You need to enable JavaScript to run this app.
导航
Web应用防火墙
  • 文档首页
    • /
  • Web应用防火墙

配置访问管控策略

最近更新时间2023.10.07 21:51:11

首次发布时间2021.10.15 18:40:46

我的收藏

访问管控策略是指对符合设定规则的特定 IP 的访问行为进行或来自特定地区的所有 IP 访问行为进行管控限制。您还可以自定义拦截响应信息,为满足特定条件的请求(CC 拦截除外)返回自定义的响应码和页面信息。

约束及限制

  • 黑白名单访问规则关联的地址组被删除之后,该规则如无其他有效关联地址组,则该规则将被同步删除。
  • 自定义拦截响应不适用于 CC 拦截。

前提条件

您已将需要防护的网站接入 WAF 实例。

配置访问白名单

将特定 IP 添加到网络访问白名单中,该 IP 下的相关访问行为将不受所有检测拦截规则的影响,直接被放行。

  1. 登录Web应用防火墙控制台

  2. 在顶部菜单栏选择实例所属地域。

  3. 在左侧导航选择防护策略>访问管控

  4. 开启待防护域名的白名单访问功能。

    1. 在页面上方选择需要添加访问白名单策略的域名。
    2. 单击访问白名单
    3. 开启策略启用开关。
      图片

  5. 单击添加白名单,配置白名单规则参数。

    参数

    说明

    规则名称

    防护规则名称。支持英文、汉字和数字,不支持特殊字符,最多不超过 25 个字符。

    备注

    填写白名单规则相关备注信息,例如放行的原因。

    IP 地址

    • 手动添加:手动输入需要加为白名单的 IP 地址,支持输入单个 IP 地址、IP 地址段或全部 IP 地址(*)。
    • 引用地址组:选择关联已经创建的地址组,支持关联多个地址组。

    请求路径

    填写需要放行 IP 地址的网站路径,可以是具体的某个页面 URL,也可以针对整个网站。

    • 某个具体的 URL 地址,例如需要放行test.com/test.html,则填写 /test.html
    • 针对整个网站,则填写/即可。

    规则开关

    开启或关闭当前规则。

    高级条件

    • 条件关系:指添加的多条高级条件关系,当前支持 AND 和 OR。
    • 匹配字段:选择匹配字段,目前支持请求协议、请求 uri、请求方法、请求路径、请求参数、请求头等字段。
    • 逻辑符:选择逻辑符,目前支持大于、大于等于、等于、小于、小于等于、不等于等逻辑关系。
    • 匹配内容:填写该条规则需要匹配的具体内容。
    • 操作:支持删除单条高级条件规则。

  6. 单击确定,完成规则配置。
    配置完成后,可在访问白名单列表查看规则信息,并进行规则关闭/开启、编辑和删除操作。

配置访问黑名单

将特定 IP 添加到网络访问黑名单中,该 IP 下的相关访问行为将会被直接拦截。

  1. 登录Web应用防火墙控制台

  2. 在顶部菜单栏选择实例所属地域。

  3. 在左侧导航选择防护策略>访问管控

  4. 开启待防护域名的黑名单访问功能。

    1. 在页面上方选择需要添加访问黑名单策略的域名。
    2. 单击访问黑名单
    3. 开启策略启用开关。
      图片

  5. 单击添加黑名单,配置白名单规则参数。

    参数

    说明

    规则名称

    防护规则名称。支持英文、汉字和数字,不支持特殊字符,最多不超过 25 个字符。

    备注

    填写黑名单规则相关备注信息,例如添加的原因。

    IP 地址

    • 手动添加:手动输入需要加为黑名单的 IP 地址,支持输入单个 IP 地址、IP 地址段或全部 IP 地址(*)。
    • 引用地址组:选择关联已经创建的地址组,支持关联多个地址组。

