- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
10-防护策略
本章节下载: 10-防护策略 (295.93 KB)
防护策略可以对设备和业务主机进行保护,防止攻击者在短时间内发送大量的虚假请求,致使业务主机疲于应付无用信息,无法处理正常的业务。
设备支持在防护策略中指定防护规则,并为匹配防护规则的流量指定防护动作。
防护规则定义了需要保护的URI和防护的阈值(一段时间内用户最多可以访问的次数),在统计时间内,若同一用户访问指定URI的次数超过请求报文数阈值,则执行防护动作。设备支持基于源IP地址或Cookie来判断请求报文是否来自同一用户。
· 基于源IP地址:设备将来自相同源IP地址的请求报文判断为来自同一用户。
· 基于Cookie:若请求报文中对应于指定Cookie名称的Cookie值相同,则认为请求报文来自同一用户。
设备支持在防护策略中配置多条防护规则,转发报文时会按照配置顺序匹配防护规则。若匹配成功且访问指定URI的次数超过请求报文数阈值,则执行相应的防护动作,否则继续匹配下一条防护规则。
设备支持为匹配防护规则的流量配置以下防护动作:
· 丢弃:丢弃请求报文。
· 客户端校验:设备检测到请求报文个数达到阈值限制时,向客户端返回携带指定Cookie的响应报文。若客户端后续请求报文中携带的Cookie值与设备返回的Cookie值相同,则认为客户端请求报文通过校验。若请求报文中未携带Cookie值或携带的Cookie值与设备返回值不同,则认为客户端请求报文未通过验证,直接丢弃报文。设备支持通过插入HTTP头部和注入JS脚本的方式向客户端返回Cookie值。
非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。
1. 单击“应用负载 > 应用安全 > 防护策略”
2. 在“防护策略”页面单击<新建>按钮,新建防护策略。
表-1 防护策略配置
|
参数 |
说明 |
|
名称 |
防护策略的名称,不区分大小写 |
|
描述 |
防护策略的描述 |
|
防护规则 |
一个防护策略中可配置多条防护规则,每条规则中指定一个防护URI。在统计时间内,若同一用户访问指定URI的次数超过配置的阈值,则执行防护动作。设备支持基于源IP地址或者Cookie来判断请求报文是否来自同一用户。若同时配置基于源IP地址的请求阈值和基于Cookie的请求阈值,则当携带相同源IP或者相同Cookie值的报文达到配置的阈值时,执行相应的动作。防护规则的具体配置包括: · 防护URI:URI的正则表达式,区分大小写,不支持正则元字符?。设备进行匹配时,不会对HTTP报文URI中的参数部分进行匹配。即仅匹配URI中“?”之前的内容 · 统计时间:在统计时间内,若同一用户访问指定URI的次数超过配置的阈值,则执行防护动作 · Cookie名称:HTTP报文的Cookie名称,区分大小写。不包括(、)、<、>、@、,、;、:、\、"、/、[、]、?、=、{、}、SP(空格符)、HT(水平制表符),以及ASCII码中小于等于31、大于等于127的字符 · 基于Cookie的请求阈值:基于Cookie的请求报文数阈值,若请求报文中对应于指定Cookie名称的Cookie值相同,则认为请求报文来自同一用户 · 基于源IP的请求阈值:基于源IP的请求报文数阈值,设备将来自相同源IP地址的请求报文判断为来自同一用户 · 大小写:匹配URI正则表达式时区分大小写 设备会优先匹配排序更靠前的防护规则,管理员可以通过单击“防护规则”列表中的<上移>或<下移>按钮,调整防护规则的排序 |
|
防护动作 |
设备支持为匹配防护规则的流量配置以下防护动作: · 丢弃:丢弃请求报文 · 客户端校验:设备检测到请求报文个数达到阈值限制时,向客户端返回携带指定Cookie的响应报文。若客户端后续请求报文中携带的Cookie值与设备返回的Cookie值相同,则认为客户端请求报文通过校验。若请求报文中未携带Cookie值或携带的Cookie值与设备返回值不同,则认为客户端请求报文未通过校验,直接丢弃报文。设备支持向客户端返回Cookie值的方式包括: ○ 插入HTTP头部:通过插入HTTP首部方式向客户端返回Cookie值 ○ 注入脚本:通过注入JS脚本方式向客户端返回Cookie值 |
3. 单击<确定>按钮,新建的防护策略会在“防护策略”页面显示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
