全部產品
Search
文件中心

Web Application Firewall:設定自訂防護策略

更新時間:Jul 01, 2024

自訂防護策略支援隨業務情境定製,允許您自訂基於精確匹配條件的存取控制規則和訪問頻率限制規則,可用於盜鏈防護、網站管理後台保護等情境。本文介紹如何設定自訂防護策略。

背景資訊

自訂防護策略通過自訂規則實現。自訂規則分為以下類型:
  • ACL存取控制規則:根據用戶端IP、請求URL、以及常見的要求標頭欄位定義精確匹配條件,過濾訪問請求。
  • CC攻擊防護規則:在精確匹配條件的基礎上,定義訪問頻率限制條件,針對性過濾異常請求。

使用限制

訂用帳戶WAF執行個體版本不同,支援配置的自訂規則的數量及規格不同,具體如下表所示。

規格說明進階版企業版旗艦版及以上
自訂規則數量最多支援添加的自訂規則的數量。200條/網域名稱200條/網域名稱200條/網域名稱
進階匹配欄位在自訂規則的匹配條件中使用除IP和URL外的進階匹配欄位。不支援支援支援
頻率設定在自訂規則中開啟頻率設定,即自訂CC攻擊防護規則。不支援支援支援
自訂統計對象在頻率設定中使用除IP和Session外的自訂統計對象欄位。不支援支援支援

前提條件

  • 已開通Web Application Firewall執行個體。

  • 已完成網站接入。具體操作,請參見使用教程

操作步驟

  1. 登入Web Application Firewall控制台

  2. 在頂部功能表列,選擇Web Application Firewall執行個體的資源群組和地區(中國內地非中國內地)。

  3. 在左側導覽列,選擇防護配置 > 網站防護

  4. 網站防護頁面上方,切換到要設定的網域名稱。切換網域名稱

  5. 單擊存取控制/限流頁簽,定位到自訂防護策略地區,開啟狀態開關並單擊前去配置自訂防護策略
    說明 自訂防護策略開啟後,所有網站請求預設都會經過自訂防護策略的檢測。您可以通過設定存取控制/限流白名單,讓滿足條件的請求忽略自訂防護策略的檢測。更多資訊,請參見設定存取控制/限流白名單
  6. 建立自訂規則。
    1. 自訂防護策略頁面,單擊建立自訂防護策略
    2. 建立規則對話方塊,完成以下規則配置。ACL存取控制
      參數說明
      規則名稱為規則命名。
      匹配條件定義規則的檢測邏輯,只有命中匹配條件的請求才會觸發規則。單擊新增條件可以設定最多5個條件。存在多個條件時,多個條件必須同時滿足才算命中條件。

      關於匹配條件的配置描述,請參見匹配條件欄位說明

      頻率設定開啟或關閉頻率設定。頻率統計在匹配條件檢測後生效。開啟頻率設定時,需要完成統計參數配置。 CC攻擊防護

      關於頻率設定參數的描述,請參見頻率設定參數描述

      處置動作定義觸發規則後執行的操作。可選值:
      • 觀察:觸發警示,不阻斷請求。
      • 阻斷:阻斷訪問請求。
      • 滑塊:重新導向訪問請求到滑塊驗證頁面。
      • 嚴格滑塊:重新導向訪問請求到嚴格的滑塊驗證頁面。
      • JS驗證:觸發JS校正。
      如果開啟了頻率設定,則需要指定逾時時間(秒),即處置動作的生效時間長度。
      說明
      • 由於WAF需要將叢集中的多台伺服器的資料進行匯總來統計訪問頻率,統計過程中可能存在一定延時,因此處置動作的實際生效時間可能稍有滯後。
      • 自訂防護策略的JS驗證和滑塊驗證僅適用於靜態頁面。如需相容XMLHttpRequest、Fetch等非同步介面響應,您可以在BOT管理中啟用JS驗證和滑塊驗證。具體操作,請參見配置瀏覽器訪問網頁的防爬情境化規則
      防護類型自訂規則的類型。無需手動設定,根據是否開啟頻率設定自動選擇。
      • 開啟頻率設定後,取值為CC攻擊防護
      • 未開啟頻率設定,取值為ACL存取控制

      下表描述了頻率設定中需要配置的參數。

      參數說明
      統計對象統計請求數量的依據。可選值:
      • IP:單一源IP的請求數量。
      • Session:單一會話的請求數量。
      • 自訂header:具有相同自訂header內容的請求數量。
      • 自訂參數:具有相同自訂參數內容的請求數量。
      • 自訂cookie:具有相同自訂cookie內容的請求數量。
      統計時間長度(秒)統計周期。
      閾值(次)統計時間長度內統計對象的允許數量,超過閾值,則觸發頻率限制。
      響應碼在統計檢測邏輯後生效,驗證統計時間長度內請求響應中指定響應碼的數量或比例。數量和比例二選一。
      • 數量:允許指定響應碼出現的最大次數。
      • 比例(%):允許指定響應碼占請求響應中的最大比例。
      生效範圍頻率設定校正的生效範圍。可選值:
      • 當前特徵匹配範圍內:表示只統計命中當前規則匹配條件的請求。
      • 當前規則作用的網域名稱範圍內:表示統計當前網域名稱的所有請求。
    3. 單擊儲存
    成功添加自訂防護策略規則後,規則自動啟用。您可以在規則列表中查看建立的規則,並根據需要禁用、編輯或刪除規則。

相關操作

您可以在設定防護策略後,配置CloudMonitor通知、Log Service監控與警示,使WAF在網站請求流量命中防護規則後,向您發送警示通知,協助您及時掌握業務的安全狀態。具體操作,請參見警示設定