更新时间:2025-08-18 GMT+08:00
配置JA3/JA4指纹标记
JA3/JA4是一种SSL/TLS客户端指纹识别技术,通过分析TLS握手阶段的元数据,生成一个唯一的指纹,从而识别不同的客户端应用程序。如果WAF前有七层的反向代理(例如ELB),且其指纹会随Header传递给WAF时,您可以为独享模式接入的防护域名配置JA3/JA4指纹标记,将该标记添加到Header字段后传递给WAF。WAF通过精准访问防护规则配置的TLS指纹(JA3)、TLS指纹(JA4)条件规则,处置对应请求,实现JA3/JA4指纹防御。
前提条件
已通过“独享模式”将网站接入WAF。具体操作,请参见将网站接入WAF防护(独享模式)。
约束条件
仅独享模式接入支持该功能。
配置JA3/JA4指纹标记
- 登录Web应用防火墙控制台。
- 在控制台左上角,单击
图标,选择区域或项目。 - (可选) 如果您已开通企业项目,在左侧导航栏上方,单击“按企业项目筛选”下拉框,选择您所在的企业项目。完成后,页面将为您展示该企业项目下的相关数据。
- 在左侧导航栏,单击“网站设置”。
- 在“网站设置”页面,单击目标网站域名。
- 在区域,单击“JA3指纹标记”或“JA4指纹标记”下
,填写对应的指纹标识。
- “JA3指纹标记”填写为“X-Forwarded-Tls-Ja3”
- “JA4指纹标记”填写为“X-Forwarded-Tls-Ja4”
图1 TLS指纹标识
后续操作
您可以添加精准访问防护规则,配置TLS指纹(JA3)、TLS指纹(JA4)条件规则,用于处置携带JA3、JA4指纹的请求。
- 返回管理控制台,在左侧导航栏,单击“防护策略”。
- 单击目标策略,开启“精准访问防护”。
- 单击“添加规则”,参考完成参数配置。
图2 添加“TLS指纹(JA3)”或“TLS指纹(JA4)”规则
- 条件:选择“字段”为“TLS指纹(JA3)”或“TLS指纹(JA4)”后,设置条件的“逻辑”和“内容”。
- 其他参数配置详情,请参见配置精准访问防护规则。
操作结果验证
- 清理浏览器缓存,访问防护网站,请求被拦截。
- 返回Web应用防火墙控制界面,在左侧导航树中,单击“防护事件”,进入“防护事件”页面,查看防护域名拦截日志。
