自定义防护策略支持随业务场景定制,允许您自定义基于精确匹配条件的访问控制规则和访问频率限制规则,可用于盗链防护、网站管理后台保护等场景。本文介绍如何设置自定义防护策略。

背景信息

自定义防护策略通过自定义规则实现。自定义规则分为以下类型:
  • ACL访问控制规则:根据客户端IP、请求URL、以及常见的请求头字段定义精确匹配条件,过滤访问请求。
  • CC攻击防护规则:在精确匹配条件的基础上,定义访问频率限制条件,针对性过滤异常请求。

使用限制

包年包月WAF实例版本不同,支持配置的自定义规则的数量及规格不同,具体如下表所示。

规格说明高级版企业版旗舰版及以上
自定义规则数量最多支持添加的自定义规则的数量。200条/域名200条/域名200条/域名
高级匹配字段在自定义规则的匹配条件中使用除IP和URL外的高级匹配字段。不支持支持支持
频率设置在自定义规则中开启频率设置,即自定义CC攻击防护规则。不支持支持支持
自定义统计对象在频率设置中使用除IP和Session外的自定义统计对象字段。不支持支持支持

前提条件

  • 已开通Web应用防火墙实例。
  • 已完成网站接入。具体操作,请参见使用教程

操作步骤

  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地非中国内地)。
  3. 在左侧导航栏,选择防护配置 > 网站防护
  4. 网站防护页面上方,切换到要设置的域名。切换域名
  5. 单击访问控制/限流页签,定位到自定义防护策略区域,开启状态开关并单击前去配置自定义防护策略
    说明 自定义防护策略开启后,所有网站请求默认都会经过自定义防护策略的检测。您可以通过设置访问控制/限流白名单,让满足条件的请求忽略自定义防护策略的检测。更多信息,请参见设置访问控制/限流白名单
  6. 新建自定义规则。
    1. 自定义防护策略页面,单击新建自定义防护策略
    2. 新建规则对话框,完成以下规则配置。ACL访问控制
      参数说明
      规则名称为规则命名。
      匹配条件定义规则的检测逻辑,只有命中匹配条件的请求才会触发规则。单击新增条件可以设置最多5个条件。存在多个条件时,多个条件必须同时满足才算命中条件。

      关于匹配条件的配置描述,请参见匹配条件字段说明

      频率设置开启或关闭频率设置。频率统计在匹配条件检测后生效。开启频率设置时,需要完成统计参数配置。 CC攻击防护

      关于频率设置参数的描述,请参见频率设置参数描述

      处置动作定义触发规则后执行的操作。可选值:
      • 观察:触发告警,不阻断请求。
      • 阻断:阻断访问请求。
      • 滑块:重定向访问请求到滑块验证页面。
      • 严格滑块:重定向访问请求到严格的滑块验证页面。
      • JS验证:触发JS校验。
      如果开启了频率设置,则需要指定超时时间(秒),即处置动作的生效时长。
      说明
      • 由于WAF需要将集群中的多台服务器的数据进行汇总来统计访问频率,统计过程中可能存在一定延时,因此处置动作的实际生效时间可能稍有滞后。
      • 自定义防护策略的JS验证和滑块验证仅适用于静态页面。如需兼容XMLHttpRequest、Fetch等异步接口响应,您可以在BOT管理中启用JS验证和滑块验证。具体操作,请参见配置浏览器访问网页的防爬场景化规则
      防护类型自定义规则的类型。无需手动配置,根据是否开启频率设置自动选择。
      • 开启频率设置后,取值为CC攻击防护
      • 未开启频率设置,取值为ACL访问控制

      下表描述了频率设置中需要配置的参数。

      参数说明
      统计对象统计请求数量的依据。可选值:
      • IP:单一源IP的请求数量。
      • Session:单一会话的请求数量。
      • 自定义header:具有相同自定义header内容的请求数量。
      • 自定义参数:具有相同自定义参数内容的请求数量。
      • 自定义cookie:具有相同自定义cookie内容的请求数量。
      统计时长(秒)统计周期。
      阈值(次)统计时长内统计对象的允许数量,超过阈值,则触发频率限制。
      响应码在统计检测逻辑后生效,验证统计时长内请求响应中指定响应码的数量或比例。数量和比例二选一。
      • 数量:允许指定响应码出现的最大次数。
      • 比例(%):允许指定响应码占请求响应中的最大比例。
      生效范围频率设置校验的生效范围。可选值:
      • 当前特征匹配范围内:表示只统计命中当前规则匹配条件的请求。
      • 当前规则作用的域名范围内:表示统计当前域名的所有请求。
    3. 单击保存
    成功添加自定义防护策略规则后,规则自动启用。您可以在规则列表中查看新建的规则,并根据需要禁用、编辑或删除规则。

相关操作

您可以在设置防护策略后,配置云监控通知、日志服务监控与告警,使WAF在网站请求流量命中防护规则后,向您发送告警通知,帮助您及时掌握业务的安全状态。具体操作,请参见告警设置