设置精准访问控制
应用场景
通过对常见的HTTP字段(如IP、URL、Referer、UA、参数等)设置匹配条件来筛选访问请求,并对命中条件的请求配置观察、阻断、滑块或放行等处置动作。
背景信息
网站业务接入高防IP后,如果您需要针对性地管理具有固定特征的访问请求,则您可以为域名开启精确访问控制并设置精确访问控制规则。精确访问控制规则由匹配条件与匹配动作构成。
匹配条件定义了要是别的请求特征,具体指访问请求中HTTP字段的属性特征。精确访问控制规则支持匹配的HTTP字段如下表所示。
说明:
不同字段适用的匹配逻辑不同,例如请求源IP字段“属于、不属于”具体的值,请求URI“包括、不包括”具体的内容等,详见下表中“适用的逻辑符”一列。匹配字段 字段描述 适用逻辑符 IP 访问请求的来源IP。 属于、不属于 URI 访问请求的URI地址。 包括、不包括、等于、不等于、长度小于、长度等于、长度大于 User-Agent 发起访问请求的客户端浏览器标识、渲染引擎标识和版本信息等浏览器相关信息。 包括、不包括、等于、不等于、长度小于、长度等于、长度大于 Cookie 访问请求中携带的Cookie信息。 包括、不包括、等于、不等于、长度小于、长度等于、长度大于、不存在 Referer 访问请求的来源网址,即该访问请求是从哪个页面跳转产生的。 包括、不包括、等于、不等于、长度小于、长度等于、长度大于、不存在 Content-Type 访问请求指定的响应HTTP内容类型,即MIME类型信息。 包括、不包括、等于、不等于、长度小于、长度等于、长度大于 X-Forwarded-For 访问请求的客户端真实IP。 包括、不包括、等于、不等于、长度小于、长度等于、长度大于、不存在 Content-length 访问请求所包含的字节数。 值小于、值等于、值大于 Post-Body 访问请求的内容信息。 包含、不包含、等于、不等于 Http-Method 访问请求的方法,具体包括GET、POST、DELETE、PUT、OPTIONS、CONNECT、HEAD、TRACE。 等于、不等于 Header 访问请求的头部信息,用于自定义HTTP头部字段及匹配内容。 包括、不包括、等于、不等于、长度小于、长度等于、长度大于、不存在 Params 访问请求的URL地址中的参数部分,通常指URL中”?”后面的部分。例如 example.com/index.html?action=login中的action=login就是参数部分。包括、不包括、等于、不等于、长度小于、长度等于、长度大于 匹配动作定义了访问请求命中匹配条件时,对访问请求执行的动作,具体包括拒绝、放行、封禁、挑战(通过挑战算法对请求的源IP地址发起校验)、URL连接控制。
操作步骤
在列表中找到对应网站域名,点击操作列的设置。
定位到精准访问控制配置区域,打开访问控制开关。
点击自定义规则。
新增规则
- 单击添加规则。
- 在添加精准访问控制规则对话框,完成规则配置,并单击确定。
参数 描述 规则名称 规则的名称,由英文字母、数字和下划线(_)组成,不超过128个字符。 匹配条件 规则的匹配条件。单击新增条件添加一个条件,每个条件由匹配字段、逻辑符和匹配内容组成。 - 关于匹配字段和逻辑符的取值范围,请参见上方表格。
- 匹配内容根据匹配字段填写,大小写敏感。暂时不支持通过正则表达式描述,但允许设置为空值。
匹配动作 当访问请求命中匹配条件时,对请求执行的操作。取值: - 拒绝:返回403码给命中匹配条件的访问请求,不允许访问。
- 封禁:阻断命中匹配条件的访问请求。
- 放行:放行命中匹配条件的访问请求。
- 挑战:通过挑战算法对命中匹配条件的访问请求的源IP地址发起校验。
- URL连接控制:配合非网站防护URL连接控制功能使用,命中匹配条件的访问请求须先访问指定URI才可继续请求。
有效期 规则的有效期,取值:5分钟、10分钟、30分钟、60分钟、90分钟、120分钟、永久。 说明:
- 如果您设置了多条规则,则规则的优先级遵循其在规则列表中的排列顺序,排序越靠前,优先级越高。访问请求根据规则顺序依次进行匹配,顺序较前的精准访问控制规则优先匹配。
- 如果一个请求同时命中多个匹配条件,则匹配动作取所有命中的规则中,排序最靠前的访问控制规则中的匹配动作。
编辑规则
- 在规则列表中,定位到要操作的规则,单击其操作列下的编辑。
- 在编辑精准访问控制规则对话框中,修改规则配置,并单击确定。规则配置的描述见新增规则,其中,规则名称不可修改。
删除规则
- 在规则列表中,定位到要删除的规则,单击其操作列下的删除。
- 在删除提示对话框中,单击确定。
