匹配欄位以欄位的形式為您提供多維度配置選擇。
欄位分類
ESA的匹配欄位支援3種類型:
標準欄位:用於表示用戶端請求或者響應中攜帶的標準協議(如:HTTP、IP、TLS等)相關資訊,例如:主機名稱、請求標題、響應標題等。
擴充欄位:用於表示ESA對用戶端請求或者響應進行特定運算後獲得的計算值,通常與HTTP請求的威脅情報有關。
原始欄位:用於表示ESA保留用戶端請求的原始屬性值,通常用於在用戶端請求穿過多個ESA功能模組的過程中依然保持原始屬性值。
單條運算式 = (<匹配欄位> <匹配運算子> <匹配值>),如(http.host eq "example-1.com")
標準欄位
標準欄位主要包含了HTTP請求中的常見欄位值以及IP資訊中的常見欄位。
http.cookie
HTTP請求中攜帶的Cookie標題。
欄位名:
Cookie類型:
String是否支援區分大小寫:是
匹配值是否允許配置Null 字元串:是
樣本值:
"sessionid=330688;userid=abc123"
http.host
HTTP請求中使用的主機名稱。
欄位名:
主機名稱類型:
String是否支援區分大小寫:否
匹配值是否允許配置Null 字元串:否
樣本值:
"www.example.com"
http.referer
HTTP請求中攜帶的Referer標題。
欄位名:
Referer類型:
String是否支援區分大小寫:否
匹配值是否允許配置Null 字元串:是
樣本值:
"http://www.example.com/index"
http.request.body.form
HTTP請求中攜帶的表單形式的請求本文(當Content-Type標題值為application/x-www-form-urlencoded時使用的請求本文格式),以 Map(關聯陣列)形式表示。
欄位名:
Body查詢字串類型:
Map<Array<String>>樣本值:
{"username":["admin"]}
http.request.body.mime
從HTTP請求本文中檢測到的MIME類型。支援一般資源類別video, audio, image, application, text的最常見MIME類型。
欄位名:MIME 類型
類型:
String樣本:
"application/json"
http.request.cookies
HTTP請求中攜帶的Cookie標題,以 Map(關聯陣列)的形式表示。
欄位名:Cookie 值
類型:
String是否支援區分大小寫:是
匹配值是否允許配置Null 字元串:是
樣本值:
{"sessionid":["330668"]}
http.request.full_uri
HTTP請求的完整 URI,包括協議、主機名稱、路徑和查詢字串。
欄位名:URI 完整
類型:
String是否支援區分大小寫:是
匹配值是否允許配置Null 字元串:否
樣本值:
"https://www.example.com/image/cat.jpg?width=400&height=300&format=webp"
http.request.headers
HTTP請求中包含的標題資訊,以 Map(關聯陣列)的形式表示。關聯陣列的鍵(即:標題名稱)裡麵包含的所有英文字母都必須使用小寫形式。
欄位名:標題
類型:
Object是否支援區分大小寫:是
匹配值是否允許配置Null 字元串:是
樣本值:
{"content-type":["application/json"]}
http.request.method
HTTP請求使用的要求方法。
欄位名:要求方法
類型:
String樣本值:
"GET"
http.request.timestamp.sec
ESA節點收到HTTP請求時的Unix時間戳記(秒)。
欄位名:請求時間戳記
類型:
IntegerUnix時間:(1735019278)
樣本值:
1735019278
http.request.uri
HTTP請求的 URI,包括路徑和查詢字串。
欄位名:URI
類型:
String是否支援區分大小寫:是
匹配值是否允許配置Null 字元串:否
樣本值:
"/image/cat.jpg?width=400&height=300&format=webp"
http.request.uri.args
HTTP請求 URI 中的查詢字串,以 Map(關聯陣列)的形式表示。
欄位名:URI 指定查詢字串
類型:
Map<Array<String>>是否支援區分大小寫:是
匹配值是否允許配置Null 字元串:是
樣本值:
{"format":["webp"]}說明僅在如下匹配運算子時支援空值:
等於
不等於
包含
與Regex匹配
http.request.uri.path
HTTP請求 URI 中的路徑。
欄位名:URI 路徑
類型:
String是否支援區分大小寫:是
匹配值是否允許配置Null 字元串:否
樣本值:
"/image/cat.jpg"
http.request.uri.path.extension
HTTP請求 URI 路徑中檔案的副檔名。
欄位名:副檔名
類型:
String是否支援區分大小寫:是
匹配值是否允許配置Null 字元串:否
樣本值:
URI path
Field value
/cat
""
/cat.jpg
"jpg"
/.jpg
""
/.cat.jpg
"jpg"
/cat.jpg.tar
"tar"
/cat.
""
/cat.JPG
"JPG"
http.request.uri.path.file_name
HTTP請求 URI 路徑中的檔案名稱。
欄位名:檔案名稱
類型:
String是否支援區分大小寫:是
匹配值是否允許配置Null 字元串:否
樣本值:
URI path
Field value
/cat
"cat"
/cat.jpg
"cat"
/.jpg
""
/.cat.jpg
".cat"
/cat.jpg.tar
"cat.jpg"
/cat.
