概述
如果您的站点需要自定义控制用户的访问策略,例如禁止指定地区用户访问、允许指定外部站点链接到本站内容、仅允许指定用户访问某些资源等。自定义规则支持根据单一规则匹配条件或者多个匹配条件进行组合匹配客户端请求,通过允许、拦截、重定向、返回自定义页面等方式来控制匹配的请求策略,可以帮助您的站点更加灵活地限制用户可访问的内容。
典型场景与使用方式
您可以根据不同场景选择适当的规则类型来保护您的站点。自定义规则分为下列类型:
基础访问管控:支持单一条件匹配请求,对命中的请求进行处置或观察,适用于简单场景下的防护处置,例如:配置访问 IP 黑白名单、Referer 黑名单、UA 黑白名单或地域限制。
精准匹配规则:支持多个条件组合匹配请求,对命中的请求进行处置或观察,适用于复杂场景下的防护配置,例如:指定路径下文件仅允许指定用户访问。
托管定制策略:由腾讯安全专家定制的策略,不支持控制台调整策略。详情请见:托管定制规则。
说明:
当存在多条相同类型规则时,规则生效优先级如下:
1. 基础访问管控内的规则,当请求匹配多条规则时,此时将按照处置方式顺序执行:观察 > 拦截。
2. 精准匹配规则将按优先级自高到低(优先级数值从小到大)执行;
3. 自定义规则与其他 Web 防护能力之间的规则优先级顺序详见:Web 防护请求处理顺序。
基础访问管控
示例场景一:仅允许特定国家/地区访问
为遵守指定业务地区的法规要求,如果当前业务仅允许来自非中国大陆地区的访问,您可能需要限制访客来源区域。对于这类场景,您可以通过基础访问管控中的区域管控规则来实现,操作步骤如下:
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击安全防护 > Web 防护,进入 Web 防护详情页左侧的防护域名列表中,选择需开启防护的域名。
3. 找到自定义规则卡片,单击设置。进入自定义规则页面,单击基础访问管控中的添加规则。
4. 在新建基础管控规则界面内,填写规则名称后,以配置规则类型、匹配方式及匹配内容。规则类型即匹配条件,匹配该规则类型的请求将按照该规则配置的处置方式进行处理。
以当前场景为例,可选择规则类型为区域管控,匹配方式选择为客户端 IP 区域包含,匹配内容选择中国大陆(全部),处置方式为拦截。
5. 单击确定后,规则将部署生效。此时,客户端访问 IP 如果是中国大陆用户,则不允许访问该网站。
示例场景二:配置 Referer 控制外部站点访问
为了防止未授权站点方式访问盗链,您可以使用基础访问管控中的 Referer 管控规则来阻止携带未授权 Referer 头部的访问请求。例如:站点域名
www.myexample.com 需要放行通过广告合作方 ads.example.com 的链接访问的请求,同时拒绝通过其他站点链接访问内容。操作步骤如下:1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击安全防护 > Web 防护,进入 Web 防护详情页左侧的防护域名列表中,选择需开启防护的域名。
3. 找到自定义规则卡片,单击设置。进入自定义规则页面,单击基础访问管控中的添加规则。
4. 在新建基础管控规则界面内,填写规则名称后,配置规则类型、匹配方式及匹配内容。规则类型即匹配条件,匹配该规则类型的请求将按照该规则配置的处置方式进行处理。
以当前场景为例,可选择规则类型为 Referer 管控,当请求 Referer 不等于包括:
www.myexample.com、ads.example.com 时,处置方式为拦截。
5. 单击确定后,规则将部署生效。
精确匹配规则
示例场景:精准控制站点敏感资源暴露面
如果您需要控制站点敏感资源(例如:后台管理页面)暴露面,仅允许特定客户端或指定网络访问。您可以使用精准匹配规则中的客户端 IP 匹配和请求 URL 匹配组合来实现。
例如:当前站点域名
www.example.com 的管理后台登录地址路径为/adminconfig/login,该后台仅允许指定的客户端 IP 用户1.1.1.1 登录。操作步骤如下:1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击安全防护 > Web 防护,进入 Web 防护详情页左侧的防护域名列表中,选择需开启防护的域名。
3. 找到自定义规则卡片,单击设置。进入自定义规则页面,单击精准匹配策略中的添加规则。
4. 在新建自定义防护规则界面内,填写规则名称后,配置匹配字段以及执行动作。
以当前场景为例,可配置匹配字段为请求路径(Path)等于
/adminconfig/login 且客户端 IP 匹配 1.1.1.1 的用户,执行动作为放行。说明:
单击更多配置,可修改该规则的优先级,数值越低,优先级越高。
5. 单击确定后,规则将部署生效。
相关参考
支持的匹配条件范围
自定义规则可以使用匹配条件来控制规则的适用范围。以下是不同的自定义规则类型支持的匹配条件:
基础访问管控
规则类型 | 说明 |
客户端 IP 管控 | 根据客户端 IP 管控访问请求 |
区域管控 | 根据客户端 IP 归属地区管控访问请求 |
Referer 管控 | 根据请求的 Referer 头部内容管控访问请求 |
User-Agent 管控 | 根据请求的 User-Agent 管控访问请求 |
ASN 管控 | 根据客户端 IP 归属 ASN 管控访问请求 |
URL 管控 | 根据请求的 URL 管控访问请求,支持以通配符匹配 |
精准匹配规则
精准匹配规则支持以下匹配条件,且不同 EdgeOne 套餐支持程度也不一致。
说明:
请求客户端 IP
请求客户端 IP(优先匹配 XFF 头部)
自定义请求头部
请求 URL
请求 Referer 头部
请求 User-Agent 头部
请求路径(Path)
请求方式(Method)
请求 Cookie
XFF 扩展头部
网络层协议
应用层协议
支持的处置方式
防护规则类型 | 支持的处置方式 |
基础访问管控 | 观察 拦截 |
精准匹配规则 | 放行 拦截 观察 IP 封禁 重定向 返回自定义页面注 JavaScript 挑战 |
说明:
注:
如您想自定义响应请求的页面和状态码,自定义规则支持下列配置方式:使用返回自定义页面处置方式:您可以为单条自定义规则(仅支持精准匹配规则)配置返回自定义页面处置方式。响应匹配该条规则的请求时,EdgeOne 将返回您指定的页面和状态吗。
使用自定义页面:您可以使用自定义页面配置,指定全部自定义规则在拦截请求时使用的页面和状态码。