腾讯云 WAF 批量防护规则模块支持用户对采用相同防护策略的多个防护对象进行集中化防护规则配置。
批量配置精准白名单规则
批量防护规则页面提供对精准白名单的批量配置功能。
添加精准白名单规则
注意:
单个域名支持多条精准白名单规则生效。
1. 登录 Web 应用防火墙控制台,在左侧导航栏顶部,将控制台切换至实例所在区域(中国大陆/非中国大陆)。
2. 在左侧导航栏中,选择批量防护 > 批量防护规则 > 精准白名单。
3. 在精准白名单页面,单击添加规则,配置相关参数,单击确定。
字段说明:
规则名称:自定义规则名称,50个字符以内。
匹配方式:匹配方式字段说明请见匹配方式字段说明。最多可以添加5条规则。
加白模块:选择应用此处配置精准白名单的模块。
基础安全
Web 防护(规则引擎、恶意文件检测、AI 引擎)
IP 封禁
访问控制(地域封禁、自定义规则)
CC 防护
信息防泄漏防护
IP 黑白名单
BOT 防护
API 安全
小程序流量风控
生效方式:可选择永久生效、定时生效、周粒度生效、月粒度生效。
生效范围:选择范围包括按防护对象组生效及按自定义接入域名/对象生效。
按防护对象组生效:勾选下方已配置防护对象组,支持一键全选。
按自定义域名或对象生效:支持根据域名、实例属性进行筛选,按住 Shift 键可多选(最多300个对象)。选定接入域名或对象后,可一键同步生成防护对象组。
管理精准白名单规则
在精准白名单页面,支持选择多种资源属性进行查询,操作列对应位置可编辑或删除规则。
注意:
删除后的规则无法恢复,重新添加才能生效。
批量配置 IP 白名单规则
批量防护规则页面提供对 IP 白名单的批量配置功能。
添加白名单规则
注意:
单个域名支持多条 IP 白名单规则生效。
1. 登录 Web 应用防火墙控制台,在左侧导航栏顶部,将控制台切换至实例所在区域(中国大陆/非中国大陆)。
2. 在左侧导航栏中,选择批量防护 > 批量防护规则 > IP 白名单。
3. 在 IP 白名单页面,单击添加地址,配置相关参数,单击确定。
字段说明:
IP 地址:支持任意 IP 地址,例如10.0.0.10或 FF05::B5;支持 CIDR 格式地址,例如10.0.0.0/16或 FF05:B5::/60,使用换行符进行分隔,一次最多添加100个。
生效方式:可选择永久生效、定时生效、周粒度生效、月粒度生效。
备注:自定义,50个字符以内。
生效范围:选择范围包括按防护对象组生效及按自定义接入域名/对象生效。
按防护对象组生效:勾选下方已配置防护对象组,支持一键全选。
按自定义域名或对象生效:支持根据域名、实例属性进行筛选,按住 Shift 键可多选(最多300个对象)。选定接入域名或对象后,可一键同步生成防护对象组。
管理白名单规则
在 IP 白名单页面,支持选择多种资源属性进行查询,操作列对应位置可编辑或删除规则。
注意:
删除后的规则无法恢复,重新添加才能生效。
批量配置 IP 黑名单规则
批量防护规则页面提供对 IP 黑名单的批量配置功能。
添加黑名单规则
注意:
单个域名支持多条 IP 黑名单规则生效。
1. 登录 Web 应用防火墙控制台,在左侧导航栏顶部,将控制台切换至实例所在区域(中国大陆/非中国大陆)。
2. 在左侧导航栏中,选择批量防护 > 批量防护规则 > IP 黑名单。
3. 在 IP 黑名单页面,单击添加地址,配置相关参数,单击确定。
字段说明:
IP 地址:支持任意 IP 地址,例如10.0.0.10或 FF05::B5;支持 CIDR 格式地址,例如10.0.0.0/16或 FF05:B5::/60,使用换行符进行分隔,一次最多添加100个。
生效方式:可选择永久生效、定时生效、周粒度生效、月粒度生效。
备注:自定义,50个字符以内。
生效范围:选择范围包括按防护对象组生效及按自定义接入域名/对象生效。
按防护对象组生效:勾选下方已配置防护对象组,支持一键全选。
按自定义域名或对象生效:支持根据域名、实例属性进行筛选,按住 Shift 键可多选(最多300个对象)。选定接入域名或对象后,可一键同步生成防护对象组。
管理黑名单规则
在 IP 黑名单页面,支持选择多种资源属性进行查询,操作列对应位置可编辑或删除规则。
注意:
删除后的规则无法恢复,重新添加才能生效。
