边缘安全加速平台

设置访问控制

2024-05-06 12:11:10

功能介绍

通过访问控制功能，能够帮助您拦截来自指定IP、指定IP段与指定地域的IP地址请求。

前提条件

已经订购边缘安全加速平台-安全与加速服务。
在控制台新增域名。
开通免费版及以上版本，支持使用访问控制功能，不同版本限制规则数不同。

操作步骤

登录控制台。
在左侧导航栏中选择【安全能力】，进入【访问控制/限流】菜单，并在左侧域名列表选择您要防护的域名。
进入防护能力-高级安全防护-【访问控制】详细设置。

配置说明

配置项	说明
优先级	配置访问控制策略的优先级，数字越小，优先级越高。
开关	访问控制策略的开关，支持开启或关闭。
处理动作	支持配置处理动作为告警、加白、攻击标记、拦截、丢弃。告警：请求命中访问控制策略后，不对其拦截，仅记录攻击日志。加白：请求命中访问控制策略后，将对其进行加白，请求不经过任意Web安全防护策略。攻击标记：加白对应范围，但是如果请求触发规则，会记录在攻击日志。拦截：请求命中访问控制策略后，将对其进行拦截并记录攻击日志。丢弃：拦截后不会响应页面，会减少带宽。
规则名称	访问控制策略的规则名称。
规则描述	访问控制策略的规则描述。
防护范围	支持配置多个防护粒度，多个防护粒度为且关系，满足所有条件时，才触发处理动作。防护粒度：支持选择IP、IPS、地理位置、URI、PATH等十几种粒度。具体粒度介绍见下方【防护粒度说明】。关系：包含/不包含。匹配内容：不同的粒度支持输入不同的匹配内容。一般支持输入多条，多条内容用英文符号;分隔。
防护周期	若您希望访问控制策略只在某个周期生效，可以配置防护周期，并支持且条件。防护周期支持配置每日、每周、每月。配置示例： 1. 每周一至周二：周期包含1-2。 2. 每周日至周一的7点至9点：周期包含每周 7-1 且周期包含每天07:00-09:00。 3. 每月19号的23点到次日1点：周期包含每月 19-19 且周期包含每天23:00-01:00。 4. 每周二或每周四的7点至9点：周期包含每周 2-2;4-4 且周期包含每天07:00-09:00。

防护粒度说明

粒度	说明	示例
IP_PORT	即客户端IP端口。支持填写多个IP:端口格式，多个用;隔开	192.168.1.0:443;192.168.2.0:8080
PATH	即目录路径。支持填写多个，多个PATH用;隔开。	/qr/;/app/verifyCode/
IP	即客户端IP。支持填写多个IP，多个IP间以;隔开。	170.101.1.1;192.178.1.1
IPS	即客户端IP段。支持填写多个IP段，多个IP段间以;隔开。	192.168.1.0/24;192.168.2.0/24
IPR	即客户端IP范围。支持填写多个IP范围，多个IP范围间以;隔开。	192.168.1.1-192.168.1.10;192.168.1.12-192.168.1.20
URI	URI不包括问号后参数。支持填写多个URI，多个URI间以;隔开，支持正则和字符串匹配。当选择字符串时，支持下拉框选择对应域名的API资产。	/login.php
REQUEST_URI	URI包括问号后参数。不支持填写多个REQUEST_URI。支持正则和字符串匹配。	/login.php?id=1
METHDO	即请求方式。支持填写多个请求方法，多个请求方法间以;隔开。	GET;POST
ARGS	即URI问号后的参数名。支持正则和字符串匹配。	proid
GEO	地理位置，即客户端IP区域。支持选择多个区域。	欧洲/德国
HEADER	即请求头部。支持正则和字符串匹配。
PROTOCOL	即请求协议。支持填写多个协议，多个协议用;隔开。支持正则和字符串匹配。	HTTP/1.0;HTTP/2.0;HTTP/0.9
SRC_PORT	即客户端源端口。支持填写多个端口，多个端口以;隔开。	54375;8080
DEST_IP	即请求的目的IP。支持填写IPv4/IPv6，多个IP以;隔开。	170.101.1.1;192.178.1.1
DEST_PORT	即请求的目的端口。支持填写多个端口，多个端口以;隔开。	54375;8080
响应头	响应头，支持正则和字符串匹配。不适用于”加白“”拦截“”丢弃“动作。当防护动作选择”攻击标记“时，对响应报文进行攻击检测。
状态码	响应报文状态码。支持选择2xx~5xx所有状态码，支持选择多个。不适用于”加白“”拦截“”丢弃“动作。当防护动作选择”攻击标记“时，对响应报文进行攻击检测。	200;404;500
REQUEST_BODY	即请求体内容。支持填写多个，多个以英文分隔符;隔开。