文档首页/ Web应用防火墙 WAF/ 用户指南(吉隆坡区域)/ 防护策略/ 配置精准访问防护规则定制化防护策略
更新时间:2024-03-05 GMT+08:00
查看PDF
分享

配置精准访问防护规则定制化防护策略

精准访问防护规则可对常见的HTTP字段(如IP、路径、Referer、User Agent、Params等)进行条件组合,用来筛选访问请求,并对命中条件的请求设置仅记录、放行或阻断操作。

精准访问防护规则可以添加引用表,引用表防护规则对所有防护域名都生效,即所有防护域名都可以使用精准防护规则的引用表。

前提条件

已添加防护网站或已新增防护策略

约束条件

  • 添加或修改防护规则后,规则生效需要等待几分钟。规则生效后,您可以在“防护事件”页面查看防护效果。
  • 配置的“路径”“内容”不能包含特殊字符(' "<>&*#%\?)。

应用场景

精准访问防护支持业务场景定制化的防护策略,可用于盗链防护、网站管理后台保护等场景。

操作步骤

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域或项目。
  3. 单击页面左上方的,选择安全 > Web应用防火墙 WAF,进入“安全总览”页面。
  4. 在左侧导航树中,选择“防护策略”,进入“防护策略”页面。
  5. 单击目标策略名称,进入目标策略的防护配置页面。
  6. “精准访问防护”配置框中,用户可根据自己的需要更改“状态”,单击“自定义精准访问防护规则”,进入精准访问防护规则配置页面。
  7. “精准访问防护配置”页面,设置“检测模式”

    精准访问防护规则提供了两种检测模式:
    • 短路检测:当用户的请求符合精准防护中的拦截条件时,便立刻终止检测,进行拦截。
    • 全检测:当用户的请求符合精准防护中的拦截条件时,不会立即拦截,它会继续执行其他防护的检测,待其他防护的检测完成后进行拦截。

  8. “精准访问防护”规则配置列表左上方,单击“添加规则”
  9. 在弹出的对话框中,根据表1添加精准访问防护规则。

    如果不确定配置的精准访问防护规则是否会使WAF误拦截正常的访问请求,您可以先将精准访问防护规则的“防护动作”设置为“仅记录”,在“防护事件”页面查看防护事件,确认WAF不会误拦截正常的访问请求后,再将该精准访问防护规则的“防护动作”设置为“阻断”

    例如,当用户访问目标域名下包含“/admin”的URL地址时,WAF将阻断该用户访问目标URL地址。

    表1 规则参数说明

    参数

    参数说明

    取值样例

    规则描述

    可选参数,设置该规则的备注信息。

    --

    条件列表

    单击“添加”增加新的条件,一个防护规则至少包含一项条件,最多可添加30项条件,多个条件同时满足时,本条规则才生效。

    条件设置参数说明如下:
    • 字段
    • 子字段:当字段选择“Params”“Cookie”或者“Header”时,请根据实际使用需求配置子字段。
    • 逻辑:在“逻辑”下拉列表中选择需要的逻辑关系。
      说明:
      • 选择“包含任意一个”“不包含所有”“等于任意一个”“不等于所有”“前缀为任意一个”“前缀不为所有”“后缀为任意一个”或者“后缀不为所有”时,“内容”需要选择引用表名称,创建引用表的详细操作请参见创建引用表对防护指标进行批量配置
      • “不包含所有”“不等于所有”“前缀不为所有”“后缀不为所有”是指当访问请求中字段不包含、不等于、前/后缀不为引用表中设置的任何一个值时,WAF将进行防护动作(阻断、放行或仅记录)。例如,设置“路径”字段的逻辑为“不包含所有”,选择了“test”引用表,如果“test”引用表中设置的值为test1、test2和test3,则当访问请求的路径不包含test1、test2或test3时,WAF将进行防护动作。
    • 内容:输入或者选择条件匹配的内容。
    说明:

    具体的配置请参见表1
    • “路径”包含“/admin/”
    • “User Agent”前缀不为“mozilla/5.0”
    • “IP”等于“192.168.2.3”
    • “Cookie[key1]”前缀不为“jsessionid”

    防护动作
    • 阻断:表示拦截命中规则的请求,并向发起请求的客户端返回拦截响应页面。WAF默认使用统一的拦截响应页面,您也可以自定义拦截响应页面,具体操作请参见修改拦截返回页面
    • 放行:表示不拦截命中规则的请求,直接放行。
    • 仅记录:表示不拦截命中规则的请求,只通过日志记录请求命中了规则。您可以通过WAF日志,查询命中当前规则的请求,分析规则的防护效果。例如,是否有误拦截等。

    “阻断”

    优先级

    设置该条件规则检测的顺序值。如果您设置了多条规则,则多条规则间有先后匹配顺序,即访问请求将根据您设定的精准访问控制规则优先级依次进行匹配,优先级较小的精准访问控制规则优先匹配。

    您可以通过优先级功能对所有精准访问控制规则进行排序,以获得最优的防护效果。

    须知:

    如果多条精准访问控制规则的优先级取值相同,则WAF将根据添加防护规则的先后顺序进行排序匹配。

    5

    生效时间

    用户可以选择“立即生效”或者自定义设置生效时间段。

    自定义设置的时间只能为将来的某一时间段。

    “立即生效”

  10. 单击“确认”,添加的精准访问防护规则展示在精准访问防护规则列表中。

    • 规则添加成功后,默认的“规则状态”“已开启”,若您暂时不想使该规则生效,可在目标规则所在行的“操作”列,单击“关闭”
    • 若需要修改添加的精准访问防护规则时,可单击待修改的精准访问防护规则所在行的“修改”,修改精准访问防护规则。
    • 若需要删除添加的精准访问防护规则时,可单击待删除的精准访问防护规则所在行的“删除”,删除精准访问防护规则。

防护效果

假如已添加域名“www.example.com”,且配置了精准访问防护规则。可参照以下步骤验证防护效果:

  1. 清理浏览器缓存,在浏览器中输入防护域名,测试网站域名是否能正常访问。

    • 不能正常访问,参照网站设置章节重新完成域名接入。
    • 能正常访问,执行2

  2. 清理浏览器缓存,在浏览器中访问“http://www.example.com/admin”页面或者包含/admin的任意页面,正常情况下,WAF会阻断满足条件的访问请求,返回拦截页面。
  3. 返回Web应用防火墙控制界面,在左侧导航树中,单击“防护事件”,进入“防护事件”页面,查看防护域名拦截日志,您也可以下载防护事件数据
父主题: 防护策略