批量配置 Web 安全规则
批量防护规则页面提供对 Web 安全规则的批量配置功能。
添加 Web 安全规则
注意:
单个域名支持多条 Web 安全规则生效。
1. 登录 Web 应用防火墙控制台,在左侧导航栏顶部,将控制台切换至实例所在区域(中国大陆/非中国大陆)。
2. 在左侧导航栏中,选择批量防护 > 批量防护规则 > Web 安全。
3. 在 Web 安全页面,单击新建规则模板,输入模板名称和备注,单击确定。
4. 在生效对象页面上方,单击立即配置配置生效对象,
4.1 支持根据域名、实例的多种属性进行过滤,支持按住 Shift 键进行多选,不超过300个对象。选定接入域名或对象后,可一键同步生成防护对象组。
4.2 单击确定,返回生效对象页面。
5. 在生效对象页面下方,可对 Web 安全规则进行管理,详情请参见 规则管理。
管理 Web 安全规则
在 Web 安全页面,支持通过模板名称进行查询,操作列对应位置可编辑或删除规则。
注意:
删除后的规则无法恢复,重新添加才能生效。
Web 安全默认模板为系统默认模板,无法删除。
批量配置 IP 封禁规则
批量防护规则页面提供对 IP 封禁规则的批量配置功能。
添加 IP 封禁规则
注意:
单个域名仅支持一条 IP 封禁规则生效。
1. 登录 Web 应用防火墙控制台,在左侧导航栏顶部,将控制台切换至实例所在区域(中国大陆/非中国大陆)。
2. 在左侧导航栏中,选择批量防护 > 批量防护规则 > IP封禁。
3. 在IP封禁页面,单击添加规则,配置相关参数,单击确定。
字段说明:
规则名称:自定义规则名称,50个字符以内。
Web 攻击次数:统计攻击源 IP 在指定时间内触发 Web 攻击(规则引擎触发,不包括 AI 引擎、自定义策略、CC 攻击等模块)的次数,攻击次数范围:2~100次。
检测时长:指定统计攻击源 IP 检测时长,检测时长范围:1~60分钟。
封禁时间:封禁该 IP 的请求时长,封禁时间范围:5~360分钟。
备注:50字符以内。
生效对象:选择生效域名或网关实例对象,支持全选,但不超过300个对象。
管理 IP 封禁规则
在 IP 封禁页面,支持选择多种资源属性进行查询,操作列对应位置可编辑或删除规则。
注意:
删除后的规则无法恢复,但可以继续配置单对象或者批量对象的IP封禁规则。
批量配置地域封禁规则
批量防护规则页面提供对地域封禁规则的批量配置功能。
添加地域封禁规则
注意:
单个域名仅支持一条地域封禁规则生效。
1. 登录 Web 应用防火墙控制台,在左侧导航栏顶部,将控制台切换至实例所在区域(中国大陆/非中国大陆)。
2. 在左侧导航栏中,选择批量防护 > 批量防护规则 > 地域封禁。
3. 在地域封禁页面,单击添加规则,配置相关参数,单击确定。
字段说明:
规则名称:自定义规则名称,50个字符以内。
封禁地域:选择国内/国外封禁地区,支持的封禁地区详情请参见 地域封禁。
生效方式:可选择永久生效、定时生效、周粒度生效、月粒度生效。
备注:50字符以内。
生效对象:选择生效域名或网关实例对象,支持全选,但不超过300个对象。
管理地域封禁规则
在地域封禁页面,支持选择多种资源属性进行查询,操作列对应位置可编辑或删除规则。
注意:
删除后的规则无法恢复,重新添加才能生效。
批量配置访问控制规则
批量防护规则页面提供对访问控制规则的批量配置功能。
添加访问控制规则
注意:
单个域名支持多条访问控制规则生效。
1. 登录 Web 应用防火墙控制台,在左侧导航栏顶部,将控制台切换至实例所在区域(中国大陆/非中国大陆)。
2. 在左侧导航栏中,选择批量防护 > 批量防护规则 > 访问控制。
3. 在访问控制页面,单击添加规则,配置相关参数,单击确定。
字段说明:
规则名称:自定义规则名称,50个字符以内。
匹配方式:每个访问控制策略最多可以设置5个条件进行特征控制。每个访问控制策略中的多个条件之间是“与”的关系,即所有条件全部匹配,策略才可生效。匹配方式字段说明详情请参见 匹配方式字段说明。
执行动作:每个访问控制策略匹配之后可以配置拦截、人机识别、观察、JS 校验共四种处理动作。
拦截:WAF 对命中该策略的访问进行拦截操作。
人机识别:WAF 对命中该策略的访问进行人机识别操作,如图片验证码。
