接入Web Application Firewall(Web Application Firewall,簡稱WAF)後,您可以設定地區封鎖規則,通過識別用戶端訪問請求的來源區域,一鍵封鎖來自特定地區的訪問或者允許特定地區的訪問,解決部分地區高發的惡意請求問題。本文介紹如何建立地區封鎖規則。
前提條件
已開通企業版及以上版本的訂用帳戶版WAF 3.0或隨用隨付版WAF 3.0服務。
已將Web業務添加為WAF 3.0的防護對象和防護對象組。
模板類型
地區封鎖的防護模板有以下兩種類型。
防護模板 | 說明 | 生效對象 |
預設防護模板 | WAF不提供初始預設防護模板,需要手動建立。 | 建立時,對沒有關聯自訂防護模板的防護對象/組預設勾選為生效,後續新增的防護對象也會自動加入到預設防護模板中,可手動調整。 |
自訂防護模板 | 自訂的防護模板,需要手動建立。 | 需要設定生效对象,只對關聯到防護模板的防護對象和對象組生效。 |
建立地區封鎖防護模板
地區封鎖不提供初始預設防護模板。如果您需要啟用地區封鎖規則,您必須建立一個防護模板。
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地、非中国内地)。
在左側導覽列,選擇。
在Web 核心防护頁面下方区域封禁地區,單擊新建模板。
在区域封禁面板,完成以下配置,單擊确定。
配置項
說明
模板名称
為該模板設定一個名稱。
長度為1~255個字元,支援中文和大小寫英文字母,可包含數字、半形句號(.)、底線(_)和短劃線(-)。
是否设置为默认模板
選擇是否將該模板設定為當前防護模組的預設範本。
一個防護模組只允許設定一個預設範本。預設範本無需設定生效对象,預設應用於所有未關聯到自訂防護模板的防護對象和對象組(包括後續新增、從自訂防護模板中移除的防護對象和對象組),您也可以手動將它們從預設範本中移出。
规则动作
選擇當請求命中該規則時,要執行的防護動作。可選項:
拦截:表示攔截命中規則的請求,並向發起請求的用戶端返回攔截響應頁面。
說明WAF預設使用統一的攔截響應頁面,您可以通過自訂響應功能,自訂攔截響應頁面。
观察:表示不攔截命中規則的請求,只通過日誌記錄請求命中了規則。您可以通過WAF日誌,查詢命中當前規則的請求,分析規則的防護效果(例如,是否有誤攔截等)。
重要只有開啟Log Service,您才可以使用日誌查詢功能。
观察模式方便您試運行首次配置的規則,待確認規則沒有產生誤攔截後,再將規則設定為拦截模式。
說明您可以通過安全報表,查詢攔截類、觀察類防護規則的命中詳情。
选择封禁区域
選擇需要封鎖的地區。您可以選擇中国境内和中国境外的地區進行封鎖。
生效对象
從已添加的配置防護對象和防護對象組中,選擇要應用該模板的配置防護對象和防護對象組。
一個防護對象或對象組只能關聯一個地區封鎖防護模板。如果您設定了預設防護模板,預設所有未關聯到自訂防護模板的防護對象和對象組勾選為生效;當您沒有設定預設範本,則不會預設勾選防護對象與對象組為生效。生效對象均支援手動修改。
建立的防護模板預設開啟,您可以在防護模板列表執行如下操作:
查看模板關聯的防护对象/组的數量。
通過模板开关,開啟或關閉模板。
為該模板新建规则。
编辑、删除或复制防護模板。
單擊防護模板名稱左側的
表徵圖,查看該防護模板包含的規則資訊。
後續步驟
您可以在安全报表頁面的区域封禁頁簽,查詢防護規則的防護詳情。更多資訊,請參見安全報表。
相關文檔
如果您想瞭解WAF 3.0的防護對象、防護模組及防護流程等資訊,請參見防護配置概述。
如果您想使用API建立防護模板,請參見建立防護模板。
如果您想建立一個Web核心防護規則,並配置規則內容,請參見建立Web核心防護規則。