配置精准访问防护规则定制化防护策略
网站接入WAF后,WAF默认不生效精准访问防护。您可以根据实际业务情况,针对常见HTTP字段(例如IP、路径、Referer、User Agent、Params等)进行条件组合,筛选指定访问请求(例如,拦截特定攻击请求、特定URL请求、指定文件类型等),可用于盗链、网站管理后台保护等场景。
前提条件
已添加防护网站。
约束条件
- 配置的“路径”的“内容”不能包含特殊字符(<>*)。
- 添加或修改防护规则后,规则生效需要等待几分钟。规则生效后,您可以在“防护事件”页面查看防护效果。
配置精准访问防护规则
- 登录管理控制台,在页面左上方,单击
图标,选择 。
- 在控制台左上角,单击
图标,选择区域或项目。
- 在左侧导航栏,单击“防护策略”。
- 单击目标策略名称,进入目标策略的防护规则配置页面。
在配置防护规则前,请确认目标防护策略已绑定防护域名,即绑定策略生效目标。一条防护策略可以适用于多个防护域名,但一个防护域名只能绑定一个防护策略。
- 单击“精准访问防护”配置框,确认已开启精准访问防护规则。
:开启状态。
- 在“精准访问防护配置”页面,设置“检测模式”。
精准访问防护规则提供了两种检测模式:
- 短路检测:当用户的请求符合精准防护中的拦截条件时,便立刻终止检测,进行拦截。
- 全检测:当用户的请求符合精准防护中的拦截条件时,不会立即拦截,它会继续执行其他防护的检测,待其他防护的检测完成后进行拦截。
- 在“精准访问防护”规则配置列表左上方,单击“添加规则”。
- 在弹出的对话框中,根据表1添加精准访问防护规则。
如果不确定配置的精准访问防护规则是否会使WAF误拦截正常的访问请求,您可以先将精准访问防护规则的“防护动作”设置为“仅记录”,在“防护事件”页面查看防护事件,确认WAF不会误拦截正常的访问请求后,再将该精准访问防护规则的“防护动作”设置为“拦截”。
例如,当用户访问目标域名下包含“/admin”的URL地址时,WAF将拦截该用户访问目标URL地址。
表1 规则参数说明 参数
参数说明
取值样例
规则描述
可选参数,设置该规则的备注信息。
--
条件列表
配置防护规则要匹配的请求特征。请求一旦命中该特征,WAF则按照配置的规则处置该请求。
- 至少需要配置一项,本条规则才能生效。配置多个条件时,需同时满足,本条规则才生效。
- 单击“添加”增加新的条件,最多可添加30个条件。
条件设置参数说明如下:- 字段
- 子字段:当字段选择“Params”、“Cookie”或者“Header”时,请根据实际使用需求配置子字段。
- 逻辑:在“逻辑”下拉列表中选择需要的逻辑关系。
说明:
- 选择“包含任意一个”、“不包含所有”、“等于任意一个”、“不等于所有”、“前缀为任意一个”、“前缀不为所有”、“后缀为任意一个”或者“后缀不为所有”时,“内容”需要选择引用表名称,创建引用表的详细操作请参见创建引用表对防护指标进行批量配置。
- “不包含所有”、“不等于所有”、“前缀不为所有”、“后缀不为所有”是指当访问请求中字段不包含、不等于、前/后缀不为引用表中设置的任何一个值时,WAF将进行防护动作(拦截、放行或仅记录)。例如,设置“路径”字段的逻辑为“不包含所有”,选择了“test”引用表,如果“test”引用表中设置的值为test1、test2和test3,则当访问请求的路径不包含test1、test2或test3时,WAF将进行防护动作。
- 内容:输入或者选择条件匹配的内容。
说明:
具体的配置请参见表1。
- “字段”为“路径”;“逻辑”为“包含”;“内容”为“/admin/”
- “字段”为“User Agent”;“逻辑”为“前缀不为”;“内容”为“mozilla/5.0”
- “字段”为“IP”;“逻辑”为“等于”;“内容”为“192.168.2.3”
- “字段”为“Cookie[key1]”;“逻辑”为“前缀不为”;“内容”为“jsessionid”
防护动作
- 拦截:表示拦截命中规则的请求,并向发起请求的客户端返回拦截响应页面。WAF默认使用统一的拦截响应页面,您也可以自定义拦截响应页面。
- 放行:表示不拦截命中规则的请求,直接放行。
- 仅记录:表示不拦截命中规则的请求,只通过日志记录请求命中了规则。您可以通过WAF日志,查询命中当前规则的请求,分析规则的防护效果。例如,是否有误拦截等。
拦截
优先级
设置该条件规则检测的顺序值。如果您设置了多条规则,则多条规则间有先后匹配顺序,即访问请求将根据您设定的精准访问控制规则优先级依次进行匹配,优先级较小的精准访问控制规则优先匹配。
您可以通过优先级功能对所有精准访问控制规则进行排序,以获得最优的防护效果。
须知:如果多条精准访问控制规则的优先级取值相同,则WAF将根据添加防护规则的先后顺序进行排序匹配。
5
生效模式
用户可以选择“立即生效”或者自定义设置生效时间段。
自定义设置的时间只能为将来的某一时间段。
“立即生效”
- 单击“确认”,添加的精准访问防护规则展示在精准访问防护规则列表中。
完成以上配置后,您还可以执行以下操作:
- 查看规则状态:在防护规则列表,查看已添加的规则。此时,“规则状态”默认为“已开启”。
- 关闭规则:如果您暂时不想使该规则生效,可在目标规则“操作”列,单击“关闭”。
- 删除规则:如果您不再使用该规则,可在目标规则“操作”列,单击“删除”。
- 复制规则:在目标规则“操作”列,单击 或 ,修改或复制已添加的防护规则。
- 验证防护效果:
- 清理浏览器缓存,在浏览器中访问“http://www.example.com/admin”页面或者包含/admin的任意页面,正常情况下,WAF会拦截满足条件的访问请求,返回拦截页面。
- 在“防护事件”页面,查看防护日志。