观察:WAF 对命中该策略的访问进行观察操作。
JS 校验:WAF 对命中该策略的访问进行 JS 校验。
生效方式:可选择永久生效、定时生效、周粒度生效、月粒度生效。
优先级:优先级数值越小则优先级越高,即1优先级最高,100优先级最低。
生效对象:选择生效域名或网关实例对象,支持全选,但不超过300个对象。
管理访问控制规则
在访问控制页面,支持选择多种资源属性进行查询,操作列对应位置可编辑或删除规则,且支持批量删除规则。
注意:
删除后的规则无法恢复,重新添加才能生效。
批量配置 CC 防护规则
批量防护规则页面提供对 CC 防护规则的批量配置功能。
添加 CC 防护规则
注意:
单个域名支持多条 CC 防护规则生效。
1. 登录 Web 应用防火墙控制台,在左侧导航栏顶部,将控制台切换至实例所在区域(中国大陆/非中国大陆)。
2. 在左侧导航栏中,选择批量防护 > 批量防护规则 > CC 防护。
3. 在CC 防护页面,单击添加规则,配置相关参数,单击确定。
字段说明:
规则名称:CC 防护规则名称,50个字符以内。
识别方式:支持 IP 和 SESSION 识别模式,默认为 IP。
应用对象:识别方式为 SESSION 时,需要在此选择或新增应用对象。
匹配方式:CC 防护规则频率控制匹配条件,默认为 URL。支持设置多个匹配条件,同一规则的多个条件是“与”关系,同时满足才会执行动作,且最多配置10个,详细字段说明请见匹配方式字段说明。
限频方式:可选择惩罚限频和节流限频。
惩罚限频:对触发频次规则的客户端实施自定义时长的处置,根据执行动作处置在设定时间内其发起的请求。
节流限频:对触发频次规则的客户端进行严格请求数控制,根据执行动作处置其单位时间内的最大请求量。其中,节流限频仅针对购买了 BOT 防护或 API 安全的实例开放。
访问频次:根据业务情况设置访问频次。建议输入正常访问次数的3倍 - 10倍,例如,网站人均访问20次/分钟,可配置为60次/分钟 - 200次/分钟,可依据被攻击严重程度调整。
执行动作:默认为拦截,可根据需要进行设置,各个动作详细说明如下:
动作类型 | 说明 |
观察 | 符合匹配条件的会话请求将会被监控并记录日志。 |
拦截 | 若规则配置的防护路径为根目录(/),则触发时会阻止该 IP 或 Session 对网站所有页面的访问。 若规则配置的防护路径为具体子路径(如 /login),则触发时仅会阻止该 IP 或 Session 对该路径及其子路径的访问。 |
精准拦截 | 符合频率控制条件的请求将触发精准拦截动作,与普通拦截不同,精准拦截仅针对生效范围内命中条件的 IP 或 Session 请求进行拦截,而非对整个网站进行拦截。 |
人机识别 | 仅用于浏览器访问场景,符合匹配条件的会话请求将进行验证码挑战,若挑战失败,执行拦截动作。若挑战成功,惩罚时长内正常访问。验证码记录日志为观察。 |
精准人机识别 | 符合频率控制条件的请求将执行精准人机识别动作,将会针对该 IP 或 Session 对网站的访问请求发起人机识别验证挑战。若挑战失败,执行拦截动作。若挑战成功,惩罚时长内正常访问。验证码记录日志为观察。 |
JS 校验 | 符合匹配条件的请求将被执行 JavaScript 校验并记录日志。 |
灰度配置:默认值为100%。默认为100%,可设置为1%至100%之间的任意整数。配置灰度后,将应用此比例的流量占比生效。
惩罚时长:默认为10分钟,最短为1分钟,最长为一周。
生效方式:可选择永久生效、定时生效、周粒度生效、月粒度生效。
优先级:默认为50,可输入1 - 100的整数,数字越小,代表这条规则的执行优先级越高,相同优先级下,创建时间越晚,优先级越高。
生效范围:选择范围包括按防护对象组生效及按自定义接入域名/对象生效。
按防护对象组生效:勾选下方已配置防护对象组,支持一键全选。
按自定义域名或对象生效:支持根据域名、实例属性进行筛选,按住 Shift 键可多选(最多300个对象)。选定接入域名或对象后,可一键同步生成防护对象组。
管理 CC 防护规则
在 CC 防护页面,支持选择多种资源属性进行查询,操作列对应位置可编辑或删除规则,且支持批量删除规则。
注意:
删除后的规则无法恢复,重新添加才能生效。
