网站接入Web应用防火墙后,您可以为其开启自定义防护策略功能。自定义防护策略允许您自定义基于精确匹配条件的访问控制规则和访问频率限制规则。自定义防护策略支持随业务场景定制,可用于盗链防护、网站管理后台保护等场景。您可以根据实际需求配置自定义规则。

前提条件

背景信息

自定义防护策略通过自定义规则实现。自定义规则分为ACL访问控制规则和CC攻击防护规则。
  • ACL访问控制规则:根据客户端IP、请求URL、以及常见的请求头字段定义精确匹配条件,过滤访问请求。
  • CC攻击防护规则:在精确匹配条件的基础上,定义访问频率限制条件,针对性过滤异常请求。

使用限制

包年包月开通的Web应用防火墙实例,其自定义防护策略功能有以下限制。

规格 说明 旗舰版 企业版 高级版
自定义规则数量 最多支持添加的自定义规则的数量。 200(条) 100(条) 100(条)
高级匹配字段 在自定义规则的匹配条件中使用除IP和URL外的高级匹配字段。 支持 支持 不支持
频率设置 在自定义规则中开启频率设置,即定义CC攻击防护规则。 支持 支持 不支持
自定义统计对象 在频率设置中使用除IP和Session外的自定义统计对象字段。 支持 支持 不支持

操作步骤

  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地海外地区)。
  3. 在左侧导航栏,选择防护配置 > 网站防护
  4. 网站防护页面上方,切换到要设置的域名。切换域名
  5. 单击访问控制/限流页签,定位到自定义防护策略区域,开启状态开关并单击前去配置自定义防护策略
    说明 自定义防护策略开启后,所有网站请求默认都会经过自定义防护策略的检测。您可以通过设置访问控制/限流白名单,让满足条件的请求忽略自定义防护策略的检测。更多信息,请参见设置访问控制/限流白名单
  6. 新建自定义规则。
    1. 自定义防护策略页面,单击新建自定义防护策略
    2. 新建规则对话框,完成以下规则配置。ACL访问控制
      参数 说明
      规则名称 为规则命名。
      匹配条件 定义规则的检测逻辑,只有命中匹配条件的请求才会触发规则。单击新增条件可以设置最多5个条件。存在多个条件时,多个条件必须同时满足才算命中条件。

      关于匹配条件的配置描述,请参见匹配条件字段说明

      频率设置 开启或关闭频率设置。频率统计在匹配条件检测后生效。开启频率设置时,需要完成统计参数配置。 CC攻击防护

      关于频率设置参数的描述,请参见频率设置参数描述

      处置动作 定义触发规则后执行的操作。可选值:
      • 观察:触发告警,不阻断请求。
      • 阻断:阻断访问请求。
      • 滑块:重定向访问请求到滑块验证页面。
      • 严格滑块:重定向访问请求到严格的滑块验证页面。
      • JS验证:触发JS校验。
      如果开启了频率设置,则需要指定超时时间(秒),即处置动作的生效时长。
      说明 由于WAF需要将集群中的多台服务器的数据进行汇总来统计访问频率,统计过程中可能存在一定延时,因此处置动作的实际生效时间可能稍有滞后。
      防护类型 自定义规则的类型。无需手动配置,根据是否开启频率设置自动选择。
      • 开启频率设置后,取值为CC攻击防护
      • 未开启频率设置,取值为ACL访问控制

      下表描述了频率设置中需要配置的参数。

      参数 说明
      统计对象 统计请求数量的依据。可选值:
      • IP:单一源IP的请求数量。
      • Session:单一会话的请求数量。
      • 自定义header:具有相同自定义header内容的请求数量。
      • 自定义参数:具有相同自定义参数内容的请求数量。
      • 自定义cookie:具有相同自定义cookie内容的请求数量。
      统计时长(秒) 统计周期。
      阈值(次) 统计时长内统计对象的允许数量,超过阈值,则触发频率限制。
      响应码 在统计检测逻辑后生效,验证统计时长内请求响应中指定响应码的数量或比例。数量和比例二选一。
      • 数量:允许指定响应码出现的最大次数。
      • 比例(%):允许指定响应码占请求响应中的最大比例。
      生效范围 频率设置校验的生效范围,可选值:
      • 当前特征匹配范围内
      • 当前规则作用的域名范围内
    3. 单击保存
    成功添加自定义防护策略规则后,规则自动启用。您可以在规则列表中查看新建的规则,并根据需要禁用、编辑或删除规则。

相关文档

匹配条件字段说明