精準訪問防護規則允許您設置訪問防護規則，對常見的HTTP字段（如IP、路徑、Referer、User Agent、Params等）進行條件組合，用來篩選訪問請求，并對命中條件的請求設置僅記錄、放行或阻斷操作。

精準訪問防護規則可以添加引用表，引用表防護規則對所有防護域名都生效，即所有防護域名都可以使用精準防護規則的引用表。

前提條件

已添加防護網站。

約束條件

• 添加或修改防護規則后，規則生效需要等待幾分鐘。規則生效后，您可以在“防護事件”頁面查看防護效果。
• 當精準訪問防護規則的“防護動作”設置為“阻斷”時，您可以配置攻擊懲罰標準封禁訪問者指定時長。配置攻擊懲罰后，如果訪問者的IP、Cookie或Params惡意請求被攔截時，WAF將根據攻擊懲罰設置的攔截時長來封禁訪問者。
• 配置的“路徑”的“內容”不能包含特殊字符（<>*）。

應用場景

精準訪問防護支持業務場景定制化的防護策略，可用于盜鏈防護、網站管理后臺保護等場景。

操作步驟

步驟1 登錄管理控制臺。

步驟2 單擊管理控制臺右上角的，選擇區域或項目。

步驟3 單擊頁面左上方的，選擇“安全 > Web應用防火墻（獨享版）”。

步驟4 在左側導航樹中，選擇“防護策略”，進入“防護策略”頁面。

步驟5 單擊目標策略名稱，進入目標策略的防護配置頁面。

步驟6 在“精準訪問防護”配置框中，用戶可根據自己的需要更改“狀態”，單擊“自定義精準訪問防護規則”，進入精準訪問防護規則配置頁面。

步驟7 在“精準訪問防護配置”頁面，設置“檢測模式”。

精準訪問防護規則提供了兩種檢測模式：

• 短路檢測：當用戶的請求符合精準防護中的攔截條件時，便立刻終止檢測，進行攔截。
• 全檢測：當用戶的請求符合精準防護中的攔截條件時，不會立即攔截，它會繼續執行其他防護的檢測，待其他防護的檢測完成后進行攔截。

步驟8 在“精準訪問防護配置”頁面左上角，單擊“添加規則”。

步驟9 在彈出的對話框中，添加精準訪問防護規則。

以下圖配置為例，其含義為：當用戶訪問目標域名下包含“/admin”的URL地址時，WAF將阻斷該用戶訪問目標URL地址。

                    
說明
                    
如果不確定配置的精準訪問防護規則是否會使WAF誤攔截正常的訪問請求，您可以先將精準訪問防護規則的“防護動作”設置為“僅記錄”，在“防護事件”頁面查看防護事件，確認WAF不會誤攔截正常的訪問請求后，再將該精準訪問防護規則的“防護動作”設置為“阻斷”。
                    
                  
                  

規則參數說明：

參數
參數說明
取值樣例
規則描述
可選參數，設置該規則的備注信息。
-
條件列表
單擊“添加”增加新的條件，一個防護規則至少包含一項條件，最多可添加30項條件，多個條件同時滿足時，本條規則才生效。
條件設置參數說明如下：
字段
子字段：當字段選擇“Params”、“Cookie”或者“Header”時，請根據實際使用需求配置子字段。子字段的長度不能超過2048字節，且只能由數字、字母、下劃線和中劃線組成。
內容：輸入或者選擇條件匹配的內容。
邏輯：在“邏輯”下拉列表中選擇需要的邏輯關系。
說明
選擇“包含任意一個”、“不包含所有”、“等于任意一個”、“不等于所有”、“前綴為任意一個”、“前綴不為所有”、“后綴為任意一個”或者“后綴不為所有”時，“內容”需要選擇引用表名稱，創建引用表的詳細操作請參見。
“不包含所有”、“不等于所有”、“前綴不為所有”、“后綴不為所有”是指當訪問請求中字段不包含、不等于、前/后綴不為引用表中設置的任何一個值時，WAF將進行防護動作（阻斷、放行或僅記錄）。例如，設置“路徑”字段的邏輯為“不包含所有”，選擇了“test”引用表，如果“test”引用表中設置的值為test1、test2和test3，則當訪問請求的路徑不包含test1、test2或test3時，WAF將進行防護動作。
“路徑”包含“/admin/”
“User Agent”前綴不為“mozilla/5.0”
“IP”等于“192.168.2.3”
“Cookie[key1]”前綴不為“jsessionid”
防護動作
可選擇“阻斷”、“放行”或者“僅記錄”。默認為“阻斷”。
“阻斷”
攻擊懲罰
當“防護動作”設置為“阻斷”時，您可以設置攻擊懲罰標準。設置攻擊懲罰后，當訪問者的IP、Cookie或Params惡意請求被攔截時，WAF將根據懲罰標準設置的攔截時長來封禁訪問者。
長時間IP攔截
優先級
設置該條件規則檢測的順序值。如果您設置了多條規則，則多條規則間有先后匹配順序，即訪問請求將根據您設定的精準訪問控制規則優先級依次進行匹配，優先級較小的精準訪問控制規則優先匹配。
您可以通過優先級功能對所有精準訪問控制規則進行排序，以獲得最優的防護效果。
5
生效時間
用戶可以選擇“立即生效”或者自定義設置生效時間段。
自定義設置的時間只能為將來的某一時間段。
“立即生效”

