全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 钉钉智能硬件
Web 应用防火墙

精准访问控制

更新时间:2018-01-15 18:39:56

什么是精准访问规则

精准访问规则指对常见的HTTP字段(如IP、URL、Referer、UA、参数等)进行条件组合,支持业务场景的定制化防护策略,可用于盗链防护、网站管理后台保护等。

  • 精准防护支持下列字段:Params,URL,IP,Referer,User-Agent。其中,Params 代表参数部分,通常指 URL 中 “?” 后面的部分。例如,www.abc.com/index.html?action=login 中的action=login 就是参数部分。

  • 精准防护支持各种不同的逻辑符,如不包含、包含、不等于、等于、长度小于、长度等于、长度大于。

注意事项

在配置精准防护前,请注意以下事项:

  • 每一条规则中最多允许三个条件组合。
  • 同一条规则中的多个条件之间是”与”的逻辑关系,即必须多个条件同时满足才算匹配规则。
  • 匹配规则后的动作有三种:阻断、放行、告警(只记录不阻断)。其中,选择放行或告警后可进一步设置是否继续执行Web应用攻击防护/CC应用攻击防护/智能防护/地区封禁/数据风控。
  • 规则之间是有先后匹配顺序的,支持设置规则排序以取得最优的防护效果。

配置步骤

按照以下步骤,来配置精准访问控制:

  1. 登录到阿里云云盾Web应用防火墙控制台,并前往 网站配置

  2. 单击目标域名操作列下的 防护配置

  3. 精准访问控制 下,开启功能并单击 前去配置 配置相应规则。

    精准访问控制

配置示例

精准访问规则有很多种配置方法,您可以结合自身业务特点去组合出相应规则。下面是一些具体的应用示例。

配置IP黑白名单

使用以下配置,可阻断来自 1.1.1.1 的所有访问。

acl1

使用以下配置,可放行来自 2.2.2.0/24 网段的访问。

acl2

注意:不要勾选 继续执行Waf应用攻击防护继续执行CC应用攻击防护

拦截特定的攻击请求

下图为一个WordPress反弹攻击示例,其特征是UA里都包含有WordPress。

WordPress

使用以下配置,可以防护该类型攻击。

ua

关于WordPress攻击的详细防护配置,请参考 防御WordPress反射

封禁特定的URL

如果您遇到有大量IP在刷一个特定的且不存在的URL,您可以使用以下配置。

urlacl

防盗链

您可结合基于Referer的访问控制来做配置规则。例如,假设您发现 abc.blog.sina.com 在大量盗用本站的图片,您可以使用以下配置。

防盗链

本文导读目录