自定义规则

视频讲解

配置自定义规则

1. 在ESA控制台，选择站点管理，在站点列单击目标站点。

2. 在左侧导航栏，选择安全防护 > WAF。

3. 单击自定义规则页签，进入自定义规则页签，单击新增规则。

   • 填写规则名称。

   • 在当请求匹配以下规则时...区域设置要匹配的用户请求特征，请求匹配规则参见规则表达式的组成。

   • 在则执行...区域设置当请求命中该规则时，要执行的防护动作，详细信息请参见执行动作说明。

4. 单击确定。

执行动作说明

• 拦截：表示拦截命中规则的请求，并向发起请求的客户端返回拦截响应页面。

  说明

  若需要在拦截操作中自定义拦截页面时，请参见配置自定义页面。

• 观察：表示不拦截命中规则的请求，只通过日志记录请求命中了规则。您可以通过WAF日志，查询命中当前规则的请求，分析规则的防护效果（例如，是否有误拦截等）。观察模式方便您试运行首次配置的规则，待确认规则没有产生误拦截后，再将规则设置为拦截模式。

  说明

  只有开通日志服务，您才可以使用日志查询功能。

• JS挑战：表示WAF向客户端返回一段正常浏览器可以自动执行的JavaScript代码。如果客户端正常执行了JavaScript代码，则WAF在一段时间（默认30分钟）内放行该客户端的所有请求（不需要重复验证），否则拦截请求。

• 滑块验证：WAF向客户端返回滑动验证页面。如果客户端成功执行滑动验证，则WAF在 30 分钟（默认）内放行该客户端的所有请求，否则拦截请求。

  

配置示例

• 防护场景：通过安全分析或事件分析中发现了IP为193.xx.xx.xx的客户端向主机dns.example.com发起了异常请求行为。

• 自定义规则配置示例：

  • 规则表达式：主机名等于dns.example.com并且IP源地址等于193.xx.xx.xx。

  • 执行动作：操作选择拦截，并使用默认拦截页面。

  

不同套餐的支持情况