文档首页 > > 用户指南> 配置防护规则> 配置精准访问防护规则

配置精准访问防护规则

分享
更新时间:2020/10/22 GMT+08:00

精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合,定制化防护策略,为您的网站带来更精准的防护。

精准访问防护规则允许您设置访问防护规则,对常见的HTTP字段(如IP、路径、Referer、User Agent、Params等)进行条件组合,用来筛选访问请求,并对命中条件的请求设置放行或阻断操作。精准访问防护支持业务场景定制化的防护策略,可用于盗链防护、网站管理后台保护等。

操作须知

  • 检测版不支持配置该规则。
  • 专业版和通过按需计费方式购买的WAF云模式,不支持“全检测”检测模式。
  • 专业版和通过按需计费方式购买的WAF云模式,不支持引用表功能。
  • 当精准访问防护规则的“防护动作”设置为“阻断”时,您可以设置攻击惩罚。设置攻击惩罚后,如果访问者的IP、Cookie或Params恶意请求被拦截时,WAF将根据攻击惩罚设置的拦截时长来封禁访问者。有关配置攻击惩罚的详细操作,请参见配置攻击惩罚标准

前提条件

已添加防护网站。

操作步骤

  1. 登录管理控制台
  2. 进入防护策略配置入口,如图1所示。

    图1 防护策略配置入口

  3. “精准访问防护”配置框中,用户可根据自己的需要更改“状态”,单击“自定义精准访问防护规则”,进入精准访问防护规则配置页面,如图2所示。

    图2 精准访问防护配置框

  4. “精准访问防护配置”页面,设置“检测模式”,如图3所示。

    精准访问防护规则提供了两种检测模式:
    • 短路检测:当用户的请求符合精准防护中的拦截条件时,便立刻终止检测,进行拦截。
    • 全检测:当用户的请求符合精准防护中的拦截条件时,不会立即拦截,它会继续执行其他防护的检测,待其他防护的检测完成后进行拦截。
      图3 检测模式

  5. “精准访问防护配置”页面左上角,单击“添加规则”
  6. 在弹出的对话框中,根据表1配置示例添加精准访问防护规则。

    图4的配置为例,其含义为:当用户访问目标域名下包含“/admin”的URL地址时,WAF将阻断该用户访问目标URL地址。

    图4 添加精准访问防护规则
    表1 规则参数说明

    参数

    参数说明

    取值样例

    防护动作

    可选择“阻断”“放行”或者“仅记录”。默认为“阻断”

    “阻断”

    攻击惩罚

    “防护动作”设置为“阻断”时,您可以设置攻击惩罚标准。设置攻击惩罚后,当访问者的IP、Cookie或Params恶意请求被拦截时,WAF将根据惩罚标准设置的拦截时长来封禁访问者。

    长时间IP拦截

    生效时间

    用户可以选择“立即生效”或者自定义设置生效时间段。

    自定义设置的时间只能为将来的某一时间段。

    “立即生效”

    条件列表

    单击“添加”增加新的条件,一个防护规则至少包含一项条件,最多可添加30项条件,多个条件同时满足时,本条规则才生效。
    • 字段
    • 子字段:当字段选择“Params”“Cookie”或者“Header”时,请根据实际使用需求配置子字段。
      须知:

      子字段的长度不能超过2048字节,且只能由数字、字母、下划线和中划线组成。

    • 逻辑:在“逻辑”下拉列表中选择需要的逻辑关系。
      说明:
      • 选择“包含任意一个”“不包含所有”“等于任意一个”“不等于所有”“前缀为任意一个”“前缀不为所有”“后缀为任意一个”或者“后缀不为所有”时,需要选择引用表,创建引用表的详细操作请参见创建引用表
      • “不包含所有”“不等于所有”“前缀不为所有”“后缀不为所有”是指当访问请求中字段不包含、不等于、前/后缀不为引用表中设置的任何一个值时,WAF将进行防护动作(阻断、放行或仅记录)。例如,设置“路径”字段的逻辑为“不包含所有”,选择了“test”引用表,如果“test”引用表中设置的值为test1、test2和test3,则当访问请求的路径不包含test1、test2或test3时,WAF将进行防护动作。
    • 内容:输入或者选择条件匹配的内容。
    说明:

    具体的配置请参见表2

    • “路径”包含“/admin/”
    • “User Agent”前缀不为“mozilla/5.0”
    • “IP”等于“192.168.2.3”
    • “Cookie[key1]”前缀不为“Nessus”

    优先级

    设置该条件规则检测的顺序值。如果您设置了多条规则,则多条规则间有先后匹配顺序,即访问请求将根据您设定的精准访问控制规则顺序依次进行匹配,优先级较小的精准访问控制规则优先匹配。

    您可以通过优先级功能对所有精准访问控制规则进行排序,以获得最优的防护效果。

    5

    规则描述

    可选参数,设置该规则的备注信息。

    --

    表2 条件列表配置

    字段

    子字段(举例)

    逻辑

    内容(举例)

    路径:设置的防护路径,不包含域名,仅支持精准匹配(需要防护的路径需要与此处填写的路径完全相等。例如,需要防护的路径为“/admin”,该规则必须填写为“/admin”

