边缘安全
  • 概述
  • DDoS 防护
    • DDoS 防护概述
    • 使用独立 DDoS 防护
    • 配置独立 DDoS 防护策略
      • 调整 DDoS 防护等级
      • 独立 DDoS 攻击流量告警
      • 配置 IP 黑白名单
      • 配置区域封禁
      • 配置端口过滤
      • 配置特征过滤
      • 配置协议封禁
      • 配置连接类攻击防护
      • 相关参考
        • 处置方式
        • 相关概念介绍
  • Web 防护
    • 概述
    • 托管规则
    • CC 攻击防护
    • 自定义规则
    • 自定义速率限制规则
    • 防护例外规则
    • 托管定制规则
    • Web 安全监控告警
    • 相关参考
      • Web 防护请求处理顺序
      • 处置方式
      • 匹配条件
  • Bot 管理
    • 概述
    • Bot 智能分析
    • Bot 基础特征管理
    • 客户端画像分析
    • 主动特征识别
    • 自定义 Bot 规则
    • Bot 管理例外规则
    • 相关参考
      • 处置方式
  • 策略模板
  • IP 和网段分组
  • 源站防护
  • 自定义响应页面
  • 告警通知推送
  • SSL/TLS
    • 概述
    • 部署/更新 SSL 托管证书至 EdgeOne 域名
    • 使用免费证书部署至 EdgeOne 域名
    • HTTPS 配置
      • 强制 HTTPS 访问
      • 启用 HSTS
      • SSL/TLS 安全配置
        • 配置 SSL/TLS 安全等级
        • TLS 版本及密码套件说明
      • 开启 OCSP 装订

自定义规则

概述

如果您的站点需要自定义控制用户的访问策略,例如禁止指定地区用户访问、允许指定外部站点链接到本站内容、仅允许指定用户访问某些资源等。自定义规则支持根据单一规则匹配条件或者多个匹配条件进行组合匹配客户端请求,通过允许、拦截、重定向、返回自定义页面等方式来控制匹配的请求策略,可以帮助您的站点更加灵活地限制用户可访问的内容。

典型场景与使用方式

您可以根据不同场景选择适当的规则类型来保护您的站点。自定义规则分为下列类型:
基础访问管控:支持单一条件匹配请求,对命中的请求进行处置或观察,适用于简单场景下的防护处置,例如:配置访问 IP 黑白名单、Referer 黑名单、UA 黑白名单或地域限制。
精准匹配规则:支持多个条件组合匹配请求,对命中的请求进行处置或观察,适用于复杂场景下的防护配置,例如:指定路径下文件仅允许指定用户访问。
托管定制策略:由腾讯安全专家定制的策略,不支持控制台调整策略。详情请见:托管定制规则
说明:
当存在多条相同类型规则时,规则生效优先级如下:
1. 基础访问管控内的规则,当请求匹配多条规则时,此时将按照处置方式顺序执行:观察 > 拦截。
2. 精准匹配规则将按优先级自高到低(优先级数值从小到大)执行;
3. 自定义规则与其他 Web 防护能力之间的规则优先级顺序详见:Web 防护请求处理顺序

基础访问管控

示例场景一:仅允许特点国家/地区访问

为遵守指定业务地区的法规要求,如果当前业务仅允许来自非中国大陆地区的访问,您可能需要限制访客来源区域。对于这类场景,您可以通过基础访问管控中的区域管控规则来实现,操作步骤如下:
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点
2. 单击安全防护 > Web 防护。默认为站点级防护策略,若需为当前站点下特定域名配置差异化的防护策略,请进入域名级防护策略 Tab,单击相应域名进入域名级防护策略配置页,后续步骤一致。
3. 定位到自定义规则卡片,单击基础访问管控中的添加规则
4. 填写规则名称,配置管控类型、匹配方式及管控范围。以示例场景为例,管控类型为区域管控,匹配方式选择为包含,匹配内容选择中国大陆(全部),处置方式为拦截

