当前边缘安全加速 ESA产品的规则功能支持国家、省份、运营商等基于客户端IP归属信息的匹配字段,可以结合WAF、安全规则等功能来使用,使用这些基于客户端IP归属信息的匹配字段时,有以下注意事项:
ESA产品的IP地址库的定位精确度存在以下两个常见问题:
IP地址库无法保证100%的准确,因为运营商IP段的地理位置归属每时每刻都在变化,ESA无法做到实时更新,并且也存在运营商自身的问题导致IP段的归属不准确的情况(尤其是一些小运营商)。
IP地址库中的地理位置的颗粒度越小,精确度越低,IP地址的省份归属精确度一定是低于国家归属的精确度,因此不建议使用IP地址的省份归属信息来做严格的安全拦截策略(避免带来较多拦截)。
基于以上2点:
ESA产品会持续更新和迭代IP地址库,但是仍然无法做到100%的精确度,整个行业目前都存在同样的问题,建议在使用ESA产品的过程中,不要过于依赖IP地址库的定位精确度。
如果客户需要使用规则功能来配置对恶意客户端的安全拦截策略,建议结合
referer、User-Agent等客户端请求信息来做综合判断使安全策略更加准确。
该文章对您有帮助吗?