全部產品
Search

搜尋本產品

    :配置自訂防護策略

    文件中心

    :配置自訂防護策略

    更新時間:Oct 29, 2024

    自訂防護策略允許您自訂基於精確匹配條件的存取控制規則和訪問頻率限制規則。自訂防護策略支援隨業務情境定製,可用於盜鏈防護、網站管理後台保護等情境。

    前提條件

    背景資訊

    自訂防護策略通過自訂規則實現,自訂規則分為以下類型:

    • 存取控制規則:根據用戶端IP、請求URL及常見的要求標頭欄位定義請求特徵匹配條件,對命中匹配條件的請求執行相應處置。例如,您可以使用自訂規則攔截訪問指定URI的請求、對包含指定User-Agent內容的請求進行校正等。關於自訂規則支援匹配的請求特徵欄位,請參見匹配條件說明

    • 頻率控制規則:在存取控制匹配條件的基礎上,定義訪問頻率檢測條件,對訪問頻率異常的統計對象執行相應處置。例如,如果同一個IP或會話在短時間內頻繁命中匹配條件,您可以通過啟用頻率控制,在一段時間內攔截該IP或會話的請求。

    建立防護策略-自訂策略

    1. 登入DCDN控制台

    2. 在左側導覽列,單擊WAF防護 > 防護策略

    3. 防護策略頁面,單擊建立策略

    4. 建立防護策略頁面,配置防護資訊。

      配置模組

      配置項

      說明

      策略資訊

      策略類型

      選擇自訂防護策略

      策略名稱稱

      您自訂的策略名稱稱,支援輸入中文字元、英文字元(大小寫)、數字(0~9)及底線(_),最大輸入64個字元。

      設定為預設策略

      當前策略類型的預設策略開關。

      說明

      • 一個策略類型只能設定一個預設策略,預設策略建立後無法更換。

      • 若當前策略類型已有預設策略,則該開關不可配置。

      規則資訊

      規則

      當前自訂防護策略規則資訊。具體配置方法,請參考自訂規則參數說明

      說明

      最多支援添加10條規則,如果需要增加規則數量配額,需要提交工單申請。

      防護網域名稱

      選擇關聯策略關係

      防護網域名稱可以關聯多個同類型策略。若網域名稱上已有其他同類型策略,該網域名稱的關聯策略可選擇新增或替換為當前策略。已關聯預設策略的網域名稱僅支援替換。取值:

      • 添加並替換原關聯策略:解除綁定已關聯的策略並替換至當前策略。

      • 添加並保留原關聯策略:當前策略與已綁定的策略同時存在,互不影響。

      防護網域名稱

      選擇需要接入當前防護策略中的網域名稱。

    5. 單擊建立策略

      建立的防護策略預設開啟。

    自訂規則參數說明

    您可以在建立自訂防護策略時建立自訂規則,或者在建立自訂防護策略後,為已有防護策略建立規則。

    配置項

    說明

    規則名稱

    您自訂的規則名稱,支援使用中文字元、英文字元(大小寫)、數字(0~9)及底線(_),最大輸入64個字元。

    匹配條件

    設定該規則要匹配的請求特徵。

    單擊新增條件,添加一個條件。一個規則中最多可以添加五個條件。如果定義了多個條件,則只有當多個條件同時滿足時,才算命中規則。

    每個條件由匹配欄位邏輯符匹配內容組成。配置樣本請參考匹配條件配置樣本

    關於匹配欄位和邏輯符的詳細說明,請參見匹配條件說明

    頻率設定

    選擇是否啟用頻率控制。頻率控製表示如果來自同一統計對象(IP、會話等)的請求頻繁地命中規則,則在一段時間內,對該統計對象的所有訪問執行相應處置。

    啟用頻率控制後,您需要設定頻率控制參數。具體參數描述,請參見頻率控制參數。如果不啟用頻率控制,則無需設定頻率控制參數。

    規則動作

    選擇當請求命中該規則時,要執行的防護動作,取值:

