自定义策略

1. 功能简介

自定义策略支持从 HTTP 报文的请求路径、GET 参数、 POST 参数、 Referer 和 User-Agent 等多个特征进行组合，通过特征匹配来对公网用户的访问进行管控。面对来自互联网上的各种攻击行为，腾讯云金融专区用户可以利用自定义策略灵活应对，组合出有针对性的规则来阻断各类攻击行为。

• 每个自定义策略最多可以设置5个条件进行特征控制。

• 每个自定义策略中的多个条件之间是“与”的关系，即所有条件全部匹配，策略才可生效。

• 每个自定义策略匹配之后可以配置两种处理动作：阻断和放行。

2. 配置案例

案例一：禁止特定 IP 地址访问指定站点

当网站管理员需要禁止特定 IP 地址访问指定站点时，可以通过以下方法进行配置：

1. 登录Web 应用防火墙控制，在左侧导航栏中，单击 【Web 应用防火墙】 > 【防护设置】，在域名列表中，选择需要防护的站点域名，在右侧操作栏中，单击【防护配置】，进入防护设置页面，选择【自定义策略】>【添加规则】。

   

2. 在添加规则页面内，输入规则名称（如001），在匹配字段中选择一个字段（如来源 IP），逻辑符号选择匹配，匹配内容填入需要禁止访问的来源 IP（如192.168.1.1），选择执行动作（如阻断），填写完成后，单击 【添加】 保存规则。

   

   Web 应用防火墙的自定义策略支持使用掩码来控制某一网段的源 IP 的访问请求。我们可以在匹配内容中输入特定网段（如10.10.10.10/24 ）。

3. 此时规则将会生效，来自特定源 IP 的 HTTP 访问请求将会全部阻断。

   

案例二：禁止公网用户访问特定的 Web 资源

当网站管理员不希望公网用户访问某些特定的 Web 资源时（如管理后台/admin.html），可以进行以下配置：匹配字段选择“请求路径”，逻辑符号选择“等于”，匹配内容输入“/admin.html” ，执行动作选择“阻断”，配置完成后单击【添加】即可。

案例三：禁止某个外部站点盗链获取资源

当网站管理员需要阻断外部站点（如www.test.com）的盗链行为时，可以利用自定义策略对盗链请求的 Referer 特征进行捕获和阻断，配置如下：匹配字段选择 “Referer” ，逻辑符号选择“包含”，匹配内容输入“www.test.com”，执行动作选择“阻断”，配置完成后单击【添加】即可。