边缘安全加速：规则常见问题

少数ISP在特定区域可能会分配私有IP地址给客户端，导致ESA节点接收到的是客户端IP是私有IP段的地址，这会导致在规则中使用“国家/地区、省份、运营商等”字段参数去识别客户端请求的时候无法准确识别出这部分请求。如果要识别私有IP段地址，可以按以下方式来处理。

步骤1: 新建IP网段分组

1. 进入全局配置目录下的分组功能界面，点击新建分组，添加如下三个私有IP/网段：

   • A类私有IP地址：10.0.0.0～10.255.255.255，子网掩码：10.0.0.0/8。

   • B类私有IP地址：172.16.0.0～172.31.255.255，子网掩码：172.16.0.0/12。

   • C类私有IP地址：192.168.0.0～192.168.255.255，子网掩码：192.168.0.0/16。

2. 添加完成后如下图所示，点击确定。

   

步骤2：添加私有IP网段规则

1. 以自定义规则为例，进入WAF自定义规则配置页面，点击新增规则，可参考下图填写。

   

2. 填写完成后，点击确定即可。

问题现象

在ESA中配置了IP频次限制规则（例如：10秒内超过20次请求触发JS/滑块挑战，持续1小时）后，小程序中的图片全部无法加载。删除该规则后，图片访问恢复正常。

原因分析

小程序加载页面时会并发请求大量图片资源，短时间内产生的请求数容易超过设定的频次阈值。当触发频次限制规则后，正常的图片请求也会被拦截（JS挑战或滑块验证），而小程序环境无法执行JS挑战或完成滑块验证，导致所有图片请求被阻断。

解决方案

您可以根据实际情况选择以下一种或多种方式进行处理：

• 调高频次阈值：将触发阈值调整为更高的值（例如100次/10秒），避免小程序正常加载图片时触发限制。

• 缩小匹配范围：在规则的匹配条件中排除图片类请求（例如通过URL路径或文件扩展名过滤），仅对非静态资源请求进行频次限制。

• 配置白名单：将小程序的已知来源IP或Referer加入白名单，使其不受频次限制规则的约束。

• 临时删除规则：如果暂时无法确定合适的阈值，可以先删除该频次限制规则以恢复业务，再通过ESA控制台的请求分析功能识别异常IP后，重新配置更精确的规则。