自定義防護策略允許您自定義基于精確匹配條件的訪問控制規則和訪問頻率限制規則。自定義防護策略支持隨業務場景定制,可用于盜鏈防護、網站管理后臺保護等場景。
前提條件
背景信息
自定義防護策略通過自定義規則實現,自定義規則分為以下類型:
訪問控制規則:根據客戶端IP、請求URL及常見的請求頭字段定義請求特征匹配條件,對命中匹配條件的請求執行相應處置。例如,您可以使用自定義規則攔截訪問指定URI的請求、對包含指定User-Agent內容的請求進行校驗等。關于自定義規則支持匹配的請求特征字段,請參見匹配條件說明。
頻率控制規則:在訪問控制匹配條件的基礎上,定義訪問頻率檢測條件,對訪問頻率異常的統計對象執行相應處置。例如,如果同一個IP或會話在短時間內頻繁命中匹配條件,您可以通過啟用頻率控制,在一段時間內攔截該IP或會話的請求。
新建防護策略-自定義策略
登錄DCDN控制臺。
在左側導航欄,單擊。
在防護策略頁面,單擊新建策略。
在創建防護策略頁面,配置防護信息。
配置模塊
配置項
說明
策略信息
策略類型
選擇自定義防護策略。
策略名稱
您自定義的策略名稱,支持輸入中文字符、英文字符(大小寫)、數字(0~9)及下劃線(_),最大輸入64個字符。
設置為默認策略
當前策略類型的默認策略開關。
說明一個策略類型只能設置一個默認策略,默認策略創建后無法更換。
若當前策略類型已有默認策略,則該開關不可配置。
規則信息
規則
當前自定義防護策略規則信息。具體配置方法,請參考自定義規則參數說明。
說明最多支持添加10條規則,如果需要增加規則數量配額,需要填寫信息申請。
防護域名
選擇關聯策略關系
防護域名可以關聯多個同類型策略。若域名上已有其他同類型策略,該域名的關聯策略可選擇新增或替換為當前策略。已關聯默認策略的域名僅支持替換。取值:
添加并替換原關聯策略:解綁已關聯的策略并替換至當前策略。
添加并保留原關聯策略:當前策略與已綁定的策略同時存在,互不影響。
防護域名
選擇需要接入當前防護策略中的域名。
單擊創建策略。
新建的防護策略默認開啟。
自定義規則參數說明
您可以在新建自定義防護策略時新建自定義規則,或者在新建自定義防護策略后,為已有防護策略新建規則。
配置項 | 說明 |
規則名稱 | 您自定義的規則名稱,支持使用中文字符、英文字符(大小寫)、數字(0~9)及下劃線(_),最大輸入64個字符。 |
匹配條件 | 設置該規則要匹配的請求特征。 單擊新增條件,添加一個條件。一個規則中最多可以添加五個條件。如果定義了多個條件,則只有當多個條件同時滿足時,才算命中規則。 每個條件由匹配字段、邏輯符和匹配內容組成。配置示例請參考匹配條件配置示例。 關于匹配字段和邏輯符的詳細說明,請參見匹配條件說明。 |
頻率設置 | 選擇是否啟用頻率控制。頻率控制表示如果來自同一統計對象(IP、會話等)的請求頻繁地命中規則,則在一段時間內,對該統計對象的所有訪問執行相應處置。 啟用頻率控制后,您需要設置頻率控制參數。具體參數描述,請參見頻率控制參數。如果不啟用頻率控制,則無需設置頻率控制參數。 |
規則動作 | 選擇當請求命中該規則時,要執行的防護動作,取值:
|
如果打開頻率設置開關,您需要配置以下頻率控制參數。
類型 | 配置項 | 說明 | 示例 |
頻率檢測條件 | 統計對象 | 選擇請求頻率的統計對象,取值:
| 統計對象為IP、統計時長為60秒、閾值為10次,表示如果某個客戶端IP在60秒內命中匹配條件的次數超過10次,則對該IP觸發黑名單處置。 說明 由于DCDN由分布式節點組成,因此該閾值并非100%準確。建議您實際配置時,配置比期望值稍低的閾值。 |
統計時長(秒) | 設置統計周期。
| ||
閾值 |
| ||
響應碼檢測條件 | 響應碼 | 選擇是否在頻率檢測的基礎上,啟用響應碼檢測(表示對象既要滿足頻率檢測條件,還要滿足特定的響應碼特征,才會觸發黑名單處置)。 啟用響應碼檢測時,需設置要統計的響應碼。 | (在以上頻率檢測條件示例基礎上)響應碼為404、數量為5,表示如果某個客戶端IP在60秒內命中匹配條件的次數超過10次,并且獲得404響應的次數超過5次,則對該IP觸發黑名單處置。 |
按數量 | 設置在統計時長內,允許指定的響應碼在請求響應中出現的最大次數。 說明 數量與比例(%)二選一。 | ||
比例(%) | 設置在統計時長內,允許指定的響應碼在請求響應中的最大占比。 說明 數量與比例(%)二選一。 | ||
黑名單處置 | 黑名單生效范圍 | 設置黑名單處置的生效范圍,取值:
| 表示將命中頻率檢測條件的統計對象加入黑名單,在一段時間(黑名單超時時間)內,對來自該對象的請求(可通過黑名單生效范圍設置作用于所有請求、命中匹配條件的請求)執行規則動作中定義的處置。 |
黑名單超時(秒) | 設置黑名單處置的生效時長。
|