持该字段。 |
-- |
|
-- |
Response Body:响应的消息体。 须知:
仅企业版和旗舰版支持该字段。 |
-- |
|
-- |
假如已添加域名“www.example.com”,且配置了如图4所示的精准访问防护规则。可参照以下步骤验证防护效果:
精准访问控制规则支持多种配置方法,您可以结合自身业务特点定义相应的规则。以下罗列了常用的精准访问防护规则的配置示例,供您参考。
通过分析某类特定的WordPress反弹攻击,发现其特征是User-Agent字段都包含WordPress,如图6所示。
因此,可以设置精准访问控制规则,拦截该类WordPress反弹攻击请求。
如果您遇到有大量IP在访问某个特定且不存在的URL,您可以通过配置以下精准访问防护规则直接阻断所有该类请求,降低源站服务器的资源消耗,如图8所示。
通过配置Referer匹配字段的访问控制规则,您可以阻断特定网站的盗链。例如,您发现“https://abc.blog.com”大量盗用本站的图片,您可以配置精准访问防护规则阻断相关访问请求。
MAS系统采用安全措施保证信息网络传输安全、MAS服务器安全、行业用户信息网信息...
一、Spark 介绍及生态 Spark是UC Berkeley AMP Lab开源的通用分布式并行计算框架...
拥有多个网卡的弹性云服务器,如果每个网卡对应的子网中的DNS服务器地址配置不一...
机器人的发展目前进入井喷的阶段,且机器人的定义也不尽相同,某种程度上存在一...
大家好,我是Java进阶者,今天小编带大家一起来学习Java技术基础! 一、字符串的...
近日,腾讯入资大数据领军企业北京东方金信科技有限公司数亿元;同时腾讯云宣布...
1. WINS服务器 定义 WINS是Windows Internet Naming Server,即Windows Internet...
域名 未备案可以使用吗?可以的。域名如果没备案,但做过实名认证,可以正常的进...
1. 接口描述 接口请求域名: vpc.tencentcloudapi.com 。 本接口(CreateVpc)用于...
近日,为解决数据管理混乱,标准不一等问题,更好地让数据可见、可懂,美创科技...