概述
防护例外规则提供了集中的访问白名单配置选项,可快速配置放行合法请求,避免被其他模块拦截。除此之外,当 EdgeOne 内置的预设防护策略(如 CC 攻击防护、托管规则等)未准确识别区分合法请求时,防护例外规则可以为您提供精细化调优配置,精准指定需要放行的请求或请求参数。
说明:
防护例外规则中,部分请求字段跳过规则扫码功能仅 EdgeOne 企业版套餐支持。
典型场景与配置方式
防护例外规则可在已有防护策略基础上,指定符合特征的正常请求跳过指定模块或指定规则的扫描。
说明:
1. 支持跳过自定义规则、速率限制、CC 攻击防护、托管规则防护模块。
2. 如需跳过Bot 管理模块,请使用 Bot 管理 > 防护例外规则或自定义 Bot 规则进行配置。
示例场景一:指定高频 API 接口请求跳过 CC 攻击防护扫描
当前站点域名
api.example.com,用于事件上报的 API 接口为/api/EventLogUpload,在业务突增时,可能出现突发高频访问的场景。这样的访问模式极容易被 CC 攻击防护识别为攻击并进行拦截。对于该接口,可通过配置防护例外规则跳过 CC 攻击防护模块,避免误拦截。操作步骤如下:1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击安全防护 > Web 防护,进入 Web 防护详情页左侧的防护域名列表中,选择需开启防护的域名,例如:
api.example.com。3. 找到防护例外规则卡片,单击设置。进入 Web 防护例外规则列表,单击添加规则。
4. 在新建 Web 防护例外规则弹窗中,填写规则名称,例外类型选择为完整请求跳过规则。
5. 配置请求匹配条件及处置方式,以示例场景为例,配置匹配字段为请求方式等于
POST,请求路径等于 /api/EventLogUpload 时,处置方式选择为指定安全防护模块中的 CC 攻击防护。匹配字段可配置多个,多条同时存在为“且”的匹配关系。详细匹配条件介绍可参考:匹配条件。
6. 单击确定,完成该规则添加。此时,当该事件日志上报的 API 接口的
POST 请求将不会被 CC 攻击防护模块所拦截,避免了高频日志上报产生误拦截的可能,同时其他接口可正常接受检测防护。示例场景二:避免个人博客内容被漏洞防护误拦截
当前站点下域名
blog.example.com 用于博客内容分享,该博客基于 WordPress 搭建。其中博客内容可能分享的技术内容相关文本(例如:SQL 和 Shell 命令示例),发布博客时会因为博客内容文本匹配 SQL 注入攻击特征而触发防护规则。通过防护例外规则,可配置请求参数白名单,匹配博客发布 API 接口路径/wp/v2/posts,指定对发布内容请求中的文本参数 Content 不参与 SQL 注入攻击规则扫描,避免对博客内容的误报和拦截。操作步骤如下:1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击安全防护 > Web 防护,进入 Web 防护详情页左侧的防护域名列表中,选择需开启防护的域名,例如:
api.example.com。3. 找到防护例外规则卡片,单击设置。进入 Web 防护例外规则列表,单击添加规则。
4. 在新建 Web 防护例外规则弹窗中,填写规则名称,例外类型选择为部分请求字段跳过规则扫描。
5. 配置请求匹配条件及处置方式,参考示例场景,您可以配置匹配字段为请求路径等于
/wp/v2/posts时,处置方式为指定托管规则包括所有 SQL 注入攻击防护规则,不扫描 JSON 请求内容中指定参数名称等于 content,且参数值通配符匹配为*的参数内容。详细匹配条件介绍可参考:匹配条件。
6. 单击确定,完成该规则添加。此时,当请求路径等于
/wp/v2/posts 发布博文时,博文内容均不会经过 SQL 注入攻击防护规则校验,可以避免正常文本内容被误扫描为攻击行为。相关参考
部分请求字段跳过规则扫描时支持的例外字段类型说明如下:
类别 | 选项 |
JSON 请求内容 | 全部参数 匹配指定名称的参数 匹配条件的参数 |
Cookie 头部 | 全部参数 匹配指定名称的参数 匹配条件的参数 |
HTTP 头部参数 | 全部参数 匹配指定名称的参数 匹配条件的参数 |
URL 编码内容或查询参数 | 全部参数 匹配指定名称的参数 匹配条件的参数 |
请求路径 URI | 查询参数部分 路径部分 完整路径 |
请求正文内容 | 完整请求正文 分段文件名 |
说明:
匹配条件的参数通过同时指定参数名称和参数值的匹配条件完成,参数名称和值都支持完整匹配和通配符匹配。