网站接入Web应用防火墙(WAF)后,您可以为其开启自定义防护策略功能。自定义防护策略允许您自定义基于精确匹配条件的访问控制规则和访问频率限制规则。自定义防护策略支持随业务场景定制,可用于盗链防护、网站管理后台保护等场景。
背景信息
自定义防护策略通过自定义规则实现。自定义规则分为以下类型:
- ACL访问控制规则:根据客户端IP、请求URL、以及常见的请求头字段定义精确匹配条件,过滤访问请求。
- CC攻击防护规则:在精确匹配条件的基础上,定义访问频率限制条件,针对性过滤异常请求。
使用限制
包年包月WAF实例版本不同,支持配置的自定义规则的数量及规格不同,具体如下表所示。
| 规格 | 说明 | 高级版 | 企业版 | 旗舰版及以上 |
|---|---|---|---|---|
| 自定义规则数量 | 最多支持添加的自定义规则的数量。 | 200条/域名 | 200条/域名 | 200条/域名 |
| 高级匹配字段 | 在自定义规则的匹配条件中使用除IP和URL外的高级匹配字段。 | 不支持 | 支持 | 支持 |
| 频率设置 | 在自定义规则中开启频率设置,即自定义CC攻击防护规则。 | 不支持 | 支持 | 支持 |
| 自定义统计对象 | 在频率设置中使用除IP和Session外的自定义统计对象字段。 | 不支持 | 支持 | 支持 |
前提条件
- 已开通Web应用防火墙实例。
- 已完成网站接入。具体操作,请参见使用教程。
操作步骤
- 登录Web应用防火墙控制台。
- 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地、非中国内地)。
- 在左侧导航栏,选择。
- 在网站防护页面上方,切换到要设置的域名。
- 单击访问控制/限流页签,定位到自定义防护策略区域,开启状态开关并单击前去配置。
说明 自定义防护策略开启后,所有网站请求默认都会经过自定义防护策略的检测。您可以通过设置访问控制/限流白名单,让满足条件的请求忽略自定义防护策略的检测。更多信息,请参见设置访问控制/限流白名单。 - 新建自定义规则。
- 在新建规则对话框,完成以下规则配置。
参数 说明 规则名称 为规则命名。 匹配条件 定义规则的检测逻辑,只有命中匹配条件的请求才会触发规则。单击新增条件可以设置最多5个条件。存在多个条件时,多个条件必须同时满足才算命中条件。 关于匹配条件的配置描述,请参见匹配条件字段说明。
频率设置 开启或关闭频率设置。频率统计在匹配条件检测后生效。开启频率设置时,需要完成统计参数配置。 
关于频率设置参数的描述,请参见频率设置参数描述。
处置动作 定义触发规则后执行的操作。可选值: - 观察:触发告警,不阻断请求。
- 阻断:阻断访问请求。
- 滑块:重定向访问请求到滑块验证页面。
- 严格滑块:重定向访问请求到严格的滑块验证页面。
- JS验证:触发JS校验。
如果开启了频率设置,则需要指定超时时间(秒),即处置动作的生效时长。说明- 由于WAF需要将集群中的多台服务器的数据进行汇总来统计访问频率,统计过程中可能存在一定延时,因此处置动作的实际生效时间可能稍有滞后。
- 自定义防护策略的JS验证和滑块验证仅适用于静态页面。如需兼容XMLHttpRequest、Fetch等异步接口响应,您可以在BOT管理中启用JS验证和滑块验证。具体操作,请参见配置浏览器访问网页的防爬场景化规则。
防护类型 自定义规则的类型。无需手动配置,根据是否开启频率设置自动选择。 - 开启频率设置后,取值为CC攻击防护。
- 未开启频率设置,取值为ACL访问控制。
下表描述了频率设置中需要配置的参数。
参数 说明 统计对象 统计请求数量的依据。可选值: - IP:单一源IP的请求数量。
- Session:单一会话的请求数量。
- 自定义header:具有相同自定义header内容的请求数量。
- 自定义参数:具有相同自定义参数内容的请求数量。
- 自定义cookie:具有相同自定义cookie内容的请求数量。
统计时长(秒) 统计周期。 阈值(次) 统计时长内统计对象的允许数量,超过阈值,则触发频率限制。 响应码 在统计检测逻辑后生效,验证统计时长内请求响应中指定响应码的数量或比例。数量和比例二选一。 - 数量:允许指定响应码出现的最大次数。
- 比例(%):允许指定响应码占请求响应中的最大比例。
生效范围 频率设置校验的生效范围。可选值: - 当前特征匹配范围内:表示只统计命中当前规则匹配条件的请求。
- 当前规则作用的域名范围内:表示统计当前域名的所有请求。
成功添加自定义防护策略规则后,规则自动启用。您可以在规则列表中查看新建的规则,并根据需要禁用、编辑或删除规则。 - 在新建规则对话框,完成以下规则配置。