ESA根据常见的攻击类型和使用场景,预置了多个防护规则模板,例如区域黑名单(基于地理位置阻断高危流量)、空Referer拦截(防御来源伪造攻击)、单IP限频(防范恶意高频访问)等。通过标准化规则模板,只需填写少量的规则参数即可快速部署防护策略,降低了WAF防护配置复杂度,提升安全防护效率。
模板详情
区域黑名单
该模板通过集成高精度IP地理位置数据库,可基于国家/地区动态识别请求来源,对预设区域的流量实施自动化拦截。
典型场景
防御境外流量攻击:针对历史攻击溯源数据中发现的攻击源国家,快速构建区域隔离策略。
合规性流量管控:满足数据主权要求,阻断来自特定司法管辖区的非法访问请求。
业务场景优化:电商大促期间临时屏蔽高延迟地区流量,降低服务器资源消耗。
拦截空Referer请求
该模板通过深度解析HTTP请求头中的Referer
字段,针对携带Referer
头但字段值为空的请求实施拦截策略。
典型场景
恶意爬虫劫持:多数自动化爬虫工具(如Scrapy、Python requests库)默认不携带
Referer
头,或通过headers={"Referer": ""}
刻意伪造空值,用于规避反爬虫机制。资源盗用防护:阻止第三方网站直接嵌入或跳转访问系统资源(如图片、CSS/JS文件),避免带宽消耗。
单IP限频
单IP限频模板可实现对单个IP地址访问频率的动态管控,当同一源IP在10秒内对指定域名发起超过20次HTTP请求时,自动触发拦截机制,将该IP加入临时黑名单并封锁1小时。还可根据实际需求调整访问频率阈值(例如20次/10秒
改成40次/15秒
)及拦截时长,适配不同业务场景。
典型场景
DDoS防御:有效缓解低强度反射型DDoS攻击,例如攻击者通过伪造IP地址向目标域名发送高频GET请求。
爬虫限制:压制自动化爬虫的扫描行为(如目录爆破、数据抓取),例如某爬虫工具以
20次/10秒
频率访问/products/
路径。API滥用防护:防止第三方客户端滥用公开API接口(如短信验证码接口被恶意刷屏)。
动态请求限频
该模板通过智能识别回源请求特征,对需要回源获取动态内容的请求实施差异化限频策略,从而在保障正常业务流量的同时,有效保护源站资源。
典型场景
API滥用防护:某SaaS平台通过该策略限制第三方客户端对
/data/export
接口的访问频率,拦截恶意数据抓取请求。资源耗尽防御:某视频网站在直播活动期间启用动态限频,成功阻断高频访问导致的源站CPU过载事件。
爬虫行为抑制:针对自动化工具对
/search
接口的高频调用(如每秒200+次),实施阶梯式限频策略,降低服务器负载。
防扫描
该模板通过多维度行为分析与模式识别算法,精准拦截Web目录扫描工具请求,并针对持续扫描404目录的IP实施自动化封禁。
典型场景
漏洞探测防御:某金融平台通过该策略成功阻断
dirsearch
工具对/config/
目录的暴力枚举,单日拦截扫描请求1.2万次。敏感文件防护:某电商平台检测到攻击者扫描
.git/
目录以窃取源代码,策略触发后自动封禁攻击IP。
防爆破
该模板通过托管规则触发频次分析与行为模式识别,针对高频触发基础防护规则的客户端实施自动化封禁,有效防止账号爆破攻击。
典型场景
系统账号爆破防御:某银行在线支付平台遭受自动化工具攻击,攻击者通过
/login
接口尝试破解用户密码。API接口防护:某电商平台在促销期间,发现攻击者利用自动化脚本高频调用
/api/coupon
接口抢购优惠券。
放行指定IP
该模板通过IP白名单机制实现对可信源地址的流量放行,允许特定IP的请求完全跳过WAF/BOT防护规则链,直接通行至后端服务。
典型场景
内部系统互信:某企业通过配置内网IP(如
192.0.XX.XX
)白名单,确保OA系统与ERP系统的API调用无需经过安全检测。合作伙伴接入:某电商平台为支付网关(如IP:
192.0.XXX.XXX
)配置白名单,保障交易接口的低延迟响应。
放行所有静态请求
该模板通过请求内容特征识别与缓存状态分析,对静态资源请求实施零防护直通策略,仅对需要回源获取动态内容的请求执行WAF/Bots防护,从而在保障安全性的同时显著降低安全检测开销。
典型场景
高并发活动:某电商大促期间启用该策略,成功应对每秒10万次的图片请求洪峰,未触发源站限流机制。
混合云架构:某企业将前端静态资源(如
/public/
目录)放行,仅对后端API(/api/
)实施WAF防护,降低混合云环境下的安全检测成本。
加白指定路径
该模板通过URL路径精确匹配机制,对特定业务路径实施零防护直通策略,允许相关请求完全跳过WAF/Bots防护规则链。
典型场景
代码仓库上传:某开源平台为
/git/repo/submit
路径配置白名单,确保开发者提交代码时不受WAF拦截。文件管理接口:某企业网盘系统对
/file/upload
路径配置白名单,避免大文件上传时触发速率限制。第三方集成调试:某支付网关为
/partner/test
路径配置白名单,方便合作伙伴进行API联调测试。
配置示例
近期某在线广告平台发现大量虚假点击流量,导致带宽成本增加。经分析,攻击者通过伪造空Referer请求模拟用户点击,日均空Referer请求量超过15万次,占总流量的30%。
为解决此问题,该广告平台使用ESA的拦截空Referer请求模板,快速配置防护规则,有效拦截了空Referer请求。
在ESA控制台,选择站点管理,在站点列单击目标站点。
在左侧导航栏,选择 。
在概述页签中,单击拦截空Referer请求区域的创建。
填写规则名称,如果请求匹配以下规则...和则执行…区域的参数保持不变,单击确定。
防护规则配置完成后,空Referer请求将被拦截。