功能介绍
支持根据用户实际配置的条件,检查HTTP协议头部,对HTTP请求信息中的方法以及参数长度等信息进行检测,对不符合的请求项进行拦截或告警。
检测范围
- 请求方法检测:只允许指定请求方法访问网站。
- 请求协议检测:只允许指定协议版本访问网站。
- 请求头部缺失检测:请求缺少指定头部禁止访问网站。
- 数据重复检测:针对头部重复、参数重复进行拦截,禁止访问网站。
- 请求数据长度限制:针对请求URL、头部参数进行长度限制,禁止访问网站。
前提条件
操作步骤
- 登录边缘安全加速平台控制台。
- 在左侧导航栏中选择【安全能力】,进入【Web应用防火墙】菜单,并在左侧域名列表选择您要防护的域名。
- 进入防护能力-基础安全防护-【合规性检测】详细设置页。
注意域名新增时,会有一条全站合规检测的默认策略,可以通过【防护开关】来开启或者关闭,您也可以自定义合规检测规则。
配置说明
防护方式
防护方式。为合规性检测功能的总开关,关闭则合规性检测的任何规则将不生效。
配置项说明
合规性检测将为您提供一条默认策略,针对全站进行防护,此策略不允许调整优先级。
配置项 说明 优先级 规则优先级 防护模式 设置该规则的防护模式,支持设置关闭、开启。 规则名称 设置规则名称 规则描述 设置规则描述 防护范围 设置需要防护的请求范围,可选择粒度有URI、PATH,支持输入字符串,比如PATH包含字符串/ 允许HTTP请求方法
设置允许的请求方法(PUT、DELETE、POST、GET、其它),支持多选
非法处理动作:即当请求非允许的请求方法时,将对请求进行处理,支持配置关闭、告警、拦截
允许HTTP协议版本
设置允许的HTTP协议版本(HTTP/1.1、HTTP/1.0、HTTP/0.9、其它),限制非指定HTTP版本访问源站,保证源站针对性服务,不受黑客攻击
非法处理动作:即当请求非允许的HTTP协议版本时,将对请求进行处理,支持配置关闭、告警、拦截
HTTP请求头部缺失
请求缺失对应头部则告警或拦截。针对HTTP请求的头部进行缺失防护,当请求到达服务器时,检测到缺失头部时,进行相应处理动作,处理动作支持配置关闭、告警、拦截
头部支持选择USER-AGENT、其它、ACCEPT-LANGUAGE、ACCEPT、HOST
HPP防护
HPP 防护 即 HTTP Parameter Pollution,HTTP 参数污染。在 HTTP 协议中是运行同样名称的参数出现多次,攻击者通过传播参数的时候传输 key 相同而 value 不同的参数,从而达到绕过某些防护与参数校验的后果。它是一种注入型的漏洞,攻击者通过在 HTTP 请求中插入特定的参数来发起攻击
合规检测的HPP防护能够及时处理该攻击行为,下拉框为处理动作,支持配置关闭、告警、拦截
作用范围支持选择cookie、body、url。cookie:cookie字段重复;body:针对x-www-form-urlencoded编码格式body进行重复参数检测;url:针对url传输参数重复检测
HTTP头部重复限制 请求对应头部存在重复则告警或拦截 Chunk攻击检测 针对请求体中嵌入HTTP请求攻击,窃取其它客户敏感信息的攻击行为进行告警或拦截 上传合规检测 针对上传表单校验是否满足上传协议规范,不符合则告警或拦截 %00检测
ASCII 0字符会对参数进行截断,造成源站不可预知错误,合规检测将针对此攻击行为进行告警或拦截
检测区域支持选择表单传输头、BODY传输头、URL参数、其它文件、表单文件
URL最大长度 限制请求URL最大长度,不符合的请求将告警或拦截。针对HTTP请求URL长度进行限制,避免大量不合规请求到达源站,占用资源,浪费系统性能 HTTP请求头部限制 针对HTTP请求头部内容进行限制。限制内容包含,请求头部,字段最大个数,请求头部参数值最大长度限制。不符合的请求将告警或拦截。
请求头部参数名最大长度: 限制请求头部参数名最大长度
请求头部参数值最大长度: 限制请求参数值最大长度
请求头部参数最大个数: 限制请求头部最大个数
例外 如果有特殊的业务无法通过合规检测策略,可以进行加白,则请求不会进行合规检测策略校验
