功能介绍
通过访问控制功能,您可以设置根据请求中不同字段内容进行匹配,对满足匹配条件的请求进行拦截、重定向等动作。
如您可以拦截来自指定IP、指定IP段与指定地域的IP地址请求。
前提条件
- 已经订购边缘安全加速平台-安全与加速服务,若未订购,请参见服务开通。
- 在控制台新增域名,请参见添加服务域名。
- 开通免费版及以上版本,支持使用访问控制功能,不同版本限制规则数不同,具体请见安全与加速服务版本差异对比。
操作步骤
- 登录边缘安全加速平台控制台。
- 在左侧导航栏中选择【安全能力】,进入【访问控制/限流】菜单,并在左侧域名列表选择您要防护的域名。
- 进入防护能力-高级安全防护-【访问控制】详细设置。
配置说明
| 配置项 | 说明 |
|---|---|
| 优先级 | 配置访问控制策略的优先级,数字越小,优先级越高。 |
| 开关 | 访问控制策略的开关,支持开启或关闭。 |
| 处理动作 | 告警:对命中该规则的请求仅告警不阻断,记录攻击日志。 加白:对命中该规则的请求放行,不记录攻击日志。当防护粒度选择响应头、状态码时,不适用于"加白"动作。 攻击标记:命中该规则的请求将继续匹配后续防护策略。若命中,则产生对应类型的攻击日志,但不会阻断请求。当防护粒度选择响应头、状态码时,对响应报文进行攻击检测。 拦截:对命中该规则的请求进行拦截,并返回响应页面。当防护粒度选择响应头、状态码时,不适用于"拦截"动作。选择拦截动作,可设置自定义拦截页面。 丢弃:对命中该规则的请求拦截但不会响应页面,减少带宽。当防护粒度选择响应头、状态码时,不适用于"丢弃"动作。 重定向:对命中该规则的请求302重定向到指定的页面。仅适用于静态类请求。当防护粒度选择响应头、状态码时,不适用于"重定向"动作。 JavaScript挑战:对命中该规则的请求进行JavaScript挑战验证。仅适用于GET请求的HTML静态页面。当防护粒度选择响应头、状态码时,不适用于"JavaScript挑战"动作。 图片验证码:对命中该规则的请求响应图片验证码进行人机校验。仅适用于GET请求的HTML静态页面。当防护粒度选择响应头、状态码时,不适用于"图片验证码"动作。 |
| 规则名称 | 访问控制策略的规则名称。 |
| 规则描述 | 访问控制策略的规则描述。 |
| 防护范围 | 支持配置多个防护粒度,多个防护粒度为且关系,满足所有条件时,才触发处理动作。 防护粒度:支持选择IP、IPS、地理位置、URI、PATH等十几种粒度。具体粒度介绍见下方【防护粒度说明】。 关系:包含/不包含。 匹配内容:不同的粒度支持输入不同的匹配内容。一般支持输入多条,多条内容用英文符号;分隔。 |
| 防护周期 | 若您希望访问控制策略只在某个周期生效,可以配置防护周期,并支持且条件。防护周期支持配置每日、每周、每月。 配置示例: 1. 每周一至周二:周期包含1-2。 2. 每周日至周一的7点至9点:周期包含每周 7-1 且 周期包含每天07:00-09:00。 3. 每月19号的23点到次日1点:周期包含每月 19-19 且 周期包含每天23:00-01:00。 4. 每周二或每周四的7点至9点:周期包含每周 2-2;4-4 且 周期包含每天07:00-09:00。 |
防护粒度说明
| 粒度 | 说明 | 示例 |
|---|---|---|
| IP_PORT | 即客户端IP端口。支持填写多个IP:端口格式,多个用;隔开 | 192.168.1.0:443;192.168.2.0:8080 |
| PATH | 即目录路径。支持填写多个,多个PATH用;隔开。 | /qr/;/app/verifyCode/ |
| IP | 即客户端IP。支持填写多个IP,多个IP间以;隔开。 | 170.101.1.1;192.178.1.1 |
| IPS | 即客户端IP段。支持填写多个IP段,多个IP段间以;隔开。 | 192.168.1.0/24;192.168.2.0/24 |
| IPR | 即客户端IP范围。支持填写多个IP范围,多个IP范围间以;隔开。 | 192.168.1.1-192.168.1.10;192.168.1.12-192.168.1.20 |
| IP文件 | 1.支持上传TXT格式的文件。 2.文件内容支持以下格式的IP地址:1.1.1.1、2.2.2.0/24、3.3.3.3-3.3.3.5。 3.多个IP地址以分号;或换行符进行分割。(因操作系统差异,如有报错请切换分割符。) 4.IP地址最多支持3000条。 5.添加IP文件匹配字段后,不支持添加其他匹配字段。 |
|
