全部产品
弹性计算 会员服务 网络 安全 移动云 数加·大数据分析及展现 数加·大数据应用 管理与监控 云通信 阿里云办公 培训与认证 更多
存储与CDN 数据库 域名与网站(万网) 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 智能硬件
Web 应用防火墙

精准访问控制

更新时间:2018-04-02 21:47:27

什么是精准访问控制规则

精准访问规则指对常见的HTTP字段(如IP、URL、Referer、UA、参数等)进行条件组合,配置支持业务场景定制化的防护策略,可用于盗链防护、网站管理后台保护等精准访问控制策略配置。

精准访问控制规则由匹配条件与匹配动作构成。

匹配条件

匹配条件包含匹配字段、逻辑符、匹配内容三大要素。通过设置匹配字段、逻辑符和相应的匹配内容定义匹配条件,针对符合匹配条件规则的访问请求定义相应的动作。

说明:匹配内容暂时不支持通过正则表达式描述;匹配内容允许设置空值。

匹配字段字段描述适用逻辑符
IPIP代表访问请求的来源IP。
  • 属于
  • 不属于
URLURL代表访问请求的URL地址。
  • 包含
  • 不包含
  • 等于
  • 不等于
RefererReferer代表访问请求的来源网址,即该访问请求是从哪个页面跳转产生的。
  • 包含
  • 不包含
  • 等于
  • 不等于
  • 长度小于
  • 长度等于
  • 长度大于
  • 不存在
User-AgentUser-Agent代表发起访问请求的客户端的浏览器标识、渲染引擎标识和版本信息等浏览器相关信息。
  • 包含
  • 不包含
  • 等于
  • 不等于
  • 长度小于
  • 长度等于
  • 长度大于
ParamsParams代表访问请求的URL地址中的参数部分,通常指URL中”?”后面的部分。例如,www.abc.com/index.html?action=login中的action=login就是参数部分。
  • 包含
  • 不包含
  • 等于
  • 不等于
  • 长度小于
  • 长度等于
  • 长度大于
CookieCookie代表访问请求中的Cookie信息。
  • 包含
  • 不包含
  • 等于
  • 不等于
  • 长度小于
  • 长度等于
  • 长度大于
  • 不存在
Content-TypeContent-Type代表访问请求指定的响应HTTP内容类型,即MIME类型信息。
  • 包含
  • 不包含
  • 等于
  • 不等于
  • 长度小于
  • 长度等于
  • 长度大于
X-Forwarded-ForX-Forwarded-For代表访问请求的客户端真实IP。XFF用来识别通过HTTP代理或负载均衡方式转发的访问请求的客户端最原始的IP地址的HTTP请求头字段,只有通过HTTP代理或者负载均衡服务器转发的访问请求才会包含该项。
  • 包含
  • 不包含
  • 等于
  • 不等于
  • 长度小于
  • 长度等于
  • 长度大于
  • 不存在
Content-LengthContent-Length代表访问请求的响应内容所包含的字节数。
  • 值小于
  • 值等于
  • 值大于
Post-BodyPost-Body代表访问请求的响应内容信息。
  • 包含
  • 不包含
  • 等于
  • 不等于
Http-MethodHttp-Method代表访问请求的方法,如GET、POST等。
  • 等于
  • 不等于
HeaderHeader代表访问请求的头部信息,用于自定义HTTP头部字段。
  • 包含
  • 不包含
  • 等于
  • 不等于
  • 长度小于
  • 长度等于
  • 长度大于
  • 不存在

说明:包年包月模式WAF高级版与按量付费模式WAF的精准访问控制基础防护功能仅支持IP、URL、Referer、User-Agent匹配字段,且最多只能定义10条精准访问控制规则。

注意事项

  • 每一条精准访问控制规则中最多允许设置三个匹配条件进行组合。
  • 同一条精准访问控制规则中的多个匹配条件之间是“与”的逻辑关系,即访问请求必须同时满足所有匹配条件才算命中该精准访问控制规则,并执行相应的匹配动作。

匹配动作

精准访问控制规则支持以下四种匹配动作:

  • 阻断:符合匹配条件的访问请求将被直接阻断。
  • 放行:符合匹配条件的访问请求将被放行。
  • 告警:符合匹配条件的访问请求将被放行,同时WAF会对该请求进行告警。
  • captcha(人机识别验证):符合匹配条件的访问请求需要通过人机识别验证后方可继续访问。

说明:其中,选择放行告警captcha匹配动作后,您可进一步设置该请求是否需要继续经过其它WAF防护功能过滤,包括Web应用攻击防护、CC应用攻击防护、智能防护、地区封禁、数据风控、SDK防护等。即未被精准访问控制规则阻断的请求是否进一步经过其它WAF防护功能的检测。

精准访问控制排序

精准访问控制规则之间是有先后匹配顺序的,即访问请求将根据所设定的精准访问控制规则依次进行匹配,顺序较前的精准访问控制规则优先匹配。

您可以通过规则排序功能对所有精准访问控制规则进行排序,以获得最优的防护效果。

操作步骤

您可以参考以下操作步骤,为已防护的域名配置精准访问控制:

  1. 登录到云盾Web应用防火墙控制台,定位到管理>网站配置

  2. 选择已添加的网站域名记录,单击防护配置

  3. 定位到精准访问控制功能项,开启该功能并单击前去配置配置精准访问控制规则。

    精准访问控制

  4. 单击新增规则,设置规则的匹配条件和相应的匹配动作,单击确定,即可为该域名添加精准访问控制规则。

    新增规则

    说明:在精准访问控制规则列表页面,单击规则排序,通过单击上移下移等可调整精准访问控制规则的排序。

精准访问控制配置示例

精准访问控制规则支持多种配置方法,您可以结合自身业务特点定义相应的规则。

您甚至可以通过设置精准访问控制规则实现特定的Web漏洞防护

配置IP黑白名单

通过设置以下精准访问控制规则,阻断来自1.1.1.1的所有访问请求。

acl1

通过设置以下精准访问控制规则,放行来自2.2.2.0/24网段的所有访问请求。

acl2

注意:应用此白名单配置规则时,请不要勾选继续执行Waf应用攻击防护继续执行CC应用攻击防护等选项,不然访问请求仍可能被WAF的其它防护功能所拦截。

拦截特定的攻击请求

通过分析某类特定的WordPress反弹攻击,发现其特征是User-Agent字段都包含WordPress。

WordPress

因此,可以设置以下精准访问控制规则,拦截该类WordPress反弹攻击请求。

ua

关于WordPress攻击的详细防护配置,请参考防御WordPress反射

封禁特定的URL

如果您遇到有大量IP在刷某个特定且不存在的URL,您可以通过配置以下精准访问控制规则直接阻断所有该类请求,降低源站服务器的资源消耗。

urlacl

防盗链

通过配置Referer匹配字段的访问控制规则,您可以阻断特定网站的盗链。例如,您发现abc.blog.sina.com大量盗用本站的图片,您可以配置以下精准访问控制规则阻断相关的访问请求。

防盗链

本文导读目录