通過本文您可以瞭解精準存取控制的定義、開通方式和配置方法。
功能介紹
精確存取控制使用常見的HTTP欄位(例如IP、URL、Header等)設定匹配條件來篩選訪問請求,並對命中條件的請求執行設定的操作,來滿足業務情境的定製化防護需求。
規則排序
精準存取控制規則由匹配條件與匹配動作構成,並支援設定多條規則。如果您設定了多條規則,靠前的規則優先執行。請求如果命中了靠前的規則,則不再檢查後面的規則。
申請開通
目前精準存取控制功能需要您申請開通。登入Contact Sales頁面。留下您的連絡方式,阿里雲會儘快安排銷售人員幫您開通。
操作步驟
登入DCDN控制台。
在左側導覽列,單擊域名管理。
在域名管理頁面,找到目標網域名稱,單擊操作列的配置。
- 單擊安全配置,並選擇精準存取控制。
- 自訂規則。
匹配條件
- 定義了要識別的請求中HTTP欄位的屬性特徵。說明
- 支援添加多個匹配條件。若添加多個匹配條件,則只有當訪問請求滿足所有條件時才算命中。
- 匹配條件由5個部分組成:欄位、參數、匹配模式、邏輯符和匹配內容。輸入條件時,如果一個部分沒有輸入框,表示該條件的匹配不依賴於它,可以不定義。
匹配欄位和邏輯符等的說明,請參見下表:
欄位 參數 匹配模式 邏輯符 匹配內容 requst_uri N/A 正則 匹配,不匹配 字串 字串 包含,不包含,等於,不等於 字串 header 要求標頭名稱 正則 匹配,不匹配 字串 字串 包含,不包含,等於,不等於 字串 字串 不存在 N/A method N/A 字串 等於,不等於 字串 ip N/A 字串 屬於,不屬於 逗號分隔的IP地址 referer N/A 正則 匹配,不匹配 字串 字串 包含,不包含,等於,不等於 字串 user-agent N/A 正則 匹配,不匹配 字串 字串 包含,不包含,等於,不等於 字串 cookie N/A 正則 匹配,不匹配 字串 字串 包含,不包含,等於,不等於 字串 content-type N/A 正則 匹配,不匹配 字串 字串 包含,不包含,等於,不等於 字串 x-forwarded-for N/A 正則 匹配,不匹配 字串 字串 包含,不包含,等於,不等於 字串 post-body N/A 正則 匹配,不匹配 字串 字串 包含,不包含,等於,不等於 字串 params N/A 正則 匹配,不匹配 字串 字串 包含,不包含,等於,不等於 字串
- 定義了要識別的請求中HTTP欄位的屬性特徵。
執行動作
- 當訪問請求命中匹配條件時,對請求執行的操作。取值:
- 觀察:允許存取請求,並在日誌中做標記。回源時會攜帶一個header用來定義該請求的風險等級,方便來源站點做進一步的處理。
- 攔截:拒絕命中匹配條件的訪問請求,返回403狀態代碼。
- 允許存取:允許存取請求。您需要進一步選擇不該允許存取的模組,不被勾選的模組會允許存取該請求。
- 當訪問請求命中匹配條件時,對請求執行的操作。取值:
- 完成自訂規則配置後,單擊確定。
- 可選:根據需求繼續添加多條規則,並支援調整規則優先順序。