精准访问控制功能使用说明

一、精准访问控制介绍

精准访问控制可对HTTP请求头中的多个字段进行精细访问控制,通过定制化的策略让防御效果更加符合业务场景。

二、功能配置

配置入口:https://defense.yunaq.com/cyd_manage/manage/,或通过【创宇盾】 – 【功能管理】- 【防御设置】 -【精准访问控制】进入。

云防御平台默认存在的3条示例规则,可参考或调整使用。

在“精准访问控制设置”页面中,点击“添加策略”可以自定义访问控制,如下图所示。

三、功能项说明

    1. 策略名称:可按需任意填写。
    2. 类型:分为基础字段和自定义字段。基础字段为内置的常见HTTP字段,如Cookie、UserAgent等。自定义字段则为客户自定义或不常见的HTTP字段,用户可自行输入字段名称。
    3. 匹配字段:用于指定需要检测的HTTP字段名称。
    4. 逻辑符:用于指定对HTTP字段进行的检测操作,如包含、不包含、长度大于等。
    5. 匹配内容:用于指定逻辑符的判断值。
    6. 匹配动作:
      “阻断”表示只要符合条件的请求均进行拦截。
      “记录”表示对符合条件的请求进行记录(不拦截)。
      “放行”表示对符合条件的请求进行放行。
      “JS挑战”表示对符合条件的请求进行客户端JS执行能力校验,校验成功则放行,不成功则禁止访问。
      “验证码”表示对符合条件的请求进行验证码校验,要求用户输入正确验证码才能继续访问。
      其中,当HTTP字段为“Client-IP”时,若用户填写的匹配字段为IPv6,则不支持“JS挑战”和“验证码”。
      匹配动作优先级:阻断>允许>JS >验证码>记录。
    7. 优先级:用于对同匹配动作的多条记录进行排序,优先级通过使用1到100的整数进行表示,数字越小优先级越高。

四、内置HTTP字段说明

匹配字段 字段描述 适用逻辑符
Content-Length 用来指明发送给接收方的消息主体的大小。
  • 值小于
  • 值等于
  • 值大于
  • 不存在
Content-Type 用于指示资源的MIME类型。
  •  包含
  • 不包含
  • 等于
  • 不等于
  • 长度小于
  • 长度等于
  • 长度大于
  • 不存在
Cookie 访问请求中的Cookie信息。
  •  包含
  • 不包含
  • 等于
  • 不等于
  • 长度小于
  • 长度等于
  • 长度大于
  • 不存在
Http-Method 访问请求的方法,如GET、POST等。
  • 等于
  • 不等于
Post-Body POST方法中的消息体。
  •  包含
  • 不包含
  • 等于
  • 不等于
  • 长度小于
  • 长度等于
  • 长度大于
  • 不存在
Referer 访问请求的来源网址,即该访问请求是从哪个页面跳转产生的。
  •  包含
  • 不包含
  • 等于
  • 不等于
  • 长度小于
  • 长度等于
  • 长度大于
  • 不存在
URI 访问请求中的统一资源标志符,例如:/action/member/id.php?id=1&td=2。
  •  包含
  • 不包含
  • 等于
  • 不等于
  • 长度小于
  • 长度等于
  • 长度大于
URI Query String URI中的查询字符串,例如:id=1&td=2。
  •  包含
  • 不包含
  • 等于
  • 不等于
  • 长度小于
  • 长度等于
  • 长度大于
  • 不存在
User-Agent 发起访问请求的客户端的浏览器标识、渲染引擎标识和版本信息等浏览器相关信息。
  •  包含
  • 不包含
  • 等于
  • 不等于
  • 长度小于
  • 长度等于
  • 长度大于
  • 不存在
X-Forwarded-For 访问请求的客户端真实IP。X-Forwarded-For(XFF)用来识别通过HTTP代理或负载均衡式转发的访问请求的客户端最原始的IP地址的HTTP请求头字段,只有通过HTTP代理或者负载均衡服务器转发的访问请求才会包含该项。
  •  包含
  • 不包含
  • 等于
  • 不等于
  • 长度小于
  • 长度等于
  • 长度大于
  • 不存在
Client-IP 发起访问请求的客户端IP地址。
  • 等于
  • 不等于
  • 属于
  • 不属于

五、注意事项

    1. 每条策略最多支持3个条件组合,条件之间是“且”(and)的关系;不同记录之间是“或”(or)的关系。
    2. 不同的套餐支持添加的记录条数存在差异,若出现条数不满足需求情况可与商务经理联系。
    3. 匹配条件中“不存在”与“不包含”是并列关系,选择“不包含”将不会匹配“不存在”的情况(如策略配置为Referer不包含“test.com”则阻断,若请求时Referer不存在,则该条策略不会进行拦截)。
    4. 如果客户端在其它功能已经验证通过(JS、验证码),在有效期内本功能直接放行,不再进行二次验证。
    5. 基础-Client-IP匹配时,对发起访问请求的客户端IP地址支持单IP、C段IP、IP段,其中单IP适用于等于、不等于逻辑符;IP段适用于属于、不属于逻辑符,输入时需要进行判断。

精准访问控制最佳实践可参考:http://help.yunaq.com/faq/2393/index.html

精准访问控制拦截说明可参考:http://help.yunaq.com/faq/3430/index.html