Web应用防火墙精准访问控制策略

Web应用防火墙精准访问控制支持自定义访问规则,根据客户端IP、请求URL、以及常见的请求头字段过滤访问请求。

对常见的http字段进行条件组合,支持业务场景的定制化防护。

Web应用防火墙精准访问功能描述

精准访问控制允许你设置访问控制规则,对常见的HTTP字段(如IP、URL、Host、参数等)进行条件组合,用来筛选访问请求,并对命中条件的请求设置放行、阻断、或告警操作。精确访问控制支持业务场景定制化的防护策略,可用于盗链防护、网站管理后台保护等。

精准访问控制规则由匹配条件与匹配动作构成。在创建规则时,你通过设置匹配字段、逻辑符和相应的匹配内容定义匹配条件,并针对符合匹配条件规则的访问请求定义相应的动作。

Web应用防火墙精准访问控制匹配条件

匹配条件包含匹配字段、逻辑符、匹配内容。

说明:每一条精准访问控制规则中最多允许设置三个匹配条件组合,且各个条件间是“与”的逻辑关系,即访问请求必须同时满足所有匹配条件才算命中该规则,并执行相应的匹配动作。

匹配动作

精准访问控制规则支持以下匹配动作:
阻断:阻断命中匹配条件的访问请求。
放行:放行命中匹配条件的访问请求。
告警:放行命中匹配条件的访问请求,并针对该请求进行告警。

说明:选择放行告警匹配动作后,你可以进一步设置该请求是否需要继续经过其它WAF防护功能检测过滤,如Web应用攻击防护、CC应用攻击防护等。

规则匹配顺序

如果你设置了多条规则,则多条规则间有先后匹配顺序,即访问请求将根据你设定的精准访问控制规则顺序依次进行匹配,顺序较前的精准访问控制规则优先匹配。

你可以通过规则排序功能对所有精准访问控制规则进行排序,以获得最优的防护效果。

Web应用防火墙精准访问控制策略操作步骤

参照以下操作步骤,为已防护的域名配置精准访问控制规则:

说明:执行以下操作前,请确保已将网站接入Web应用防火墙进行防护。

登录腾讯云Web应用防火墙控制台。

选择要操作的域名,单击其操作列下的防护配置

精准访问控制下,开启防护,并单击前去配置

单击新增规则,设置规则的匹配条件和相应的匹配动作,完成后单击确定

成功创建规则后,你可以选择执行以下操作:
编辑规则内容或删除规则。如果有多条规则,单击规则排序,并操作上移下移置顶置底调整规则的匹配顺序。

说明:越靠上的规则越优先匹配。

Web应用防火墙精准访问控制策略配置示例

精准访问控制规则支持多种配置方法,你可以结合自身业务特点定义相应的规则。通过设置精准访问控制规则也可以实现特定的Web漏洞防护。

以下罗列了一些常用的精确访问控制配置示例,供你参考。

配置IP黑白名单(举例)
通过设置精准访问控制规则,阻断来自1.1.1.1的所有访问请求。
通过设置精准访问控制规则,放行来自2.2.2.2的所有访问请求。

说明:应用此白名单配置规则时,请不要勾选继续执行Web应用攻击防护继续执行CC应用攻击防护等选项,不然访问请求仍可能被WAF的其它防护功能拦截。

封禁特定的URL
如果你遇到有大量IP在刷某个特定且不存在的URL,你可以通过配置以下精准访问控制规则直接阻断所有该类请求,降低源站服务器的资源消耗。

防盗链
通过配置Referer匹配字段的访问控制规则,你可以阻断特定网站的盗链。例如,你发现abc.blog.sina.com大量盗用本站的图片,你可以配置以下精准访问控制规则阻断相关访问请求。

支持的匹配字段

下面列出了精确访问控制支持的匹配字段及其描述。

匹配字段字段描述适用逻辑符IP访问请求的来源IP。-属于-不属于URL访问请求的URL地址。-包含-不包含-等于-不等于Host-包含-不包含-等于-不等于Post-Body访问请求的响应内容信息。-包含-不包含-等于-不等于Referer访问请求的来源网址,即该访问请求是从哪个页面跳转产生的。-包含-不包含-等于-不等于-长度小于-长度等于-长度大于-不存在

标签