3.1 如何配置区域、UA、IP访问管控原创

大家好，欢迎大家来到腾讯云开发者社区腾讯云I one团队共同打造的I one一站式玩转网站加速与防护史战影我是腾讯云产品经理马乐新，今天我们将深入探讨一个对每个网站运营者都至关重要的主题，网站安全防护。我们的网站不仅是我们业务的窗口，也是我们与客户互动的平台。然而随之而来的是各种安全威胁，从盗刷攻击到CC攻击，从恶意爬虫到漏洞利用。无论您是运营一个小型博客，还是大型电商平台，这些知识都将帮助您构建一个更安全、更稳定的网站环境。我们将通过实际案例和配置演示，让您深入了解每种防护策略的工作原理和配置实践。现在让我们开始今天的学习之旅吧。在接下来的讲解中，我们将详细讨论如何配置访问管控、应对流量盗刷、防御CC攻击、阻止恶意爬取、检测漏洞攻击，以及如何灵活的为特定IP或UA设置白名单。

今天我们来讲解如何使用h one配置区域UAIP访问管控。首先是背景介绍。如果您的站点需要自定义控制用户的访问策略，例如禁止指定地区用户访问，允许指定外部站点链接到本站内容，仅允许指定用户访问某些资源等。自定义规则支持根据单一规则匹配条件或者多个匹配条件进行组合匹配客户端请求通过允许拦截、重定向、返回自定义页面等方式来控制匹配的请求。策略可以帮助您的站点更加灵活的限制用户可以访问的内容。I one自定义规则分为基础访问管控和精确匹配规则。其中基础访问管控适用于相对简单的防护场景，例如IP黑白名单、referee黑白名单、用户代理黑白名单以及地域限制。

当您需要更复杂的防护时，精确匹配规则就派上了用场。这种规则允许您根据多个条件组合来匹配请求，并根据需要进行处理。例如，您可以设定某个文件路径下的资源只有特定用户可以访问。这种精确控制确保了敏感信息和资源的安全，避免了未授权的访问。自定义规则允许您基于多种条件来组合匹配客户端的请求，从而实现灵活的访问控制。这些条件包括但不限于请求域名、路径、客户端IP cookie j3指纹等。对于匹配到的请求，您可以灵活设置不同的响应动作，包括拦截、封禁、自定义响应内容、重定向、javascript挑战等。I one自定义规则中的基础访问管控功能，支持以下6大管控模块。IP管控，允许或禁止特定IP地址或IP地址段的访问。区域管控，限制或允许特定区域的用户访问您的站点。

Referee管控。通过控制，Referre可以限制只有从特定网站链接过来的与访问才被允许。不同的浏览器和设备会有不同的user agent标识，您可以通过设置user agent管控拦截特定爬虫工具，大量抓取您网站的内容。As SN是互联网服务提供商的唯一标志服务，通过as SN管控，您可以控制来自特定网络服务商的访问。URL管控允许您对网站的特定页面或资源进行精细化的访问控制。I one精确匹配规则能够同时考虑多个因素，对访问请求进行更精细、更复杂的判断和处理。精确匹配规则支持多个条件的组合匹配，这意味着它可以同时检查访问请求的多个特征，只有当所有特征都满足时，才会触发相应的处置动作。这样高精度的控制特别适用于一些复杂的安全场景。

让我们来通过几个具体的应用场景来理解这个功能。首先是指定路径仅允许指定用户访问。假如您运营着一个大型企业网站，其中包含着一个敏感的内部文档库，其路径为internal DOS, 您希望只有公司内部的指定IP地址才能访问这个文档库。这样您可以创建一个精确匹配规则，组合请求路径匹配和客户端IP匹配这两个条件。其中请求路径匹配条件为internal DOS客户端IP匹配条件为您公司的IP地址范围，比如192.168.1.0。网段对于匹配这两个条件的请求设置动作为放行。同时设置另一个规则，对所有访问internal DOS但IP不在允许范围内的请求进行拦截。第二个场景是精准控制站点敏感资源暴露面。假设您经营一个在线教育平台，包含许多课程视频，这些视频存储在videos目录下，您希望只有付费注册用户才能访问这些视频，并且只能从特定的课程页面访问。

以防止视频链接直接被分享。您可以通过创建一个精确匹配规则组合re匹配和请求URL匹配这两个条件实现。这种精细化的控制可以有效防止您的高级内容被未授权访问或盗链。第三个场景是防盗刷user agent挑战。比如，您经营一个在线视频网站，包含众多图片和视频文件。为防止盗刷攻击造成高额账单，您可以创建一个精确匹配规则，专门防止这些自动化工具的user agent进行javascript挑战。接下来是基础访问管控的具体操作事例。区域管控功能允许您根据访问者的地理位置来控制访问权限。假设您运营一个主要面对中国用户的电商平台。在某个非活跃时间段，网站突然遭受大量来自海外的可疑访问。

