应用场景
通过对常见的HTTP字段(如IP、URL、Referer、UA、参数等)设置匹配条件来筛选访问请求,并对命中条件的请求配置观察、阻断、滑块或放行等处置动作。
背景信息
网站业务接入高防IP后,如果您需要针对性地管理具有固定特征的访问请求,则您可以为域名开启精确访问控制并设置精确访问控制规则。精确访问控制规则由匹配条件与匹配动作构成。
匹配条件定义了要是别的请求特征,具体指访问请求中HTTP字段的属性特征。精确访问控制规则支持匹配的HTTP字段如下表所示。
说明:
不同字段适用的匹配逻辑不同,例如请求源IP字段“属于、不属于”具体的值,请求URI“包括、不包括”具体的内容等,详见下表中“适用的逻辑符”一列。
| 匹配字段 | 字段描述 | 适用逻辑符 |
|---|---|---|
| IP | 访问请求的来源IP。 | 属于、不属于 |
| URI | 访问请求的URI地址。 | 包括、不包括、等于、不等于、长度小于、长度等于、长度大于 |
| User-Agent | 发起访问请求的客户端浏览器标识、渲染引擎标识和版本信息等浏览器相关信息。 | 包括、不包括、等于、不等于、长度小于、长度等于、长度大于 |
| Cookie | 访问请求中携带的Cookie信息。 | 包括、不包括、等于、不等于、长度小于、长度等于、长度大于、不存在 |
| Referer | 访问请求的来源网址,即该访问请求是从哪个页面跳转产生的。 | 包括、不包括、等于、不等于、长度小于、长度等于、长度大于、不存在 |
| Content-Type | 访问请求指定的响应HTTP内容类型,即MIME类型信息。 | 包括、不包括、等于、不等于、长度小于、长度等于、长度大于 |
| X-Forwarded-For | 访问请求的客户端真实IP。 | 包括、不包括、等于、不等于、长度小于、长度等于、长度大于、不存在 |
| Content-length | 访问请求所包含的字节数。 | 值小于、值等于、值大于 |
| Post-Body | 访问请求的内容信息。 | 包含、不包含、等于、不等于 |
| Http-Method | 访问请求的方法,具体包括GET、POST、DELETE、PUT、OPTIONS、CONNECT、HEAD、TRACE。 | 等于、不等于 |
| Header | 访问请求的头部信息,用于自定义HTTP头部字段及匹配内容。 | 包括、不包括、等于、不等于、长度小于、长度等于、长度大于、不存在 |
| Params | 访问请求的URL地址中的参数部分,通常指URL中”?”后面的部分。例如example.com/index.html?action=login中的action=login就是参数部分。 | 包括、不包括、等于、不等于、长度小于、长度等于、长度大于 |
匹配动作定义了访问请求命中匹配条件时,对访问请求执行的动作,具体包括拒绝、放行、封禁、挑战(通过挑战算法对请求的源IP地址发起校验)、URL连接控制。
操作步骤
- 登录高防IP控制台,点击网站防护。
- 在列表中找到对应网站域名,点击操作列的设置。
- 定位到精准访问控制配置区域,打开访问控制开关。
- 点击自定义规则。
- 新增规则
- 单击添加规则。
- 在添加精准访问控制规则对话框,完成规则配置,并单击确定。
参数 描述 规则名称 规则的名称,由英文字母、数字和下划线(_)组成,不超过128个字符。 匹配条件 规则的匹配条件。单击新增条件添加一个条件,每个条件由匹配字段、逻辑符和匹配内容组成。- 关于匹配字段和逻辑符的取值范围,请参见上方表格。匹配内容根据匹配字段填写,大小写敏感。暂时不支持通过正则表达式描述,但允许设置为空值。
- 拒绝:返回403码给命中匹配条件的访问请求,不允许访问。封禁:阻断命中匹配条件的访问请求。放行:放行命中匹配条件的访问请求。挑战:通过挑战算法对命中匹配条件的访问请求的源IP地址发起校验。URL连接控制:配合非网站防护URL连接控制功能使用,命中匹配条件的访问请求须先访问指定URI才可继续请求。
- 新增规则
说明:
- 如果您设置了多条规则,则规则的优先级遵循其在规则列表中的排列顺序,排序越靠前,优先级越高。访问请求根据规则顺序依次进行匹配,顺序较前的精准访问控制规则优先匹配。
- 如果一个请求同时命中多个匹配条件,则匹配动作取所有命中的规则中,排序最靠前的访问控制规则中的匹配动作。
编辑规则
- 在规则列表中,定位到要操作的规则,单击其操作列下的编辑。
- 在编辑精准访问控制规则对话框中,修改规则配置,并单击确定。规则配置的描述见新增规则,其中,规则名称不可修改。
删除规则
- 在规则列表中,定位到要删除的规则,单击其操作列下的删除。
- 在删除提示对话框中,单击确定。
