添加自定义规则

操作背景

自定义的风险防护规则包括IP访问异常、账号访问异常与其他异常三类，当出现异常情况时，可进行告警或阻断访问。

例如，您认为同一客户端IP在1分钟内访问demo应用超过1000次是一种风险行为，希望出现这种情况时将其阻断5分钟，可以创建自定义规则进行阻断。

本章节介绍如何创建自定义规则。

操作步骤

1. 使用系统管理员sysadmin账号登录API数据安全防护系统web控制台。
2. 在左侧导航栏，选择“安全策略 > 风险防护”，并单击“自定义规则”页签。
3. 在“自定义规则”页面，单击“添加”。
4. 在添加自定义规则对话框中，配置规则具体参数。相关参数说明请参见表1。
   图1 添加自定义规则
   

   表1 添加自定义规则参数说明

   参数	说明
   规则名称	自定义填写规则名称。
   规则类型	选择规则类型，可选IP访问异常、账号访问异常或其他异常。
   应用名称	在下拉框中选择规则适用的应用。
   风险等级	选择命中该规则的请求的风险等级。
   规则条件	配置该规则的规则条件，可配置项包括请求方法、URL、请求参数、请求体、数据标签、客户端IP等
   触发频率	配置该规则的触发条件。其中时间单位可选秒、分、时： 选择秒时，时间可填10 ~ 86400间任意整数； 选择分时，时间可填1 ~ 1440间任意整数； 选择时时，时间可填1 ~ 24间任意整数； 访问次数可填1 ~ 100000间任意整数。
   响应动作	选择规则的响应动作。 告警：访问匹配该规则时，产生告警日志。 阻断：访问匹配该规则时，对访问进行阻断，并产生告警日志。 选择阻断时，需配置阻断时间。
   阻断时间	配置阻断时间。时间单位可选秒、分、时，时间设置的阈值为10秒 ~ 10000时。
   是否启动	开启和关闭规则。 开启状态：添加规则后直接生效。 关闭状态：配置完成后不生效，需要手动开启。

5. 规则配置完成后，单击“确定”。

操作结果

添加完成并启用后，以同一客户端IP高频访问应用触发该规则，将被告警或阻断。

相关操作

在“风险防护”页面，您还可以进行以下管理操作：

• 放行被阻断的IP：单击目标规则右侧的“放行”，可放行触发风险防护规则而被拒绝访问的IP。

  后续如果IP再次触发该规则，仍会被阻断。放行按钮对于响应动作为告警的规则无实质效果。

• 修改风险防护规则：找到目标规则，单击右侧的“编辑”。
• 删除风险防护规则：找到目标规则，单击右侧的“删除”。
• 批量删除风险防护规则：勾选多个目标规则，单击右上角的“批量操作 > 删除”。
• 批量启用风险防护规则：勾选多个目标规则，单击右上角的“批量操作 > 启用”。
• 批量禁用风险防护规则：勾选多个目标规则，单击右上角的“批量操作 > 禁用”。