这些请求消耗了大量的服务器资源，影响了国内用户的正常访问。使用区域管控功能，您可以快速设置一条规则，暂时阻止所有来自中国大陆以外的访问请求。这种断然措施能够在短时间内有效缓解攻击压力，为您赢得宝贵的时间来进行更深入的分析和采取进一步的防护措施。接下来我为大家操作演示一下。登录边缘安全加速平台控制台，在左侧菜单栏中单击站点列表，在站点列表内单击需要配置的站点。单机安全防护，外部防护。定位到自定义规则卡片，单击基础访问管控中的添加规则。填写规则名称。选择管控类型为区域管控。

匹配方式为不包含中国大陆的访问。执行动作为拦截，单击保存规则将部署生效。管控检查每个访客的来源，只允许从特定渠道而来的访问。假设您经营一个高质量的图片素材网站www.my.com，您与一家广告平台at.example.com合作，希望只有通过这个平台的广告链接访问的用户才能查看和下载部分优质图片。您可以设置一条refer管控规则，对于refer refer≠ww.myexample.com或广告平台as.example.com的请求进行拦截。这样您就可以有效控制图片资源的访问，防止其他网站直接嵌入您的图片，保护您的知识产权，同时也确保了广告合作的效果。接下来我为大家演示一下。

登录边缘安全加速平台eo控制台，在左侧菜单栏中单击站点列表，在站点列表内单击需要配置的站点。单机安全防护，外部防护。定位到自定义规则，单击基础访问管控中的添加规则。填写规则名称。选择管控类型为re管控。匹配方式为，当请求不等于。当请求re，不等于。

单击保存规则将部署生效。User agent就像是访问者的身份证，它可以告诉服务器关于客户端、操作系统、浏览器类型和版本等信息。这个标头字段通常包含一个字符串，称为用户代理字符串。几乎所有的现代浏览器都会在HTTP请求头中添加user agent标头字段，用于标志客户端的类型、版本以及操作系统信息等。User agent通常包含以下信息，浏览器名称和版本、操作系统类型和版本、渲染引擎、其他相关的插件或扩展信息，空UA拦截功能则专门针对那些没带身份证的访问者。假设您运营一个新闻网站。最近发现有大量请求在短时间内访问您的文章，而这些请求的UC字段都为空。

您可以设置一条空UA拦截规则，自动拦截所有UC为空的请求，这样可以有效阻止大多数自动化爬虫或恶意脚本的访问，保护您的内容不被大规模抓取。需要注意的是，虽然空UA通常与自动化工具或恶意请求相关，但在少数情况下，也可能是由特殊的客户端配置导致的。因此，在实施空UA拦截时，建议先进行一段时间的观察和数据收集，确保不会影响到正常用户的访问。接下来我为大家操作演示一下。登录边缘安全加速平台eo控制台，在左侧菜单栏中单击站点列表，在站点列表内单击需要配置的站点。单机安全防护，外部防护。定位到自定义规则。在基础访问管控中单击添加规则。

填写规则名称。选择管控类型为user agent, 管控匹配方式为为空。执行动作为拦截，单击保存规则将部署生效。让我们回到PPT。接下来是精确匹配规则的操作实例。精准控制站点敏感资源暴露面是网站运营者需要考虑的场景。让我们通过一个实际的场景来理解这个概念。假设您运营一个大型电子商务平台3W点点。Com.这个平台每天处理数千笔交易，存储着大量敏感的用户和交易数据。您的网站有一个管理后台，用于处理订单、管理库存和处理客户问题。

这个后台的登录页面位于idmin conf slash login. 现在您希望只有公司内部的it团队才能访问这个后台，而it团队使用的是固定IP地址，1.1.1.1。这就是我们需要使用at one精确匹配规则的地方。接下来我为大家操作演示一下。登录边缘安全加速平台eo控制台，在左侧菜单栏中单击站点列表，在站点列表内单击需要配置的站点。单机安全防护外防护。定位到自定义规则，单击精准匹配策略中的添加规则。填写规则名称。配置判断条件为。

请求路径包含。以及客户端IP不匹配1.1.1的请求。执行处置为拦截。单击保存并发布规则将部署。以上就是网站安全防护实战第一节如何使用I one自定义规则配置访问管控的全部内容，谢谢大家观看。在下一讲中，我们将为大家带来在网站遭受流量盗刷攻击时，如何使用I one进行全面的预防、排查和应对。