接入規則功能用於定義再自動接入模式下伺服器處理序接入應用防護的範圍。支援黑名單、白名單和自動全量接入三種策略配置。本文說明各規則的配置邏輯、優先順序關係及操作指引,適用於需精細化控制防護範圍、降低誤判影響的安全營運情境。
黑名單和白名單規則說明
生效說明
黑名單和白名單僅適用於自動接入模式,手動接入模式不受黑名單和白名單影響。
黑名單生效優先順序高於白名單。如果進程同時命中黑名單和白名單匹配條件,則該進程不會被接入。
黑名單和白名單在接入前配置時立即生效;接入後配置時,需進程重啟或下次自動接入生效。刪除黑名單操作立即生效。。
適用情境說明
名單類型 | 說明 | 適用情境特徵 | 適用進程類型 |
接入黑名單 |
|
|
|
接入白名單 |
| 僅防護關鍵進程滿足最小許可權原則。 |
|
新增白名單或黑名單
下述步驟以新增黑名單為例介紹詳細操作,新增白名單的操作和黑名單的操作類似。
在左側導覽列,選擇。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。
在應用配置頁簽,單擊頁面右上方管理設定。
在管理設定面板接入規則管理頁簽,在接入黑名單頁簽,單擊新增黑名單。
在新增黑名單對話方塊,配置下述參數,並單擊確定。
配置項
說明
规则名称
輸入接入黑名單規則的名稱。
規則開關
預設開啟,表示黑名單規則為啟用狀態。
生效應用類型
選擇黑名單生效的應用語言Java或PHP。
匹配條件
選擇黑名單規則的匹配條件。可選項:
cmdline:通過命令列參數匹配無需接入的進程。該模式支援的匹配方式包括:包含、不包含、包含多值之一和不包含任一值。
環境變數:通過進程訪問的環境變數匹配無需接入的進程。該模式支援的匹配方式為等於。
-D參數:通過Java程式啟動時設定的系統屬性匹配無需接入的進程。該模式支援的匹配方式為等於。
說明僅生效應用類型選擇Java時支援配置。
容器名:通過進程所屬的容器名稱匹配無需接入的進程。該模式支援的匹配方式包括:包含、不包含、包含多值之一和不包含任一值。
說明僅生效應用類型選擇PHP時支援配置。
單擊添加條件可新增多個匹配條件,多個匹配條件的邏輯關係是且,即嚴格全匹配。
配置樣本如下:
不接入啟動參數中包含
tomcat字元的進程加白模式選擇為cmdline。
匹配方式選擇為包含。
匹配內容選輸入tomcat。
不接入啟動參數中未包含
apache和test字元的進程加白模式選擇為cmdline。
匹配方式選擇為不包含任一值。
匹配內容選輸入apache,test。
匹配方式
選擇規則的匹配方式。
匹配欄位
輸入規則的匹配欄位。
說明僅匹配條件選擇環境變數或-D參數時,需要配置該參數。
匹配內容
輸入規則的匹配內容。
生效應用分組
選擇接入黑名單規則生效的應用分組。應用分組的應用類型需和生效應用類型中的配置保持一致。
編輯、刪除白名單或黑名單
在左側導覽列,選擇。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。
在應用配置頁簽,單擊右上方管理設定。
在管理設定面板接入規則管理頁簽,在接入黑名單或接入白名單子頁簽,在對應規則操作列單擊編輯或刪除。
僅支援刪除未配置生效應用分組的規則,且刪除規則前需先取消規則綁定的應用分組。
自動全量接入說明(僅Java進程)
支援使用的情境
您在開通應用防護隨用隨付時,如果沒有進行自訂按需綁定,系統會預設將您所有資產中的Java進程接入應用防護進行管理,並使用慢速接入方式。
如果您已開通應用防護,卻未接入任何進程時,控制台會以彈框的形式提示您應用防護未接入,並提供自動全量接入防護和自定義接入防護方式供您選擇。當您選擇自動全量接入防護模式時,接入方式預設使用慢速接入。您可以單擊立即配置,調整全量接入的接入方式。支援選擇極速接入、常規接入或慢速接入。
接入方式說明
接入方式 | 說明 |
極速接入 | 適合進程數較少,對業務穩定性要求不高的情境,安裝耗時較短。 |
常規接入 | 適合進程數適中,對業務穩定性要求不高的情境,安裝耗時中等。 |
慢速接入 | 適合進程數較多,對業務穩定性要求較高的情境,安裝耗時較長。 |
停止全量接入說明
開啟自動全量接入防護模式後,如需停止接入,您可以在頁面應用分析頁簽,單擊接入提示資訊後的停止接入。
停止接入後,無法再次執行全量接入。當前接入狀態為排隊中的伺服器將不再接入應用防護,接入狀態為執行中的伺服器會繼續完成安裝。
停止接入後,您可以在提示資訊後,單擊查看詳情,查看您資產中Java進程的接入情況。