    请求路径

    填写需要加入黑名单的 IP 地址的网站路径,可以是具体的某个页面 URL,也可以针对整个网站。

    • 某个具体的 URL 地址,例如需要放行test.com/test.html,则填写 /test.html
    • 针对整个网站,则填写/即可。

    执行动作

    • 观察:仅上报请求信息,可在攻击日志中查看已上报记录。
    • 拦截:拦截对应请求,可在攻击日志中查看已拦截记录。

    规则开关

    开启或关闭当前规则。

    高级条件

    • 条件关系:指添加的多条高级条件关系,当前支持 AND 和 OR。
    • 匹配字段:选择匹配字段,目前支持请求协议、请求 uri、请求方法、请求路径、请求参数、请求头等字段。
    • 逻辑符:选择逻辑符,目前支持大于、大于等于、等于、小于、小于等于、不等于等逻辑关系。
    • 匹配内容:填写该条规则需要匹配的具体内容。
    • 操作:支持删除单条高级条件规则。

  6. 单击确定,完成规则配置。
    配置完成后,可在访问黑名单列表查看规则信息,并进行规则关闭/开启、编辑和删除操作。

地理位置访问控制

针对来源 IP 的归属地,按国家或地区设定网络访问控制规则。

  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏选择实例所属地域。
  3. 在左侧导航选择防护策略>访问管控
  4. 开启待防护域名的黑名单访问功能。
    1. 在页面上方选择需要添加地理位置访问控制策略的域名。
    2. 单击地理位置访问控制
    3. 开启策略启用开关。
      图片
  5. 设置策略模式。
    • 观察:放行请求,并上报请求信息至攻击日志。
    • 拦截:拦截请求,并上报请求信息至攻击日志。
  6. 单击添加地区, 勾选需要封禁的地区或国家。
  7. 单击确定,完成封禁地区配置。
    配置完成后,可在地理位置访问控制封禁列表查看封禁地区信息,或删除不再需要封禁的地区。

自定义拦截响应信息

当满足条件的请求被 WAF 拦截(CC 拦截除外)时返回,返回自定义的响应码和响应页面。

  1. 登录Web应用防火墙控制台

  2. 在顶部菜单栏选择实例所属地域。

  3. 在左侧导航选择防护策略>访问管控

  4. 开启待防护域名的自定义拦截响应功能。

    1. 在页面上方选择需要配置自定义拦截响应的域名。
    2. 单击自定义拦截响应
    3. 开启策略启用开关。
      图片

  5. 单击添加规则,配置自定义拦截响应参数。

    参数

    说明

    规则名称

    防护规则名称。支持英文、汉字和数字,不支持特殊字符,最多不超过 20 个字符。

    规则描述

    填写黑名单规则相关备注信息,例如添加的原因。

    请求路径

    填写需要返回自定义拦截响应的网站路径,可以是具体的某个页面 URL,也可以针对整个网站。

    • 某个具体的 URL 地址,例如需要放行test.com/test.html,则填写 /test.html
    • 针对整个网站,则填写/即可。

    规则开关

    开启或关闭当前规则。

    响应码

    设置请求被拦截时返回的响应码。

    页面模板

    • 系统默认:选择系统默认模板,支持 text/htmltext/xmlapplication/json 三种页面类型。
    • 自定义:填写自定义的页面模板,支持 text/htmltext/xmlapplication/json 三种页面类型,并自定义页面内容。
    • 重定向:填写重定向 path,如 /common/info/redirect

    高级条件

    • 条件关系:指添加的多条高级条件关系,当前支持 AND 和 OR。
    • 匹配字段:选择匹配字段,目前支持请求协议、请求 uri、请求方法、请求路径、请求参数、请求头等字段。
    • 逻辑符:选择逻辑符,目前支持大于、大于等于、等于、小于、小于等于、不等于等逻辑关系。
    • 匹配内容:填写该条规则需要匹配的具体内容。
    • 操作:支持删除单条高级条件规则。

  6. 单击确定,完成规则配置。
    配置完成后,可在自定义拦截响应列表查看规则信息,并进行规则关闭/开启、编辑和删除操作。