You need to enable JavaScript to run this app.
导航
Web应用防火墙
  • 文档首页
    • /Web应用防火墙/用户指南/配置防护策略/配置访问管控策略
配置访问管控策略
最近更新时间:2024.09.09 19:13:37首次发布时间:2021.10.15 18:40:46
我的收藏

访问管控策略是指对符合设定规则的特定 IP 的访问行为进行管控限制,您可以通过手动添加 IP 地址、引用地址组或者是选择 IP 所属地理位置的方式来设置访问源。此外,设置特定的访问特征路径可以帮助控制策略的生效范围。支持设置禁止访问名单和允许访问名单。

注意事项

禁止访问名单和允许访问名单关联的地址组或域名组被删除之后,该规则如无其他有效关联地址组或域名组,则该规则将被同步删除。

前提条件

您已将需要防护的网站接入 WAF 实例。接入相关操作,请参见接入方式概述

配置禁止访问名单

将特定 IP 添加到网络禁止访问名单中,该 IP 下的相关访问行为将直接被拦截,且您可以在攻击日志中查看访问记录。

  1. 登录Web应用防火墙控制台

  2. 在顶部菜单栏选择实例所属地域。

  3. 在左侧导航选择防护策略>访问管控

  4. 开启禁止访问名单功能。

    1. 单击禁止访问名单
    2. 开启策略启用开关。
      图片

  5. 单击添加规则,配置规则参数。

    参数

    说明

    配置示例

    基本信息

    规则名称

    防护规则名称。

    说明

    • 以中文、字母、数字开头。
    • 允许字母、数字、中文、点“.”、下划线“_”和短横线“-”。
    • 长度为 1-128 个字符。

    Block_rule1

    规则描述

    填写规则相关备注信息,例如拦截原因。

    拦截对应 IP 的访问

    防护域名

    • 选择域名:选择已经接入防护的域名,支持选择多个域名。
    • 选择域名组:选择已经创建的域名组,支持选择多个域名组。

    选择域名组

    规则条件

    IP 地址

    • 手动添加:手动输入需要加为禁止访问名单的 IP 地址,支持输入单个 IP 地址、IP 地址段或全部 IP 地址(*)。
    • 引用地址组:选择已经创建的 IP 地址组,支持选择多个地址组。
    • 选择地理位置:勾选需要限制的 IP 来源区域,支持选择多个区域。

    192.1.1.1

    特征描述

    • 请求路径:填写需要拦截 IP 地址的网站路径,可以是具体的某个页面 URL,也可以针对整个网站。
      • 某个具体的 URL 地址,例如需要拦截对test.com/test.html路径的访问,则填写 /test.html
      • 针对整个网站,则填写/*即可。
      • 支持填写通配符*,仅可出现一次,例如/test/*

      说明

      支持填写多条网站路径,用英文逗号分隔。

    • 添加条件:设置其他匹配字段、逻辑符和匹配内容。
      • 匹配字段:选择匹配字段,目前支持请求协议、请求 uri、请求方法、请求路径、请求参数、请求头等字段。
      • 逻辑符:选择逻辑符,目前支持大于、大于等于、等于、小于、小于等于、不等于等逻辑关系。
      • 匹配内容:填写该条规则需要匹配的具体内容。
    • 多个条件之间为“且”的关系,即当多个条件都满足,方可触发规则。

    例如,拦截来自访问源 IP 地址至/test.html路径,且请求方法为POST的访问请求,则可以设置以下特征:

    • 请求路径 等于 /test.html
    • 请求方法 等于 POST
    • 请求路径:/test.html
    • 添加条件:请求方法 等于 POST

    执行动作

    • 观察:放行请求流量,但会将请求行为上报至攻击日志。
    • 拦截:拦截请求流量,将请求行为上报至攻击日志。如果配置了自定义拦截响应页面,WAF 会将配置的拦截响应页面信息返回给客户端。

    拦截

    生效配置

    规则开关

    开启或关闭当前规则。

    开启

  6. 单击确定,完成规则配置。
    配置完成后,可在列表查看规则信息,并进行规则关闭/开启、编辑和删除操作。
    图片

配置允许访问名单

将特定 IP 添加到网络允许访问名单中,该 IP 下的相关访问行为将不受所有检测拦截规则的影响,您可以在访问日志中查看访问记录。

  1. 登录Web应用防火墙控制台

  2. 在顶部菜单栏选择实例所属地域。

  3. 在左侧导航选择防护策略>访问管控

  4. 开启允许访问名单功能。

    1. 单击允许访问名单
    2. 开启策略启用开关。
      图片

  5. 单击添加规则,配置规则参数。

    参数

    说明

    配置示例

    基本信息

    规则名称

    防护规则名称。

    说明

    • 以中文、字母、数字开头。
    • 允许字母、数字、中文、点“.”、下划线“_”和短横线“-”。
    • 长度为 1-128 个字符。

    Allow_rule1

    规则描述

    填写规则相关备注信息,例如放行原因。

    放行对应 IP 的访问

    防护域名

    • 选择域名:选择已经接入防护的域名,支持选择多个域名。
    • 选择域名组:选择已经创建的域名组,支持选择多个域名组。

    选择域名组

    规则条件

    IP 地址

    • 手动添加:手动输入需要加为允许访问名单的 IP 地址,支持输入单个 IP 地址、IP 地址段或全部 IP 地址(*)。
    • 引用地址组:选择已经创建的 IP 地址组,支持选择多个地址组。
    • 选择地理位置:勾选需要限制的 IP 来源区域,支持选择多个区域。

    192.1.1.1

    特征描述

    • 请求路径:填写需要放行 IP 地址的网站路径,可以是具体的某个页面 URL,也可以针对整个网站。
      • 某个具体的 URL 地址,需要放行对test.com/test.html路径的访问,则填写 /test.html
      • 针对整个网站,则填写/*即可。
      • 支持填写通配符*,仅可出现一次,例如/test/*

      说明

      支持填写多条网站路径,用英文逗号分隔。

    • 添加条件:设置其他匹配字段、逻辑符和匹配内容。
      • 匹配字段:选择匹配字段,目前支持请求协议、请求 uri、请求方法、请求路径、请求参数、请求头等字段。
      • 逻辑符:选择逻辑符,目前支持大于、大于等于、等于、小于、小于等于、不等于等逻辑关系。
      • 匹配内容:填写该条规则需要匹配的具体内容。
    • 多个条件之间为“且”的关系,即当多个条件都满足,方可触发规则。

    例如,放行来自访问源 IP 地址至/test.html路径,且请求方法为GET的访问请求,则可以设置以下特征:

    • 请求路径 等于 /test.html
    • 请求方法 等于 GET
    • 请求路径:/test.html
    • 添加条件:请求方法 等于 GET

    执行动作

    全部允许访问,即满足条件的请求不受所有检测拦截规则的影响。

    无需配置

    生效配置

    规则开关

    开启或关闭当前规则。

    开启

  6. 单击确定,完成规则配置。
    配置完成后,可在列表查看规则信息,并进行规则关闭/开启、编辑和删除操作。
    图片