功能介绍
通过访问控制功能,能够帮助您拦截来自指定IP、指定IP段与指定地域的IP地址请求。
前提条件
- 已开通Web应用防火墙(边缘云版)
- 已新增域名并成功接入WAF,具体操作请见WAF接入
- 开通基础版级以上版本支持配置IP、IP段、区域等粒度的访问控制功能(体验版支持配置IP粒度的访问控制)
操作步骤
- 登录Web应用防火墙(边缘云版)控制台
- 登录web应用防火墙(边缘云版)控制台,在左侧导航栏中选择【域名管理】—【域名列表】,单击域名列表操作【安全防护】
- 进入【访问控制】页面
配置说明
| 配置项 | 说明 |
|---|---|
| 开关 | 访问控制策略的开关,支持开启或关闭 |
| 处理动作 | 支持配置处理动作为告警、加白、攻击标记、拦截、丢弃 告警:请求命中访问控制策略后,不对其拦截,仅记录攻击日志 加白:请求命中访问控制策略后,将对其进行加白,请求不经过任意Web安全防护策略 攻击标记:加白对应范围,但是如果请求触发规则,会记录在攻击日志 拦截:请求命中访问控制策略后,将对其进行拦截并记录攻击日志 丢弃:拦截后不会响应页面,会减少带宽 |
| 规则名称 | 访问控制策略的规则名称 |
| 防护范围 | 支持配置多个防护粒度,多个防护粒度为且关系,满足所有条件时,才触发处理动作 粒度选择:支持选择IP、IPS、地理位置、URI、PATH等十几种粒度,不同套餐版本支持选择不同的粒度,具体可见 套餐和版本说明 关系:包含/不包含 匹配内容:不同的粒度支持输入不同的匹配内容。一般支持输入多条,多条内容用英文符号;分隔 |
防护粒度说明
| 粒度 | 说明 | 示例 |
|---|---|---|
| PATH | 即目录路径。支持填写多个,多个PATH用;隔开 | /qr/;/app/verifyCode/ |
| IP | 即客户端IP。支持填写多个IP,多个IP间以;隔开 | 170.101.1.1;192.178.1.1 |
| IPS | 即客户端IP段。支持填写多个IP段,多个IP段间以;隔开 | 192.168.1.0/24;192.168.2.0/24 |
| IPR | 即客户端IP范围。支持填写多个IP范围,多个IP范围间以;隔开 | 192.168.1.1-192.168.1.10;192.168.1.12-192.168.1.20 |
| URI | URI不包括问号后参数。支持填写多个URI,多个URI间以;隔开,支持正则和字符串匹配 | /login.php |
| REQUEST_URI | URI包括问号后参数。不支持填写多个REQUEST_URI。支持正则和字符串匹配 | login.php?id=1 |
| METHDO | 即请求方式。支持填写多个请求方法,多个请求方法间以;隔开 | GET;POST |
| ARGS | 即URI问号后的参数名。支持正则和字符串匹配 | proid |
| GEO | 即客户端IP区域。支持选择多个区域 | 欧洲/德国 |
| HEADER | 即请求头部。支持正则和字符串匹配 | |
| PROTOCOL | 即请求协议。支持填写多个协议,多个协议用;隔开。支持正则和字符串匹配 | HTTP/1.0;HTTP/2.0;HTTP/0.9 |
| SRC_PORT | 即端口。支持填写多个端口,多个端口以;隔开 | 54375;8080 |
| DEST_IP | 即目标服务器IP。支持填写IPv4/IPv6,多个IP以;隔开 | 170.101.1.1;192.178.1.1 |
| DEST_PORT | 即目标服务器端口。支持填写多个端口,多个端口以;隔开 | 54375;8080 |
| 响应头 | 响应头。支持正则和字符串匹配 | |
| 状态码 | 状态码。支持选择2xx~5xx所有状态码,支持选择多个 | 200;404;500 |
配置场景
将从指定IP黑名单、指定IP段黑名单、指定区域请求黑名单向您介绍如何配置访问控制策略。
配置指定IP黑名单
配置示例:拦截来自IP 1.2.3.4的访问请求
在【访问控制】中新增规则:
- 开关:开
- 处理动作:拦截
- 规则名称:拦截来自1.2.3.4 IP的访问请求
- 防护范围:IP包含1.2.3.4
配置指定IP段黑名单
配置示例:拦截来自IP段1.2.3.4/24的访问请求
在【访问控制】中新增规则:
- 开关:开
- 处理动作:拦截
- 规则名称:拦截来自1.2.3.4/24 IP段的访问请求
- 防护范围:IPS包含1.2.3.4/24
配置指定区域请求黑名单
配置示例:拦截来自海外的访问请求
在【访问控制】中新增规则:
- 开关:开
- 处理动作:拦截
- 规则名称:拦截来自海外的所有请求
- 防护范围:地理位置包含中国以外的所有区域。地理位置选择组件支持从大洲细化至省市粒度。
相关操作
- 希望设置网站白名单,请见设置网站白名单
