基础概念
更新时间:2025-01-16 10:05:07
本页介绍基本的配置概念,以帮助您配置安全策略和保护规则。
规则操作
响应触发规则,您可以指定在触发规则或安全策略时要执行的响应。您可以从预定义操作中进行选择,也可以为拒绝的操作提供自定义响应。支持的操作包括:
| 规则操作 | 描述 | DDoS 保护 | 网络保护 | 机器人管理 | API 安全 | 威胁情报 | 频率限制 | 自定义规则 |
|---|---|---|---|---|---|---|---|---|
| 拒绝 | 通过默认 403 响应拒绝请求。 | 是 | 是 | 是 | 是 | 是 | 是 | 是 |
| 日志 | 仅记录请求并继续进一步检测。 | 是 | 是 | 是 | 是 | 是 | 是 | 是 |
| 未使用 | 该规则不生效 | 是 | 是 | 是 | 是 | 是 | 是 | |
| 跳过 | 不执行本次检测以及后续检测。 | 是 | ||||||
| 延迟 | 延迟 3 秒响应客户端。 | 是 | 是 | 是 | ||||
| 拒绝连接 | 重置与客户端建立的 TCP 连接,并且不接收来自同一客户端 IP 的新连接。 | 是 | ||||||
| 重置连接 | 向客户端发送 RST 以关闭已建立的 TCP 连接,而不响应 HTTP 请求。 | 是 | 是 | 是 | ||||
| Cookie 挑战 | 响应带有 Set-Cookie 标头的 302 重定向响应,以验证客户端是否支持 cookie。仅适用于从浏览器访问的 Web/H5 应用程序。 | 是 | ||||||
| JavaScript 挑战 | 响应一段JavaScript代码,用于验证客户端是否支持JavaScript。仅适用于Web/H5应用的HTML请求。 | 是 | ||||||
| DDoS 管理挑战 | 根据请求内容类型响应自适应 Cookie 或 JavaScript 挑战操作,仅适用于部分 DDoS 托管规则。 | 是 | ||||||
| 机器人管理挑战 | 非可选操作,仅当 Web Bot 检测被拦截时,才对 GET 请求响应自适应 Cookie 或 JavaScript 身份验证。 | 是 |
匹配条件
通过定义匹配条件,实现指定安全策略需要检测的请求特征。自定义规则、频率限制、白名单等安全策略使用相同的配置结构。本页列出了当前所有可用的匹配条件字段。
| 字段 | 描述 | 支持的运算符 | 区分大小写匹配 | 支持多个匹配值 |
|---|---|---|---|---|
| IP/CIDR | 匹配或排除特定客户端 IP 地址,支持 IPv4 和 IPv6。 | 等于 | - | 是 |
| 不等于 | - | 是 | ||
| 路径 | 根据请求中包含的具体路径匹配规则,路径以“/”开头,不包含域名和参数信息,例如:,路径为/common/ecs/channel。 | 等于 | 是 | 是 |
| 不等于 | 是 | 是 | ||
| 包含 | 否 | 是 | ||
| 不包含 | 否 | 是 | ||
| 开头为 | 否 | 是 | ||
| 以...结尾 | 否 | 是 | ||
| 通配符匹配 | 否 | 是 | ||
| 通配符不匹配 | 否 | 是 | ||
| 正则表达式匹配 | 否 | 否 | ||
| 正则表达式不匹配 | 否 | 否 | ||
| URI | 根据请求中包含的具体URI匹配规则,URI以“/”开头,包含参数信息,例如:/common/ecs/channel?code=1&type=2。 | 等于 | 是 | 是 |
| 不等于 | 是 | 是 | ||
| 包含 | 否 | 是 | ||
| 不包含 | 否 | 是 | ||
| 开头为 | 否 | 是 | ||
| 以...结尾 | 否 | 是 | ||
| 通配符匹配 | 否 | 是 | ||
| 通配符不匹配 | 否 | 是 | ||
| 正则表达式匹配 | 否 | 否 | ||
| 正则表达式不匹配 | 否 | 否 | ||
| 用户代理 | 根据 User-Agent 的值匹配规则。 | 等于 | 是 | 是 |
| 不等于 | 是 | 是 | ||
| 包含 | 否 | 是 | ||
| 不包含 | 否 | 是 | ||
| 不存在或没有值 | - | - | ||
| 开头为 | 否 | 是 | ||
| 以...结尾 | 否 | 是 | ||
| 通配符匹配 | 否 | 是 | ||
| 通配符不匹配 | 否 | 是 | ||
| 正则表达式匹配 | 否 | 否 | ||
| 正则表达式不匹配 | 否 | 否 | ||
| 引用者 | 根据 Referer 的值匹配规则。 | 等于 | 是 | 是 |
| 不等于 | 是 | 是 | ||
| 包含 | 否 | 是 | ||
| 不包含 | 否 | 是 | ||
| 不存在或没有值 | - | - | ||
| 开头为 | 否 | 是 | ||
| 以...结尾 | 否 | 是 | ||
| 通配符匹配 | 否 | 是 | ||
| 通配符不匹配 | 否 | 是 | ||
| 正则表达式匹配 | 否 | 否 | ||
| 正则表达式不匹配 | 否 | 否 | ||
| 请求标头 | 根据特定请求标头的值匹配规则(请求标头名称的大小写不敏感)。 | 等于 | 是 | 是 |
| 不等于 | 是 | 是 | ||
| 包含 | 否 | 是 | ||
| 不包含 | 否 | 是 | ||
| 不存在或没有值 | - | - | ||
| 开头为 | 否 | 是 | ||
| 以...结尾 | 否 | 是 | ||
| 通配符匹配 | 否 | 是 | ||
| 通配符不匹配 | 否 | 是 | ||
| 正则表达式匹配 | 否 | 否 | ||
| 正则表达式不匹配 | 否 | 否 | ||
| 请求方法 | 匹配或排除特定的请求方法。 | 等于 | - | - |
| 不等于 | - | - | ||
| 地理 | 匹配或排除来自特定地区的请求。 | 等于 | - | - |
| 不等于 | - | - | ||
| 响应代码 | 匹配或排除具有特定状态码的请求。仅统计响应阶段的状态码。 | 等于 | - | - |
| 不等于 | - | - |
添加规则
| 项目 | 描述 |
|---|---|
| 匹配条件 | 通过指定路径、API、IP 地址、请求标头等条件来指定策略需要检测的请求范围。 |
| 客户端标识符 | 指定客户端的身份,包括客户端IP、Cookie、请求头等 |
| 触发条件 | 指定触发规则的条件。 |
| 操作到期时间 | 当触发策略时,到期时间定义了响应操作维持的持续时间。这可以限制高频率发生的请求。 |
| 有效时间段 | 指定规则生效的时间。 |
部署
| 动作 | 描述 |
|---|---|
| 发布更改 | 请谨慎操作,该操作将当前功能项的配置部署到生产环境,任务下发后预计2分钟内部署完成。 |
| 策略复制器 | 将某项配置同时同步到其他主机名,此操作会在部署时用当前域名选中的配置项覆盖选中主机名对应的配置项。 |
本篇文档内容对您是否有帮助?
有帮助
我要反馈