规则模板

ESA根据常见的攻击类型和使用场景,预置了多个防护规则模板,例如区域黑名单(基于地理位置阻断高危流量)、空Referer拦截(防御来源伪造攻击)、IP限频(防范恶意高频访问)等。通过标准化规则模板,只需填写少量的规则参数即可快速部署防护策略,降低了WAF防护配置复杂度,提升安全防护效率。

模板详情

区域黑名单

该模板通过集成高精度IP地理位置数据库,可基于国家/地区动态识别请求来源,对预设区域的流量实施自动化拦截。

典型场景

  • 防御境外流量攻击:针对历史攻击溯源数据中发现的攻击源国家,快速构建区域隔离策略。

  • 合规性流量管控:满足数据主权要求,阻断来自特定司法管辖区的非法访问请求。

  • 业务场景优化:电商大促期间临时屏蔽高延迟地区流量,降低服务器资源消耗。

拦截空Referer请求

该模板通过深度解析HTTP请求头中的Referer字段,针对携带Referer头但字段值为空的请求实施拦截策略。

典型场景

  • 恶意爬虫劫持:多数自动化爬虫工具(如Scrapy、Python requests库)默认不携带Referer头,或通过headers={"Referer": ""}刻意伪造空值,用于规避反爬虫机制。

  • 资源盗用防护:阻止第三方网站直接嵌入或跳转访问系统资源(如图片、CSS/JS文件),避免带宽消耗。

IP限频

IP限频模板可实现对单个IP地址访问频率的动态管控,当同一源IP10秒内对指定域名发起超过20HTTP请求时,自动触发拦截机制,将该IP加入临时黑名单并封锁1小时。还可根据实际需求调整访问频率阈值(例如20次/10改成40次/15)及拦截时长,适配不同业务场景。

典型场景

  • DDoS防御:有效缓解低强度反射型DDoS攻击,例如攻击者通过伪造IP地址向目标域名发送高频GET请求。

  • 爬虫限制:压制自动化爬虫的扫描行为(如目录爆破、数据抓取),例如某爬虫工具以20次/10频率访问/products/路径。

  • API滥用防护:防止第三方客户端滥用公开API接口(如短信验证码接口被恶意刷屏)。

动态请求限频

该模板通过智能识别回源请求特征,对需要回源获取动态内容的请求实施差异化限频策略,从而在保障正常业务流量的同时,有效保护源站资源。

典型场景

  • API滥用防护:某SaaS平台通过该策略限制第三方客户端对/data/export接口的访问频率,拦截恶意数据抓取请求。

  • 资源耗尽防御:某视频网站在直播活动期间启用动态限频,成功阻断高频访问导致的源站CPU过载事件。

  • 爬虫行为抑制:针对自动化工具对/search接口的高频调用(如每秒200+次),实施阶梯式限频策略,降低服务器负载。

防扫描

该模板通过多维度行为分析与模式识别算法,精准拦截Web目录扫描工具请求,并针对持续扫描404目录的IP实施自动化封禁。

典型场景

  • 漏洞探测防御:某金融平台通过该策略成功阻断dirsearch工具对/config/目录的暴力枚举,单日拦截扫描请求1.2万次。

  • 敏感文件防护:某电商平台检测到攻击者扫描.git/目录以窃取源代码,策略触发后自动封禁攻击IP。

防爆破

该模板通过托管规则触发频次分析与行为模式识别,针对高频触发基础防护规则的客户端实施自动化封禁,有效防止账号爆破攻击。

典型场景

  • 系统账号爆破防御:某银行在线支付平台遭受自动化工具攻击,攻击者通过/login接口尝试破解用户密码。

  • API接口防护:某电商平台在促销期间,发现攻击者利用自动化脚本高频调用/api/coupon接口抢购优惠券。

放行指定IP

该模板通过IP白名单机制实现对可信源地址的流量放行,允许特定IP的请求完全跳过WAF/BOT防护规则链,直接通行至后端服务。

典型场景

  • 内部系统互信:某企业通过配置内网IP(如192.0.XX.XX)白名单,确保OA系统与ERP系统的API调用无需经过安全检测。

  • 合作伙伴接入:某电商平台为支付网关(如IP:192.0.XXX.XXX)配置白名单,保障交易接口的低延迟响应。

放行所有静态请求

该模板通过请求内容特征识别与缓存状态分析,对静态资源请求实施零防护直通策略,仅对需要回源获取动态内容的请求执行WAF/Bots防护,从而在保障安全性的同时显著降低安全检测开销。

典型场景

  • 高并发活动:某电商大促期间启用该策略,成功应对每秒10万次的图片请求洪峰,未触发源站限流机制。

  • 混合云架构:某企业将前端静态资源(如/public/目录)放行,仅对后端API(/api/)实施WAF防护,降低混合云环境下的安全检测成本。

加白指定路径

该模板通过URL路径精确匹配机制,对特定业务路径实施零防护直通策略,允许相关请求完全跳过WAF/Bots防护规则链。

典型场景

  • 代码仓库上传:某开源平台为/git/repo/submit路径配置白名单,确保开发者提交代码时不受WAF拦截。

  • 文件管理接口:某企业网盘系统对/file/upload路径配置白名单,避免大文件上传时触发速率限制。

  • 第三方集成调试:某支付网关为/partner/test路径配置白名单,方便合作伙伴进行API联调测试。

配置示例

近期某在线广告平台发现大量虚假点击流量,导致带宽成本增加。经分析,攻击者通过伪造空Referer请求模拟用户点击,日均空Referer请求量超过15万次,占总流量的30%。

为解决此问题,该广告平台使用ESA拦截空Referer请求模板,快速配置防护规则,有效拦截了Referer请求。

  1. ESA控制台,选择站点管理,在站点列单击目标站点。

  2. 在左侧导航栏,选择安全防护 > WAF

  3. 概述页签中,单击拦截空Referer请求区域的创建

  4. 填写规则名称如果请求匹配以下规则...则执行…区域的参数保持不变,单击确定

    防护规则配置完成后,空Referer请求将被拦截。

    image