    --

    “逻辑”下拉列表框中选择逻辑关系。

    /buy/phone/

    User Agent:设置为需要防护的扫描器的用户代理。

    --

    Mozilla/5.0 (Windows NT 6.1)

    IP:设置为需要防护的访问者IP地址。

    支持IPv4和IPv6两种格式的IP地址。

    须知:

    当前仅“华北”区域支持IPv6防护,且仅企业版和旗舰版支持IPv6。

    --

    • IPv4,例如:192.168.1.1
    • IPv6,例如:1050:0:0:0:5:600:300c:326b

    Params:设置为需要防护的请求参数。

    sttl

    201901150929

    Referer:设置为需要防护的自定义请求访问的来源。

    例如:防护路径设置为“/admin/xxx”,若用户不希望访问者从“www.test.com”访问该页面,则“Referer”对应的“内容”设置为“http://www.test.com”

    -

    http://www.test.com

    Cookie:根据Cookie区分的Web访问者。

    name

    Nessus

    Header:设置为需要防护的自定义HTTP首部。

    Accept

    text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8

    Method:需要防护的自定义请求的方法。

    --

    GET、POST、PUT、DELETE、PATCH

    Request Line:需要防护的自定义请求行的长度。

    --

    50

    Request:需要防护的自定义请求的长度。包含请求头、请求行、请求体。

    --

    --

    Protocol:需要防护的请求的协议。

    --

    http

    Response Code:请求返回的状态代码。

    须知:

    仅企业版和旗舰版支持该字段。

    --

    • 等于
    • 不等于
    • 等于任意一个
    • 不等于所有

    404

    Response Length:请求返回的响应长度。

    须知:

    仅企业版和旗舰版支持该字段。

    --

    • 长度等于
    • 长度不等于
    • 长度大于
    • 长度小于

    --

    Response Time:响应时间。

    须知:

    仅企业版和旗舰版支持该字段。

    --

    • 长度等于
    • 长度不等于
    • 长度大于
    • 长度小于

    --

    Response Header:响应头。

    须知:

    仅企业版和旗舰版支持该字段。

    --

    • 包含
    • 不包含
    • 等于
    • 不等于

    --

    Response Body:响应的消息体。

    须知:

    仅企业版和旗舰版支持该字段。

    --

    • 包含
    • 不包含
    • 包含任意一个
    • 不包含所有

    --

  7. 单击“确认添加”,添加的精准访问防护规则展示在精准访问防护规则列表中。

    图5 精准访问防护规则列表
    • 规则添加成功后,默认的“规则状态”“已开启”,若您暂时不想使该规则生效,可在目标规则所在行的“操作”列,单击“关闭”
    • 若需要修改添加的精准访问防护规则时,可单击待修改的精准访问防护规则所在行的“修改”,修改精准访问防护规则。
    • 若需要删除添加的精准访问防护规则时,可单击待删除的精准访问防护规则所在行的“删除”,删除精准访问防护规则。

防护效果

假如已添加域名“www.example.com”,且配置了如图4所示的精准访问防护规则。可参照以下步骤验证防护效果:

  1. 清理浏览器缓存,在浏览器中输入防护域名,测试网站域名是否能正常访问。

    • 不能正常访问,参照域名接入WAF章节重新完成域名接入。
    • 能正常访问,执行2

  2. 清理浏览器缓存,在浏览器中访问“http://www.example.com/admin”页面或者包含/admin的任意页面,正常情况下,WAF会阻断满足条件的访问请求,返回拦截页面。
  3. 返回Web应用防火墙控制界面,在左侧导航树中,单击“防护事件”,进入“防护事件”页面,查看防护域名拦截日志,您也可以下载防护事件数据

配置示例

精准访问控制规则支持多种配置方法,您可以结合自身业务特点定义相应的规则。以下罗列了常用的精准访问防护规则的配置示例,供您参考。

  • 拦截特定的攻击请求

    通过分析某类特定的WordPress反弹攻击,发现其特征是User-Agent字段都包含WordPress,如图6所示。

    图6 WordPress反弹攻击

    因此,可以设置精准访问控制规则,拦截该类WordPress反弹攻击请求。

    图7 User Agent配置
  • 阻断特定的URL请求

    如果您遇到有大量IP在访问某个特定且不存在的URL,您可以通过配置以下精准访问防护规则直接阻断所有该类请求,降低源站服务器的资源消耗,如图8所示。

    图8 特定的URL拦截
  • 防盗链

    通过配置Referer匹配字段的访问控制规则,您可以阻断特定网站的盗链。例如,您发现“https://abc.blog.com”大量盗用本站的图片,您可以配置精准访问防护规则阻断相关访问请求。

    图9 防盗链
  • 单独放行指定IP的访问

    配置两条精准访问防护规则,一条拦截所有的请求,如图10所示,一条单独放行指定IP的访问,如图11所示。

    图10 阻断所有的请求
    图11 放行指定IP
分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!非常感谢您的反馈,我们会继续努力做到更好!
反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问