功能简介
访问控制策略支持从 HTTP 报文的请求路径、GET 参数、 POST 参数、 Referer 和 User-Agent 等多个特征进行组合,通过特征匹配来对公网用户的访问进行管控。面对来自互联网上的各种攻击行为,腾讯云用户可以利用访问控制策略灵活应对,组合出有针对性的规则来阻断各类攻击行为。
说明:
每个访问控制策略最多可以设置5个条件进行特征控制。
每个访问控制策略中的多个条件之间是“与”的关系,即所有条件全部匹配,策略才可生效。
每个访问控制策略匹配之后可以配置四种处理动作:拦截、人机识别、观察、重定向。
拦截:WAF 对命中该策略的访问进行拦截操作。
人机识别:WAF 对命中该策略的访问进行人机识别操作,图片验证码。
观察:WAF 对命中该策略的访问进行观察操作。
重定向:WAF 对命中该策略的访问进行重定向页面。
优先级:优先级数值越小则优先级越高,即1优先级最高,100优先级最低。
每个访问控制策略最多可以设置5个条件进行特征控制。
每个访问控制策略中的多个条件之间是“与”的关系,即所有条件全部匹配,策略才可生效。
每个访问控制策略匹配之后可以配置四种处理动作:拦截、人机识别、观察、重定向。
拦截:WAF 对命中该策略的访问进行拦截操作。
人机识别:WAF 对命中该策略的访问进行人机识别操作,图片验证码。
观察:WAF 对命中该策略的访问进行观察操作。
重定向:WAF 对命中该策略的访问进行重定向页面。
优先级:优先级数值越小则优先级越高,即1优先级最高,100优先级最低。
配置案例
示例一:禁止特定 IP 地址访问指定站点
当网站管理员需要禁止特定 IP 地址访问指定站点时,可以通过以下步骤进行配置:
1. 登录 Web 应用防火墙控制台,在左侧导航栏中,单击配置中心 > 基础安全,进入基础安全页面。
2. 在基础安全页面,左上角选择需要防护的域名,单击访问控制,进入访问控制页面。
![](https://qcloudimg.tencent-cloud.cn/image/document/a320a5cd145d8ba561ce459e4bf9121d.png)
3. 在访问控制页面,单击添加规则,进入添加自定义防护规则页面。
4. 在添加自定义防护规则页面,输入规则名称(如001),在匹配字段中选择一个字段(如来源 IP),逻辑符号选择匹配,匹配内容填入需要禁止访问的来源 IP(如192.168.1.1),选择执行动作(如阻断),填写完成后,单击确定,保存规则。
![](https://qcloudimg.tencent-cloud.cn/image/document/9f0ca68bf6020a6ee14ef43485484eca.png)
说明:
Web 应用防火墙的访问控制策略支持使用掩码来控制某一网段的源 IP 的访问请求。我们可以在匹配内容中输入特定网段(如10.10.10.10/24 )。
5. 此时规则将会生效,来自特定源 IP 的 HTTP 访问请求将会全部阻断。
![](https://qcloudimg.tencent-cloud.cn/image/document/cffc67a49227ed8c2d03055fd914c62d.png)
示例二:禁止公网用户访问特定的 Web 资源
当网站管理员不希望公网用户访问某些特定的 Web 资源时(如管理后台![](https://qcloudimg.tencent-cloud.cn/image/document/721735666a17eebc4618d936bed76a0d.png)
/admin.html
),可以进行以下配置:匹配字段选择“请求路径”,逻辑符号选择“等于”,匹配内容输入/admin.html
,执行动作选择“阻断”,配置完成后单击确定即可。
![](https://qcloudimg.tencent-cloud.cn/image/document/721735666a17eebc4618d936bed76a0d.png)
示例三:禁止某个外部站点盗链获取资源
当网站管理员需要阻断外部站点(如
www.test.com
)的盗链行为时,可以利用访问控制策略对盗链请求的 Referer 特征进行捕获和阻断,配置如下:匹配字段选择 “Referer” ,逻辑符号选择“包含”,匹配内容输入www.test.com
,执行动作选择“阻断”,配置完成后单击确定即可。![](https://qcloudimg.tencent-cloud.cn/image/document/26afc4b95e7b98190eb179ccc2f91d0a.png)
示例四:将策略复制到目标域名
当配置好某个策略时,若希望将此策略同时应用到其他域名,则可以通过复制策略来实现。
1. 登录 Web 应用防火墙控制台,在左侧导航栏中,单击配置中心 > 基础安全,进入基础安全页面。
2. 在基础安全页面,左上角选择需要防护的域名,单击访问控制,进入访问控制页面。
![](https://qcloudimg.tencent-cloud.cn/image/document/a320a5cd145d8ba561ce459e4bf9121d.png)
3. 在访问控制页面,选中所需策略并单击复制,弹出复制自定义策略弹窗。
![](https://qcloudimg.tencent-cloud.cn/image/document/acddda309ffb260c3f56c9fa2410b575.png)
4. 在复制自定义策略弹窗,选择需要的域名,单击确定,即可将策略复制到目标域名。
![](https://qcloudimg.tencent-cloud.cn/image/document/614e6cbb05e5cab18184681d1f6248c5.png)