本文列舉了Web Application Firewall(Web Application Firewall,簡稱WAF)3.0版本防護配置過程中,可能遇見的問題和解決方案。
如何讓某個網域名稱的請求不經過CC防護檢測?
如果您需要讓某個網域名稱的請求不經過CC防護檢測,您可以參考以下任意方案進行配置。
通過建立白名單規則
(可選)將不需要經過CC防護檢測的網域名稱添加為防護對象。具體操作,請參見手動添加防護對象。只有ALB執行個體中的網域名稱需要執行該操作。
建立白名單規則。白名單規則的不檢測模組為CC防護,規則模板的生效對象為不需要經過CC防護檢測的網域名稱。具體操作,請參見設定白名單規則允許存取特定請求。
完成以上配置後,被添加到白名單規則中的網域名稱的請求不經過CC防護檢測。
通過建立CC防護規則
網域名稱不屬於ALB執行個體
建立CC防護規則。規則模板的生效對象為不需要經過CC防護檢測的網域名稱。具體操作,請參見設定CC防護規則防禦CC攻擊。
關閉該CC防護規則的模板開關。
完成以上配置後,被添加到已關閉CC防護規則中的網域名稱的請求不經過CC防護檢測。
網域名稱屬於ALB執行個體
將ALB執行個體中的所有網域名稱添加為防護對象。具體操作,請參見手動添加防護對象。
建立兩個CC防護規則。具體操作,請參見設定CC防護規則防禦CC攻擊。
防護規則配置要求如下:
防護規則A:根據業務需要配置規則動作為防護或防護-緊急,生效對象為ALB執行個體中需要經過CC防護檢測的網域名稱。
防護規則B:生效對象為不需要經過CC防護檢測的網域名稱和ALB執行個體。
開啟CC防護規則A的模板開關,關閉CC防護規則B的模板開關。
完成以上配置後,已添加到防護規則A的網域名稱的請求經過CC防護檢測,已添加到防護規則B的網域名稱的請求不經過CC防護檢測。
為什麼URL匹配欄位包含雙斜杠(//)的自訂防護策略規則不會生效?
由於WAF的規則引擎在處理URL匹配欄位時會進行標準化處理,預設將連續的正斜杠(/)進行壓縮,因此無法正確匹配包含雙斜杠(//)URL的自訂防護策略規則。
如果您需要對包含雙斜杠(//)的URL設定ACL存取控制,您可以直接設定該URL對應的單斜杠路徑作為匹配條件。例如,如果需要將//api/sms/request作為URL匹配欄位的條件值,您只需在匹配內容中填寫/api/sms/request,WAF即可針對包含該內容的請求進行存取控制。