执行动作(也称作模式)是指当某个请求触发了防护规则时,Web 应用防火墙将如何处理。不同的执行动作应用于不同的防护规则,请参考以下说明了解详情。
执行动作类型
动作 | 说明 | 相关规则 |
|---|
观察 | 直接放行满足条件的请求流量。 | |
限速 | - 此动作对 CC 防护策略和 Bot 管理策略生效。
- WAF 根据请求特征和统计条件,限制统计对象向防护域名下的请求路径发起请求行为。
- 在统计时长内,每对象的访问次数和总访问次数低于设定阈值时,可正常访问;达到阈值后,后续所有请求将被直接拦截,直至下一个统计周期开始恢复正常访问。
注意 为避免影响正常业务流量,建议谨慎设置限速条件。 | |
拦截 | - 拦截满足条件的请求流量。如果配置了自定义拦截响应页面,WAF 会将配置的拦截响应页面信息返回给客户端。
- 在 CC 防护和 Bot 防护策略中,WAF 根据请求特征和统计条件,限制统计对象向防护域名下的请求路径发起请求行为。
- 在统计时长内,每对象的访问次数和总访问次数低于设定阈值时,可正常访问;达到阈值后,统计对象面向该路径的后续请求将被直接拦截,拦截时长为您配置的限制时长。
- 超出限制时长范围后,该统计对象进入新一轮统计周期,恢复正常访问。
注意 为避免影响正常业务流量,建议谨慎设置拦截条件。 | |
人机验证 | - 通过向客户端页面返回验证码进行人机验证,验证类型为滑块拼图。如果验证通过,则在您设置的豁免时间内直接放行请求流量,否则拦截请求。
- 动作有效时长为您配置的限制时长,即在对应限制时长内,WAF 会在每个豁免时间结束后的时间点重新发起验证码校验。
- 超出限制时长范围后,该统计对象进入新一轮统计周期,恢复正常访问。
| |
工作量证明 | - 此动作对 Bot 管理策略生效。
- 通过 JS-SDK 要求客户端完成计算任务并提交结果。如果验证通过,则在您设置的豁免时间内直接放行请求流量,否则拦截请求。
- 动作有效时长为您配置的限制时长,即在对一个限制时长内,WAF 会在每个豁免时间结束后的时间点重新发起工作量证明。
- 超出限制时长范围后,该统计对象进入新一轮统计周期,恢复正常访问。
| |
JS 挑战 | - 此动作对 CC 防护策略和 Bot 管理策略生效。
- 通过 JS-SDK 验证客户端 JavaScript 执行能力,如果验证通过,则在您设置的豁免时间内直接放行请求流量,否则拦截请求。
- 动作有效时长为您配置的限制时长,即在对一个限制时长内,WAF 会在每个豁免时间结束后的时间点重新发起 JS 挑战。
- 超出限制时长范围后,该统计对象进入新一轮统计周期,恢复正常访问。
| |
丢弃 | - 此动作对 Bot 管理策略生效。
- 直接丢弃满足条件的请求流量,动作有效时长为您配置的限制时长。
- 超出限制时长范围后,该统计对象进入新一轮统计周期,恢复正常访问。
| |
限速和拦截动作的区别
以如下规则设置为例:
- 请求路径:/test.html
- 统计对象:源 IP
- 统计内容:在 60 秒内,每对象访问超 100 次,且请求路径访问超 200 次
- 限制时长:拦截动作设定限制时长为 30 秒
假设在 20 秒内,源 IP192.1.2.3访问/test.html超过 100 次,且/test.html总访问次数超过 200 次,统计条件到达阈值,两种动作的执行效果分别如下:
- 限速:拦截所有面向
/test.html的请求,动作持续 40 秒,这期间/test.html将无法被访问,直至下一个统计周期开始恢复,并重新计算统计条件。 - 拦截:拦截
192.1.2.3面向/test.html的请求,动作持续 30 秒,其他请求可正常访问。30 秒过后,192.1.2.3可正常访问。下一个统计周期开始重新计算统计条件。
您可以参考下图了解限速和拦截动作的对比详情。