步驟10 單擊“確認”，添加的精準訪問防護規則展示在精準訪問防護規則列表中。

• 規則添加成功后，默認的“規則狀態”為“已開啟”，若您暫時不想使該規則生效，可在目標規則所在行的“操作”列，單擊“關閉”。
• 若需要修改添加的精準訪問防護規則時，可單擊待修改的精準訪問防護規則所在行的“修改”，修改精準訪問防護規則。
• 若需要刪除添加的精準訪問防護規則時，可單擊待刪除的精準訪問防護規則所在行的“刪除”，刪除精準訪問防護規則。

防護效果

假如已添加域名“www.example.com”，且配置了精準訪問防護規則。可參照以下步驟驗證防護效果：

步驟1 清理瀏覽器緩存，在瀏覽器中輸入防護域名，測試網站域名是否能正常訪問。

• 不能正常訪問，參照章節步驟一：添加防護網站重新完成域名接入。
• 能正常訪問，執行步驟2。

步驟2 清理瀏覽器緩存，在瀏覽器中訪問“//www.example.com/admin”頁面或者包含/admin的任意頁面，正常情況下，WAF會阻斷滿足條件的訪問請求，返回攔截頁面。

步驟3 返回Web應用防火墻控制界面，在左側導航樹中，單擊“防護事件”，進入“防護事件”頁面，查看防護域名攔截日志，您也可以下載防護事件數據。

配置示例-攔截特定的攻擊請求

通過分析某類特定的WordPress反彈攻擊，發現其特征是User-Agent字段都包含WordPress，如下圖所示。

因此，可以設置精準訪問控制規則，攔截該類WordPress反彈攻擊請求。User Agent配置方法如下圖。

配置示例-攔截特定的URL請求

如果您遇到有大量IP在訪問某個特定且不存在的URL，您可以通過配置以下精準訪問防護規則直接阻斷所有該類請求，降低源站服務器的資源消耗，如下圖所示。

配置示例-攔截字段為空值的請求

如果您需要攔截某個為空值的字段，您可以通過配置精準訪問防護規則直接阻斷該類請求，如下圖所示。

配置示例-攔截指定文件類型（zip、tar、docx等）

通過配置路徑字段匹配的文件類型，您可以阻斷特定的文件類型。例如，您需要攔截“.zip”格式文件，您可以配置精準防護規則阻斷“.zip”文件類型訪問請求，如下圖所示。

配置示例-防盜鏈

通過配置Referer匹配字段的訪問控制規則，您可以阻斷特定網站的盜鏈。例如，您發現“//abc.blog.com”大量盜用本站的圖片，您可以配置精準訪問防護規則阻斷相關訪問請求。

配置示例-單獨放行指定IP的訪問

配置兩條精準訪問防護規則，一條攔截所有的請求，一條單獨放行指定IP的訪問，如下圖所示。

阻斷所有的請求：

放行指定IP：

配置示例-放行指定IP的特定URL請求

通過配置多條“條件列表”，當訪問請求同時滿足條件列表時，可以實現放行指定IP的特定URL請求，如下圖所示。