访问管控策略是指对符合设定规则的特定 IP 的访问行为进行管控限制,您可以通过手动添加 IP 地址、引用地址组或者是选择 IP 所属地理位置的方式来设置访问源。此外,设置特定的访问特征路径可以帮助控制策略的生效范围。支持设置禁止访问名单和允许访问名单。
注意事项
禁止访问名单和允许访问名单关联的地址组或域名组被删除之后,该规则如无其他有效关联地址组或域名组,则该规则将被同步删除。
前提条件
您已将需要防护的网站接入 WAF 实例。接入相关操作,请参见接入方式概述。
配置禁止访问名单
将特定 IP 添加到网络禁止访问名单中,该 IP 下的相关访问行为将直接被拦截,且您可以在攻击日志中查看访问记录。
登录Web应用防火墙控制台。
在顶部菜单栏选择实例所属地域。
在左侧导航选择防护策略>访问管控。
开启禁止访问名单功能。
- 单击禁止访问名单。
- 开启策略启用开关。
单击添加规则,配置规则参数。
参数
说明
配置示例
基本信息
规则名称
防护规则名称。
说明
- 以中文、字母、数字开头。
- 允许字母、数字、中文、点“.”、下划线“_”和短横线“-”。
- 长度为 1-128 个字符。
Block_rule1
规则描述
填写规则相关备注信息,例如拦截原因。
拦截对应 IP 的访问
防护域名
- 选择域名:选择已经接入防护的域名,支持选择多个域名。
- 选择域名组:选择已经创建的域名组,支持选择多个域名组。
选择域名组
规则条件
IP 地址
- 手动添加:手动输入需要加为禁止访问名单的 IP 地址,支持输入单个 IP 地址、IP 地址段或全部 IP 地址(*)。
- 引用地址组:选择已经创建的 IP 地址组,支持选择多个地址组。
- 选择地理位置:勾选需要限制的 IP 来源区域,支持选择多个区域。
192.1.1.1
特征描述
- 请求路径:填写需要防护的网站路径,可以是具体的某个页面路径,也可以是整个网站下的所有路径。
- 匹配具体路径:某个具体的页面路径,例如需要拦截对
test.com/test.html的访问,则直接填写域名后的路径信息/test.html即可。 - 匹配目录下全部路径:使用
*可以匹配全部路径,且*需在路径末尾。- 匹配整个网站下的所有路径,则填写
/*即可。 - 匹配某个目录下的全部路径,则在对应目录路径下使用
*即可。例如/test/*,表示匹配/test/目录下的全部路径。
注意
/test/*/abc.html和/test/*都表示匹配/test/目录下的全部路径。 - 匹配整个网站下的所有路径,则填写
- 匹配具体路径:某个具体的页面路径,例如需要拦截对
- 添加条件:设置其他匹配字段、逻辑符和匹配内容。匹配字段和逻辑符相关说明请参考高级条件配置说明。
- 请求路径与添加条件之间为
且的关系,即当请求路径和添加条件都满足,方可触发规则。 - 多请求路径匹配:如需规则对多个请求路径生效,请先配置主请求路径为目录下的全部路径,再添加匹配字段为请求路径的条件。例如需要配置
/test/123.html和/test/abc.jpg,则可参考如下操作:- 将请求路径设置为
/test/*。 - 增加 2 条条件:
- 条件 1:
请求路径等于/test/123.html - 条件 2:
请求路径等于/test/abc.jpg
- 条件 1:
- 两者条件关系设置为
或。
- 将请求路径设置为
- 请求路径:/test.html
- 添加条件:
请求方法等于POST
执行动作
- 观察:放行请求流量,但会将请求行为上报至攻击日志。
- 拦截:拦截请求流量,将请求行为上报至攻击日志。如果配置了自定义拦截响应页面,WAF 会将配置的拦截响应页面信息返回给客户端。
拦截
生效配置
规则开关
开启或关闭当前规则。
开启
单击确定,完成规则配置。
配置完成后,可在列表查看规则信息,并进行规则关闭/开启、编辑和删除操作。
配置允许访问名单
将特定 IP 添加到网络允许访问名单中,该 IP 下的相关访问行为将不受所有检测拦截规则的影响,您可以在访问日志中查看访问记录。
登录Web应用防火墙控制台。
在顶部菜单栏选择实例所属地域。
在左侧导航选择防护策略>访问管控。
开启允许访问名单功能。
- 单击允许访问名单。
- 开启策略启用开关。
单击添加规则,配置规则参数。
参数
说明
配置示例
基本信息
规则名称
防护规则名称。
说明
- 以中文、字母、数字开头。
- 允许字母、数字、中文、点“.”、下划线“_”和短横线“-”。
- 长度为 1-128 个字符。
Allow_rule1
规则描述
填写规则相关备注信息,例如放行原因。
放行对应 IP 的访问
防护域名
- 选择域名:选择已经接入防护的域名,支持选择多个域名。
- 选择域名组:选择已经创建的域名组,支持选择多个域名组。
选择域名组
规则条件
IP 地址
- 手动添加:手动输入需要加为允许访问名单的 IP 地址,支持输入单个 IP 地址、IP 地址段或全部 IP 地址(*)。
- 引用地址组:选择已经创建的 IP 地址组,支持选择多个地址组。
- 选择地理位置:勾选需要限制的 IP 来源区域,支持选择多个区域。
192.1.1.1
特征描述
- 请求路径:填写需要防护的网站路径,可以是具体的某个页面路径,也可以是整个网站下的所有路径。
- 匹配具体路径:某个具体的页面路径,例如需要拦截对
test.com/test.html的访问,则直接填写域名后的路径信息/test.html即可。 - 匹配目录下全部路径:使用
*可以匹配全部路径,且*需在路径末尾。- 匹配整个网站下的所有路径,则填写
/*即可。 - 匹配某个目录下的全部路径,则在对应目录路径下使用
*即可。例如/test/*,表示匹配/test/目录下的全部路径。
注意
/test/*/abc.html和/test/*都表示匹配/test/目录下的全部路径。 - 匹配整个网站下的所有路径,则填写
- 匹配具体路径:某个具体的页面路径,例如需要拦截对
- 添加条件:设置其他匹配字段、逻辑符和匹配内容。匹配字段和逻辑符相关说明请参考高级条件配置说明。
- 请求路径与添加条件之间为
且的关系,即当请求路径和添加条件都满足,方可触发规则。 - 多请求路径匹配:如需规则对多个请求路径生效,请先配置主请求路径为目录下的全部路径,再添加匹配字段为请求路径的条件。例如需要配置
/test/123.html和/test/abc.jpg,则可参考如下操作:- 将请求路径设置为
/test/*。 - 增加 2 条条件:
- 条件 1:
请求路径等于/test/123.html - 条件 2:
请求路径等于/test/abc.jpg
- 条件 1:
- 两者条件关系设置为
或。
- 将请求路径设置为
- 请求路径:/test.html
- 添加条件:
请求方法等于GET
执行动作
全部允许访问,即满足条件的请求不受所有检测拦截规则的影响。
无需配置
生效配置
规则开关
开启或关闭当前规则。
开启
单击确定,完成规则配置。
配置完成后,可在列表查看规则信息,并进行规则关闭/开启、编辑和删除操作。