"cat"
/CAT.jpg
"CAT"
http.request.uri.path.full_file_name
HTTP請求 URI 路徑中的完整檔案名稱。
欄位名:完整檔案名稱
類型:
String是否支援區分大小寫:是
匹配值是否允許配置Null 字元串:否
樣本值:
"cat.jpg"
http.request.uri.query
HTTP請求 URI 中的查詢字串。
欄位名:URI 查詢字串
類型:
String是否支援區分大小寫:是
匹配值是否允許配置Null 字元串:否
樣本值:
"width=400&height=300&format=webp"
http.request.version
HTTP請求的 HTTP 協議版本。
欄位名:HTTP 版本
類型:
String樣本值:
"HTTP/1.0""HTTP/1.1""HTTP/2.0""HTTP/3.0"
http.user_agent
HTTP請求中攜帶的 User-Agent 標題。
欄位名:User Agent
類型:
String是否支援區分大小寫:是
匹配值是否允許配置Null 字元串:是
樣本值:
"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/135.0.X.X Safari/537.36"
http.x_forwarded_for
HTTP請求中攜帶的X-Forwarded-For標題。
欄位名:X-Forwarded-For
類型:
String是否支援區分大小寫:是
匹配值是否允許配置Null 字元串:是
樣本值:
"192.168.0.1, 10.10.0.1"
ip.geoip.asnum
請求源 IP 對應網段歸屬的自治系統編號,詳情請參見什麼是ASN。
欄位名:ASN 編號
樣本值:
Number樣本:
37963
ip.geoip.continent
請求源 IP 歸屬的大洲。
欄位名:洲
類型:
String樣本值:
AS
中文名稱 | 英文名稱 | 大洲編碼/continent code |
非洲 | Africa | AF |
南極洲 | Antarctica | AN |
亞洲 | Asia | AS |
歐洲 | Europe | EU |
北美洲 | North America | NA |
大洋洲 | Oceania | OC |
南美洲 | South America | SA |
ip.geoip.country
請求源 IP 歸屬的省/地區。詳情請參見ISO 3166 標準介紹。
欄位名:省/地區
類型:
String是否支援區分大小寫:否
匹配值是否允許配置Null 字元串:否
樣本值:
"CN"
ip.src
請求源 IP 位址。
欄位名:用戶端IP
類型:
IP address是否支援區分大小寫:否
匹配值是否允許配置Null 字元串:否
樣本值:
192.0.2.1
ip.src.isp
請求源 IP 歸屬的互連網服務提供者。
欄位名:電訊廠商
類型:
String樣本值:
"100017"
中文名稱 | 英文名稱 | 電訊廠商編碼/isp code |
中國電信 | China-Telecom | 100017 |
中國移動 | China-Mobile | 100025 |
中國聯通 | China-Unicom | 100026 |
中國網通 | China-Netcom | 100016 |
中國鐵通 | China-Railcom | 100020 |
長城寬頻 | GreatWall-Broadband | 100061 |
教育網 | China-Education-and-Research | 100027 |
廣電網 | China-Cable-Television | 1000139 |
歌華 | GeHua | 100080 |
鵬博士 | DrPeng | 1000143 |
阿里巴巴 | AliBaBa | 100098 |
阿里雲 | AliYun | 1000323 |
騰訊 | Tencent | 1000401 |
百度 | BaiDu | 100099 |
網宿 | ChinaNetCenter | 100093 |
ip.src.version
請求源 IP 的 IP 協議版本資訊。
欄位名:IP協議版本
類型:
String樣本值:
"IPv4""IPv6"
ip.src.subdivision_1_iso_code
請求源 IP 對應地理位置的第一層細分地區,詳情請參見ISO 3166 標準介紹。
欄位名:省份
類型:
String是否支援區分大小寫:是
樣本值:
"CN-ZJ"
ip.src.region_code
請求源 IP 所在地理位置對應的負載平衡器所在地區。
欄位名:負載平衡器所在地區
類型:
String是否支援區分大小寫:是
樣本值:
"EAS"
名稱 | 地區代碼 |
東歐 | EEU |
西歐 | WEU |
北美 | NAM |
南美 | SAM |
中東 | ME |
北非 | NAF |
南非 | SAF |
大洋洲 | OC |
東亞 | EAS |
東南亞 | SEAS |
南亞 | SAS |
中國大陸 | CNM |
ssl
請求是否使用 SSL/TLS協議。
欄位名:SSL/HTTPS
類型:
Boolean樣本值:
true
擴充欄位
動態欄位是ESA根據提供的定製化欄位,協助您針對一些特殊情境下進行配置。
ali.ja3_hash
JA3指紋是通過收集用戶端在TLS握手過程中Client Hello訊息的特定欄位(這些欄位包括TLS版本、可接受的密碼套件、擴充列表、橢圓曲線和橢圓曲線點格式),並且對欄位進行MD5雜湊處理之後產生的。
欄位名:JA3指紋
類型:
String樣本值:
d0bfcdbbf2c6aeb4e0fbcf8234fd6cb6
ali.ja4
JA4指紋是JA3指紋技術的一個進化版,JA4指紋包含了更多的握手過程資訊或者是對原有資訊的不同處理方式,以便提高指紋的唯一性和準確性。
欄位名:JA4指紋
類型:
String樣本值:
d0bfcdbbf2c6aeb4e0fbcf8234fd6cb6
ali.js_detection.passed
已通過 JavaScript 檢測。
欄位名:已通過 JavaScript 檢測
類型:
Boolean樣本值:
true
ali.static_resource
是否為靜態請求。
欄位名:靜態請求
類型:
Boolean樣本值:
true
ali.tls_client_auth.cert_verified
已驗證用戶端認證。
欄位名:已驗證用戶端認證
類型:
Boolean樣本值:
true
ali.tls_hash
請求中攜帶的 TLS 資訊對應的雜湊值。
欄位名:TLS指紋
類型:
String樣本值:
ABC123HASH
原始欄位
該機制確保用戶端請求的原始屬性值在流經ESA多級處理模組時保持持久化,避免因系統內部邏輯處理導致的來源資料特徵丟失。
http.request.body.raw
HTTP請求的原始本文內容。
欄位名:HTTP 要求 Body
類型:
String樣本值:
"ABC123"