自訂防護策略支援隨業務情境定製,允許您自訂基於精確匹配條件的存取控制規則和訪問頻率限制規則,可用於盜鏈防護、網站管理後台保護等情境。本文介紹如何設定自訂防護策略。
背景資訊
自訂防護策略通過自訂規則實現。自訂規則分為以下類型:
- ACL存取控制規則:根據用戶端IP、請求URL、以及常見的要求標頭欄位定義精確匹配條件,過濾訪問請求。
- CC攻擊防護規則:在精確匹配條件的基礎上,定義訪問頻率限制條件,針對性過濾異常請求。
使用限制
訂用帳戶WAF執行個體版本不同,支援配置的自訂規則的數量及規格不同,具體如下表所示。
規格 | 說明 | 進階版 | 企業版 | 旗艦版及以上 |
自訂規則數量 | 最多支援添加的自訂規則的數量。 | 200條/網域名稱 | 200條/網域名稱 | 200條/網域名稱 |
進階匹配欄位 | 在自訂規則的匹配條件中使用除IP和URL外的進階匹配欄位。 | 不支援 | 支援 | 支援 |
頻率設定 | 在自訂規則中開啟頻率設定,即自訂CC攻擊防護規則。 | 不支援 | 支援 | 支援 |
自訂統計對象 | 在頻率設定中使用除IP和Session外的自訂統計對象欄位。 | 不支援 | 支援 | 支援 |
前提條件
已開通Web Application Firewall執行個體。
已完成網站接入。具體操作,請參見使用教程。
操作步驟
在頂部功能表列,選擇Web Application Firewall執行個體的資源群組和地區(中國內地、非中國內地)。
在左側導覽列,選擇 。
在網站防護頁面上方,切換到要設定的網域名稱。
- 單擊存取控制/限流頁簽,定位到自訂防護策略地區,開啟狀態開關並單擊前去配置。說明 自訂防護策略開啟後,所有網站請求預設都會經過自訂防護策略的檢測。您可以通過設定存取控制/限流白名單,讓滿足條件的請求忽略自訂防護策略的檢測。更多資訊,請參見設定存取控制/限流白名單。
- 建立自訂規則。
- 在自訂防護策略頁面,單擊建立自訂防護策略。
- 在建立規則對話方塊,完成以下規則配置。
參數 說明 規則名稱 為規則命名。 匹配條件 定義規則的檢測邏輯,只有命中匹配條件的請求才會觸發規則。單擊新增條件可以設定最多5個條件。存在多個條件時,多個條件必須同時滿足才算命中條件。 關於匹配條件的配置描述,請參見匹配條件欄位說明。
頻率設定 開啟或關閉頻率設定。頻率統計在匹配條件檢測後生效。開啟頻率設定時,需要完成統計參數配置。 關於頻率設定參數的描述,請參見頻率設定參數描述。
處置動作 定義觸發規則後執行的操作。可選值: - 觀察:觸發警示,不阻斷請求。
- 阻斷:阻斷訪問請求。
- 滑塊:重新導向訪問請求到滑塊驗證頁面。
- 嚴格滑塊:重新導向訪問請求到嚴格的滑塊驗證頁面。
- JS驗證:觸發JS校正。
如果開啟了頻率設定,則需要指定逾時時間(秒),即處置動作的生效時間長度。說明- 由於WAF需要將叢集中的多台伺服器的資料進行匯總來統計訪問頻率,統計過程中可能存在一定延時,因此處置動作的實際生效時間可能稍有滯後。
- 自訂防護策略的JS驗證和滑塊驗證僅適用於靜態頁面。如需相容XMLHttpRequest、Fetch等非同步介面響應,您可以在BOT管理中啟用JS驗證和滑塊驗證。具體操作,請參見配置瀏覽器訪問網頁的防爬情境化規則。
防護類型 自訂規則的類型。無需手動設定,根據是否開啟頻率設定自動選擇。 - 開啟頻率設定後,取值為CC攻擊防護。
- 未開啟頻率設定,取值為ACL存取控制。
下表描述了頻率設定中需要配置的參數。
參數 說明 統計對象 統計請求數量的依據。可選值: - IP:單一源IP的請求數量。
- Session:單一會話的請求數量。
- 自訂header:具有相同自訂header內容的請求數量。
- 自訂參數:具有相同自訂參數內容的請求數量。
- 自訂cookie:具有相同自訂cookie內容的請求數量。
統計時間長度(秒) 統計周期。 閾值(次) 統計時間長度內統計對象的允許數量,超過閾值,則觸發頻率限制。 響應碼 在統計檢測邏輯後生效,驗證統計時間長度內請求響應中指定響應碼的數量或比例。數量和比例二選一。 - 數量:允許指定響應碼出現的最大次數。
- 比例(%):允許指定響應碼占請求響應中的最大比例。
生效範圍 頻率設定校正的生效範圍。可選值: - 當前特徵匹配範圍內:表示只統計命中當前規則匹配條件的請求。
- 當前規則作用的網域名稱範圍內:表示統計當前網域名稱的所有請求。
- 單擊儲存。
成功添加自訂防護策略規則後,規則自動啟用。您可以在規則列表中查看建立的規則,並根據需要禁用、編輯或刪除規則。
相關操作
您可以在設定防護策略後,配置CloudMonitor通知、Log Service監控與警示,使WAF在網站請求流量命中防護規則後,向您發送警示通知,協助您及時掌握業務的安全狀態。具體操作,請參見警示設定。