DCDN を使用すると、正確な一致条件に基づいてアクセス制御ルールを定義し、レート制限を設定できます。ホットリンク保護や管理コンソールへのアクセス制御など、ビジネスシナリオに合わせて保護ポリシーをカスタマイズできます。
前提条件
Edge WAF サービスが有効化されていること。詳細については、「Edge WAF の有効化」をご参照ください。
ドメイン名が Edge WAF に追加されていること。詳細については、「保護対象ドメイン名の追加」をご参照ください。
背景情報
カスタム保護ポリシーは、カスタムルールを使用して実装します。カスタムルールには、次の種類があります:
アクセス制御ルール:クライアントの IP アドレス、リクエスト URL、および一般的なリクエストヘッダーフィールドに基づいて、リクエストの特性に関する一致条件を定義します。条件を満たすリクエストは、それに応じて処理されます。たとえば、カスタムルールを使用して、指定された URI にアクセスするリクエストをインターセプトしたり、指定された User-Agent を含むリクエストを検証したりできます。カスタムルールでサポートされているリクエストの特性フィールドについては、「一致条件」をご参照ください。
頻度制御ルール:アクセス制御の一致条件に基づいて、アクセス頻度の検出条件を定義し、異常なアクセス頻度を持つ統計対象を処理します。たとえば、同じ IP アドレスまたはセッションが短時間内に頻繁に一致条件をトリガーする場合、頻度制御を有効にして、その IP アドレスまたはセッションからのリクエストを一時的にインターセプトできます。
カスタム保護ポリシーの作成
- DCDNコンソールにログインします。
左側メニューで、 を選択します。
保護ポリシー ページで、 ポリシーの新規作成 をクリックします。
[Create Protection Policy] ページで、ポリシー情報を設定します。
設定モジュール
パラメーター
説明
[ポリシー情報]
[ポリシータイプ]
カスタム保護ポリシー を選択します。
[ポリシー名]
カスタムポリシー名を入力します。名前に使用できる文字は、中国語、英字 (大文字と小文字を区別) 、数字 (0-9) 、アンダースコア (_) です。長さは最大 64 文字です。
[デフォルトポリシーとして設定]
現在のポリシータイプをデフォルトとして設定するには、このスイッチをオンにします。ポリシータイプごとに設定できるデフォルトポリシーは 1 つだけです。デフォルトポリシーは一度設定すると、別のポリシーに置き換えることはできません。デフォルトポリシーがすでに存在する場合、このスイッチは操作できません。
[ルール情報]
[Rule]
カスタム保護ポリシーのルール。設定の詳細については、「カスタムルールパラメーター」をご参照ください。ポリシーごとに最大 10 個のルールを設定できます。上限を引き上げるには、チケットを送信してください。
[保護対象ドメイン]
[関連するポリシー関係を選択してください]
保護対象ドメインは、同じタイプの複数のポリシーに関連付けることができます。ドメインに同じタイプのポリシーがすでに適用されている場合、既存のポリシーを置き換えるか、または既存のポリシーを保持したまま現在のポリシーを追加するかを選択できます。すでにデフォルトポリシーに関連付けられているドメインは、置換のみをサポートします。有効な値:
[Replace existing policies]:既存のポリシーとの関連付けを解除し、現在のポリシーに置き換えます。
[Append to existing policies]:両方のポリシーが互いに影響を与えることなく共存します。
[ドメインの選択]
現在の保護ポリシーに含めるドメインを選択します。
ポリシーの作成 をクリックします。
カスタムルールパラメーター
新しい保護ポリシーを設定する際にカスタムルールを作成したり、既存のポリシーにいつでもルールを追加したりできます。
パラメーター | 説明 |
[Rule Name] | カスタムルール名を入力します。名前に使用できる文字は、中国語、英字 (大文字と小文字を区別) 、数字 (0-9) 、アンダースコア (_) です。長さは最大 64 文字です。 |
[一致条件] | このルールで照合するリクエストの特性を設定します。ルールを追加 をクリックして条件を追加します。ルールごとに最大 5 つの条件を設定できます。ルールがトリガーされるには、すべての条件が同時に満たされる必要があります。各条件は、一致フィールド、論理演算子、および 一致コンテンツから構成されます。設定例については、「一致条件の例」をご参照ください。一致フィールドと論理演算子の詳細な説明については、「一致条件」をご参照ください。 |
[レート制限] | 頻度制御を有効または無効にします。有効にした場合、同じ統計対象 (IP、セッションなど) からのリクエストが一定期間内に頻繁にルールをトリガーすると、その対象からのすべてのリクエストが指定された期間、それに応じて処理されます。有効にした後、頻度制御パラメーターを設定する必要があります。詳細については、「頻度制御パラメーター」をご参照ください。 |
[規則動作] | リクエストがルールに一致したときに実行する保護アクションを選択します。有効な値:
|
頻度制御パラメーター
レート制限 スイッチをオンにした場合は、次のパラメーターを設定します:
タイプ | パラメーター | 説明 | 例 |
[頻度検出条件] | [統計オブジェクト] | リクエスト頻度統計の対象を選択します。有効な値:
| 統計対象:IP、期間:60 秒、しきい値:10。あるクライアント IP アドレスが 60 秒以内に 10 回を超えて一致条件をトリガーした場合、ブラックリストに登録されます。DCDN は分散ノードで構成されているため、このしきい値は 100% 正確ではない場合があります。予想よりもわずかに低いしきい値を設定してください。 |
[統計期間 (秒)] | 統計期間を設定します。有効な値の範囲は 5~1,800 です。単位は秒です。 | ||
[しきい値] |
| ||
[レスポンスコード検出条件] | [ステータスコード] | 頻度検出と並行してレスポンスコード検出を有効にします。有効にした場合、対象は頻度条件と特定のレスポンスコード条件の両方を満たす必要があります。カウントするレスポンスコードを指定します。 | レスポンスコード:404、カウント:5。ある IP が 60 秒以内に一致条件を 10 回以上トリガーし、404 応答を 5 回以上受信した場合、ブラックリストに登録されます。 |
カウント | 検出期間内における指定されたレスポンスコードの発生回数の上限値です。カウントまたはパーセンテージのいずれかを選択します。両方を選択することはできません。 | ||
[割合 (%)] | 検出期間内における指定されたレスポンスコードのパーセンテージの上限値です。カウントまたはパーセンテージのいずれかを選択します。両方を選択することはできません。 | ||
ブラックリスト処理 | [Apply To] | ブラックリスト処理の範囲。有効な値:
| 頻度検出をトリガーした対象をブラックリストに登録します。指定された期間、対象からのリクエストを定義済みのアクションで処理します。 |
[Timeout Period] | ブラックリストの有効期間です。有効な値の範囲は 60~86,400 です。単位は秒です。 |