功能介绍
支持根据用户实际配置的条件,检查HTTP协议头部,对HTTP请求信息中的方法以及参数长度等信息进行检测,对不符合的请求项进行拦截或告警。
检测范围
• 请求方法检测:只允许指定请求方法访问网站。
• 请求协议检测:只允许指定协议版本访问网站。
• 请求头部缺失检测:请求缺少指定头部禁止访问网站。
• 数据重复检测:针对头部重复、参数重复进行拦截,禁止访问网站。
• 请求数据长度限制:针对请求URL、头部参数进行长度限制,禁止访问网站。
前提条件
• 已经订购边缘安全加速平台-安全与加速服务,若未订购,请参见服务开通。
• 在控制台新增域名,请参见添加服务域名。
• 开通套餐为免费版及以上版本,支持合规检测相关功能。
操作步骤
登录边缘安全加速平台控制台。
在左侧导航栏中选择【安全能力】,进入【Web应用防火墙】菜单,并在左侧域名列表选择您要防护的域名。
进入防护能力-基础安全防护-【合规性检测】详细设置页。
注意
域名新增时,会有一条全站合规检测的默认策略,可以通过【防护开关】来开启或者关闭,您也可以自定义合规检测规则。
配置说明
防护方式
防护方式。为合规性检测功能的总开关,关闭则合规性检测的任何规则将不生效。
配置项说明
合规性检测将为您提供一条默认策略,针对全站进行防护,此策略不允许调整优先级。
配置项 | 说明 |
优先级 | 规则优先级 |
防护模式 | 设置该规则的防护模式,支持设置关闭、告警、拦截。若为告警,则不会防护攻击请求,仅记录其攻击日志 |
规则名称 | 设置规则名称 |
规则描述 | 设置规则描述 |
防护范围 | 设置需要防护的请求范围,可选择粒度有URI、PATH,支持输入字符串,比如PATH包含字符串/ |
允许HTTP请求方法 | • 设置允许的请求方法(PUT、DELETE、POST、GET、其它),支持多选
|
允许HTTP协议版本 | • 设置允许的HTTP协议版本(HTTP/1.1、HTTP/1.0、HTTP/0.9、其它),限制非指定HTTP版本访问源站,保证源站针对性服务,不受黑客攻击
|
HTTP请求头部缺失 | • 请求缺失对应头部则告警或拦截。针对HTTP请求的头部进行缺失防护,当请求到达服务器时,检测到缺失头部时,进行相应处理动作,处理动作支持配置关闭、告警、拦截
|
HPP防护 | • HPP 防护 即 HTTP Parameter Pollution,HTTP 参数污染。在 HTTP 协议中是运行同样名称的参数出现多次,攻击者通过传播参数的时候传输 key 相同而 value 不同的参数,从而达到绕过某些防护与参数校验的后果。它是一种注入型的漏洞,攻击者通过在 HTTP 请求中插入特定的参数来发起攻击 • 合规检测的HPP防护能够及时处理该攻击行为,下拉框为处理动作,支持配置关闭、告警、拦截
|
HTTP头部重复限制 | 请求对应头部存在重复则告警或拦截 |
Chunk攻击检测 | 针对请求体中嵌入HTTP请求攻击,窃取其它客户敏感信息的攻击行为进行告警或拦截 |
上传合规检测 | 针对上传表单校验是否满足上传协议规范,不符合则告警或拦截 |
%00检测 | • ASCII 0字符会对参数进行截断,造成源站不可预知错误,合规检测将针对此攻击行为进行告警或拦截
|
URL最大长度 | 限制请求URL最大长度,不符合的请求将告警或拦截。针对HTTP请求URL长度进行限制,避免大量不合规请求到达源站,占用资源,浪费系统性能 |
HTTP请求头部限制 | 针对HTTP请求头部内容进行限制。限制内容包含,请求头部,字段最大个数,请求头部参数值最大长度限制。不符合的请求将告警或拦截。 • 请求头部参数名最大长度: 限制请求头部参数名最大长度 • 请求头部参数值最大长度: 限制请求参数值最大长度 • 请求头部参数最大个数: 限制请求头部最大个数 |
例外 | 如果有特殊的业务无法通过合规检测策略,可以进行加白,则请求不会进行合规检测策略校验 |