5. 单击保存后,规则将部署生效。此时,客户端访问 IP 若来自中国大陆,则不允许访问该网站。

示例场景二:配置 Referer 控制外部站点访问

说明:
HTTP 协议允许 Referer 头部使用完整 URL 或部分 URL,请根据实际情况配置匹配内容。关于 Referer 头部,详情参考 RFC9110
为了防止未授权站点方式访问,您可以使用基础访问管控中的 Referer 管控规则来阻止携带未授权 Referer 头部的访问请求。例如:站点服务 https://www.myexample.com 需要放行通过广告合作方 https://ads.example.com/ads-link 的链接访问的请求,同时拒绝通过其他站点链接访问内容。操作步骤如下:
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点
2. 单击安全防护 > Web 防护。默认为站点级防护策略,单击域名级防护策略 Tab,在域名级防护策略中,单击目标域名进入目标域名防护策略配置界面,例如:www.myexample.com
3. 定位到自定义规则卡片,单击基础访问管控中的添加规则
4. 填写规则名称,配置管控类型、匹配方式及管控范围。以示例场景为例,管控类型为 Referer 管控,当请求 Referer 不等于https://www.myexample.comhttps://ads.example.com/ads-link时,处置方式为拦截

5. 单击保存后,规则将部署生效。

精确匹配规则

示例场景:精准控制站点敏感资源暴露面

如果您需要控制站点敏感资源(例如:后台管理页面)暴露面,仅允许特定客户端或指定网络访问。您可以使用精准匹配规则中的客户端 IP 匹配和请求 URL 匹配组合来实现。例如:当前站点域名 www.example.com 的管理后台登录地址路径为/adminconfig/login,该后台仅允许指定的客户端 IP 用户1.1.1.1 登陆。操作步骤如下:
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点
2. 单击安全防护 > Web 防护。默认为站点级防护策略,单击域名级防护策略 Tab,在域名级防护策略中,单击目标域名进入目标域名防护策略配置界面,例如:www.example.com
3. 定位到自定义规则卡片,单击精确匹配规则中的添加规则
4. 进入添加规则页面,选择创建空白规则,填写规则名称,单击添加
5. 配置判断条件及执行处置。以示例场景为例,可配置匹配字段为请求路径(Path)等于/adminconfig/login客户端 IP 不匹配1.1.1.1的用户,执行动作为拦截
说明:
处置优先级数值越低,优先级越高。当一个请求匹配多个规则时,以优先级高(数值低)的规则处置方式为准。

6. 单击保存并发布后,规则将部署生效。

相关参考

支持的匹配条件范围

自定义规则可以使用匹配条件来控制规则的适用范围。以下是不同的自定义规则类型支持的匹配条件:
基础访问管控
规则类型
说明
客户端 IP 管控
根据客户端 IP 管控访问请求
区域管控
根据客户端 IP 归属地区管控访问请求
Referer 管控
根据请求的 Referer 头部内容管控访问请求
User-Agent 管控
根据请求的 User-Agent 管控访问请求
ASN 管控
根据客户端 IP 归属 ASN 管控访问请求
URL 管控
根据请求的 URL 管控访问请求,支持以通配符匹配
精准匹配规则
精准匹配规则支持以下匹配条件,且不同 EdgeOne 套餐支持程度也不一致。
说明:
支持的匹配条件的说明及套餐限制请参考:匹配条件
请求域名(Host)
请求客户端 IP
请求客户端 IP(优先匹配 XFF 头部)
请求方式(Method)
请求 User-Agent 头部
会话 Cookie
XFF 扩展头部
请求路径(Path)
自定义请求头部
请求 URL
请求来源(Referer )
网络层协议
应用层协议
请求正文
JA3 指纹

支持的处置方式

不同的自定义防护规则支持的处置方式如下,不同的处置方式说明请参见 处置方式
防护规则类型
支持的处置方式
基础访问管控
观察
拦截
精准匹配规则
放行
拦截
观察
IP 封禁
使用自定义响应内容
重定向至 URL
JavaScript 挑战
说明:

注:
您可以为单条自定义规则(仅支持精准匹配规则)配置返回自定义响应内容处置方式。响应匹配该条规则的请求时,EdgeOne 将返回您指定的页面和状态码。您也可以使用 自定义响应页面 配置,指定全部自定义规则在拦截请求时使用的页面和状态码。