    • 攔截:表示攔截命中規則的請求,並向發起請求的用戶端返回攔截響應頁面。

    • JS驗證:表示WAF向用戶端返回一段正常瀏覽器可以自動執行的JavaScript代碼。如果用戶端正常執行了JavaScript代碼,則WAF在一段時間(預設30分鐘)內允許存取該用戶端的所有請求(不需要重複驗證),否則攔截請求。

    • 滑塊:表示WAF向用戶端返回滑動驗證頁面。如果用戶端成功執行滑動驗證,則WAF在一段時間(預設30分鐘)內允許存取該用戶端的所有請求(不需要重複驗證),否則攔截請求。

    • 觀察:表示不攔截命中規則的請求,只通過日誌記錄請求命中了規則。您可以通過WAF日誌,查詢命中當前規則的請求,分析規則的防護效果(例如,是否有誤攔截等)。

      說明

      只有開通Log Service,您才可以使用日誌查詢功能。

      觀察模式方便您試運行首次配置的規則,待確認規則沒有產生誤攔截後,再將規則設定為攔截模式。

    如果開啟頻率設定開關,您需要配置以下頻率控制參數。

    類型

    配置項

    說明

    樣本

    頻率檢測條件

    統計對象

    選擇請求頻率的統計對象,取值:

    • IP:表示統計同一個IP發起請求的頻率。

    • 自訂Header:表示統計包含指定Header的請求的頻率。

    • 自訂參數:表示統計包含指定參數的請求的頻率。

    • 自訂Cookie:表示統計包含指定Cookie的請求的頻率。

    • Session:表示統計來自同一個會話發起請求的頻率。

    統計對象為IP、統計時間長度為60秒、閾值為10次,表示如果某個用戶端IP在60秒內命中匹配條件的次數超過10次,則對該IP觸發黑名單處置。

    說明

    由於DCDN由分布式節點群組成,因此該閾值並非100%準確。建議您實際配置時,配置比期望值稍低的閾值。

    統計時間長度(秒)

    設定統計周期。

    • 取值範圍:5~1800。

    • 單位:秒。

    閾值

    • 請求數閾值(次):設定在統計時間長度內,允許統計對象命中匹配條件的最大次數。

      • 取值範圍:2~50000。

      • 單位:次。

      • 如果在統計時間長度內,一個統計對象命中規則的次數超過該閾值,則對該對象觸發黑名單處置。

    • 流量閾值:設定在統計時間長度(秒)內,允許統計對象命中匹配條件的最大流量。

    • 同時佈建要求數閾值(次)與流量閾值

    響應碼檢測條件

    響應碼

    選擇是否在頻率檢測的基礎上,啟用響應碼檢測(表示對象既要滿足頻率檢測條件,還要滿足特定的響應碼特徵,才會觸發黑名單處置)。

    啟用響應碼檢測時,需設定要統計的響應碼。

    (在以上頻率檢測條件樣本基礎上)響應碼為404、數量為5,表示如果某個用戶端IP在60秒內命中匹配條件的次數超過10次,並且獲得404響應的次數超過5次,則對該IP觸發黑名單處置。

    按數量

    設定在統計時間長度內,允許指定的響應碼在請求響應中出現的最大次數。

    說明

    數量與比例(%)二選一。

    比例(%)

    設定在統計時間長度內,允許指定的響應碼在請求響應中的最大佔比。

    說明

    數量與比例(%)二選一。

    黑名單處置

    黑名單生效範圍

    設定黑名單處置的生效範圍,取值:

    • 僅作用於當前規則的匹配條件:表示只處置滿足當前規則匹配條件的請求。

    • 作用於整個網域名稱:表示處置受限制對象的所有請求。

    表示將命中頻率檢測條件的統計對象加入黑名單,在一段時間(黑名單逾時時間)內,對來自該對象的請求(可通過黑名單生效範圍設定作用於所有請求、命中匹配條件的請求)執行規則動作中定義的處置。

    黑名單逾時(秒)

    設定黑名單處置的生效時間長度。

    • 取值範圍:60~86400。

    • 單位:秒。

    相關API