安全规则

威胁检测机制

ESA的威胁检测能力基于阿里云海量的威胁情报数据库，该数据库实时汇集全球网络威胁数据。

• 情报来源：包含已知的恶意IP、攻击源、僵尸网络、代理服务等。

• 检测维度：系统会综合评估请求的IP信誉、地理位置、访问模式、请求特征（如User-Agent）等多个维度，并生成一个动态的威胁评分作为安全级别判定参考。

挑战验证类型

当请求被判定为具有潜在威胁时，系统会根据设定的安全级别发起挑战，以区分真实用户和自动化程序。

• JavaScript挑战：向客户端注入一段JS代码，验证其是否为真实的浏览器环境。此过程对用户通常是透明无感的，但可能会对不支持JavaScript的API客户端造成影响。

• 人机验证码：要求用户完成图形验证码或滑动验证等交互操作，以证明其为人类用户。此方式会中断用户的访问流程。

安全级别说明

安全级别定义了威胁检测的敏感度和应对措施的严厉程度。选择更高的安全级别会提升防护能力，但也可能增加对正常用户的影响。

创建安全规则

1. 在ESA控制台，选择站点管理，在站点列单击目标站点。

2. 在左侧导航栏，选择规则 > 安全规则。

3. 单击新增规则，填写规则名称。

4. 在如果请求匹配以下规则...区域设置要匹配的用户请求特征，在则执行…区域选择安全级别。例如：针对主机名为www.example.com的请求，设置中等安全级别可参考：

   

5. （可选）可根据实际需要拖动顺序列的，或单击操作的移至调整规则执行优先级。

   

验证规则效果

安全规则创建完成后，使用curl等工具模拟触发规则的请求，观察响应情况。例如，模拟域名example.com正在异常访问网站资源，现为该域名添加安全规则进行防护，预期会收到403 Forbidden响应或包含挑战页面的HTML内容，而非正常结果200。

异常处理与优化

在规则运行过程中，可能会出现正常用户的IP或API客户端被错误地挑战或拦截，需及时进行处理。以下述场景为例：

业务处于高风险攻击场景下，已配置了安全等级为高，但是想放行内部测试的IP为 1.2.3.4 的请求。

• 方式一：添加白名单规则

  可以通过添加WAF白名单规则，将已知IP地址加入白名单，确保关键业务流量不受影响。

  1. 在安全规则页面复制对应的规则ID。

  2. 在左侧导航栏，选择安全防护 > WAF，选择白名单规则页签，单击新增规则。

  3. 配置参考如下，单击确定即可：

     • 规则名称：填入自定义规则名，如rule-allow-test-ip。

     • 如果请求匹配以下规则...：匹配字段下拉选择客户端IP，运算符下拉选择等于其中任意一个，输入框填入1.2.3.4。

     • 规则：选择部分规则种类或ID。

     • 规则种类：下拉选择安全等级。

     • 规则ID（自定义规则、频次控制规则、扫描防护规则等）：填入a步骤中的规则ID。

     

• 方式二：调整安全规则优先级

  由于ESA按照顺序依次执行，可新建一条安全规则用于调低测试请求的防护安全级别，并将其执行优先级调整至拦截规则之前，确保其优先匹配和生效。

  1. 在左侧导航栏，选择规则 > 安全规则，单击新增规则。

  2. 配置参考如下，单击确定：在如果请求匹配以下规则...中精确匹配被误伤的IP地址、User-Agent或请求路径，然后则执行…中选择安全级别为基本关闭或彻底关闭（企业版可用），以跳过安全检查。

     • 规则名称：填入自定义规则名，如rule-allow-test-ip。

     • 传入请求类型：默认选择自定义规则，匹配字段下拉选择客户端IP，运算符下拉选择等于其中任意一个，输入框填入1.2.3.4。

     • 安全级别：选择基本关闭或彻底关闭（企业版可用），以跳过安全检查。

     

  3. 在安全规则界面拖动图标调整规则的执行顺序，将rule-allow-test-ip规则的顺序置于原规则之前即可。