| URI | URI不包括问号后参数。支持填写多个URI,多个URI间以;隔开,支持正则和字符串匹配。 当选择字符串时,支持下拉框选择对应域名的API资产。 |
/login.php |
| REQUEST_URI | URI包括问号后参数。不支持填写多个REQUEST_URI。支持正则和字符串匹配。 | /login.php?id=1 |
| METHDO | 即请求方式。支持填写多个请求方法,多个请求方法间以;隔开。 | GET;POST |
| ARGS | 即URI问号后的参数名。支持正则和字符串匹配。 | proid |
| GEO | 地理位置,即客户端IP区域。支持选择多个区域。 | 欧洲/德国 |
| HEADER | 即请求头部。支持正则和字符串匹配。 | |
| PROTOCOL | 即请求协议。支持填写多个协议,多个协议用;隔开。支持正则和字符串匹配。 | HTTP/1.0;HTTP/2.0;HTTP/0.9 |
| SRC_PORT | 即客户端源端口。支持填写多个端口,多个端口以;隔开。 | 54375;8080 |
| DEST_IP | 即请求的目的IP。支持填写IPv4/IPv6,多个IP以;隔开。 | 170.101.1.1;192.178.1.1 |
| DEST_PORT | 即请求的目的端口。支持填写多个端口,多个端口以;隔开。 | 54375;8080 |
| 响应头 | 响应头,支持正则和字符串匹配。 支持”告警“、”攻击标记“动作。 当防护动作选择”攻击标记“时,对响应报文进行攻击检测。 |
|
| 状态码 | 响应报文状态码。支持选择2xx~5xx所有状态码,支持选择多个。 支持”告警“、”攻击标记“动作 当防护动作选择”攻击标记“时,对响应报文进行攻击检测。 |
200;404;500 |
| REQUEST_BODY | 即请求体内容。支持填写多个,多个以英文分隔符;隔开。 |
支持复制操作
若您有批量复制当前域名的访问控制规则至其余域名的场景,可通过复制操作实现快速配置。
复制防护开关
使用场景:当您需要将一批域名的访问控制策略总开关都置为关闭时,可以通过规则复制-复制防护开关,将当前域名的访问控制防护开关复制到其他域名上。
操作步骤:
- 进入访问控制模块;
- 选择规则复制-复制防护开关;
- 选择您要调整的域名,并且仅支持选择【已启用】的域名。
配置页面:
复制防护规则
复制类型:新增
使用场景:当您需要将一条或多条访问控制规则都批量新增到其他域名上时,可以通过规则复制-复制规则来操作。
操作步骤:
- 进入【访问控制/限流】-【访问控制】模块;
- 选中一条或多条控制ID,选中规则复制-复制规则,复制类型选择【新增】;
- 选择您要复制规则的域名(支持复制上限域名为100个,只能选中已启用的域名);
- 点击复制,则完成规则批量新增的操作。
复制类型:覆盖
使用场景:当您需要将IP=1.2.3.4、处理动作=【拦截】的访问控制策略都修改统一为告警时,可以通过规则复制-复制规则来操作。
操作步骤:
- 进入【访问控制/限流】-【访问控制】模块;
- 选中一条控制ID,选中规则复制-复制规则,复制类型选择【覆盖】;
- 选择您要复制规则的域名(支持复制上限域名为100个,只能选中已启用、且包含相同防护范围策略的域名);
- 点击复制,则完成规则批量新增的操作。
注意复制类型为覆盖,域名列表只展示访问控制含相同防护范围,并且域名状态为【已启用】的域名;
复制类型为新增,域名列表展示域名状态为【已启用】的域名。
批量操作
支持用户对同一域名下的多项访问控制规则进行批量的启用、停用、删除及调整处理动作。
操作步骤:
- 进入访问控制模块;
- 勾选需要批量操作的规则;
- 下拉选择批量操作的动作。
配置场景
将从指定IP黑名单、指定IP段黑名单、指定区域请求黑名单向您介绍如何配置访问控制策略。
配置指定IP黑名单
配置示例:拦截来自IP 1.2.3.4的访问请求
在【访问控制】中新增规则:
- 开关:开
- 处理动作:拦截
- 规则名称:拦截来自1.2.3.4 IP的访问请求
- 防护范围:IP包含1.2.3.4
配置指定IP段黑名单
配置示例:拦截来自IP段1.2.3.4/24的访问请求
在【访问控制】中新增规则:
- 开关:开
- 处理动作:拦截
- 规则名称:拦截来自1.2.3.4/24 IP段的访问请求
- 防护范围:IPS包含1.2.3.4/24
配置指定区域请求黑名单
配置示例:拦截来自海外的访问请求
在【访问控制】中新增规则:
- 开关:开
- 处理动作:拦截
- 规则名称:拦截来自海外的所有请求
- 防护范围:地理位置包含中国以外的所有区域。地理位置选择组件支持从大洲细化至省市粒度。
