功能介紹

支持根據用戶實際配置的條件，檢查HTTP協議頭部，對HTTP請求信息中的方法以及參數長度等信息進行檢測，對不符合的請求項進行攔截或告警。

檢測范圍

• 請求方法檢測：只允許指定請求方法訪問網站。
• 請求協議檢測：只允許指定協議版本訪問網站。
• 請求頭部缺失檢測：請求缺少指定頭部禁止訪問網站。
• 數據重復檢測：針對頭部重復、參數重復進行攔截，禁止訪問網站。
• 請求數據長度限制：針對請求URL、頭部參數進行長度限制，禁止訪問網站。

前提條件

• 已經訂購邊緣安全加速平臺-安全與加速服務，若未訂購，請參見服務開通。
• 在控制臺新增域名，請參見添加服務域名。
• 開通套餐為免費版及以上版本，支持合規檢測相關功能。

操作步驟

1. 登錄。
2. 在左側導航欄中選擇【安全能力】，進入【Web應用防火墻】菜單，并在左側域名列表選擇您要防護的域名。
3. 進入防護能力-基礎安全防護-【合規性檢測】詳細設置頁。

                    
注意
                    
域名新增時，會有一條全站合規檢測的默認策略，可以通過【防護開關】來開啟或者關閉，您也可以自定義合規檢測規則。
                    
                  
                  

配置說明

防護方式

防護方式。為合規性檢測功能的總開關，關閉則合規性檢測的任何規則將不生效。

配置項說明

合規性檢測將為您提供一條默認策略，針對全站進行防護，此策略不允許調整優先級。

配置項
說明
優先級
規則優先級
防護模式
設置該規則的防護模式，支持設置關閉、開啟。
規則名稱
設置規則名稱
規則描述
設置規則描述
防護范圍
設置需要防護的請求范圍，可選擇粒度有URI、PATH，支持輸入字符串，比如PATH等于字符串/
允許HTTP請求方法
設置允許的請求方法（PUT、DELETE、POST、GET、其它），支持多選
非法處理動作：即當請求非允許的請求方法時，將對請求進行處理，支持配置關閉、告警、攔截
允許HTTP協議版本
設置允許的HTTP協議版本（HTTP/1.1、HTTP/1.0、HTTP/0.9、其它），限制非指定HTTP版本訪問源站，保證源站針對性服務，不受黑客攻擊
非法處理動作：即當請求非允許的HTTP協議版本時，將對請求進行處理，支持配置關閉、告警、攔截
HTTP請求頭部缺失
請求缺失對應頭部則告警或攔截。針對HTTP請求的頭部進行缺失防護，當請求到達服務器時，檢測到缺失頭部時，進行相應處理動作，處理動作支持配置關閉、告警、攔截
頭部支持選擇USER-AGENT、其它、ACCEPT-LANGUAGE、ACCEPT、HOST
HPP防護
HPP 防護 即 HTTP Parameter Pollution，HTTP 參數污染。在 HTTP 協議中是運行同樣名稱的參數出現多次，攻擊者通過傳播參數的時候傳輸 key 相同而 value 不同的參數，從而達到繞過某些防護與參數校驗的后果。它是一種注入型的漏洞，攻擊者通過在 HTTP 請求中插入特定的參數來發起攻擊
合規檢測的HPP防護能夠及時處理該攻擊行為，下拉框為處理動作，支持配置關閉、告警、攔截
作用范圍支持選擇cookie、body、url。cookie：cookie字段重復；body：針對x-www-form-urlencoded編碼格式body進行重復參數檢測；url：針對url傳輸參數重復檢測
HTTP頭部重復限制
請求對應頭部存在重復則告警或攔截
Chunk攻擊檢測
針對請求體中嵌入HTTP請求攻擊，竊取其它客戶敏感信息的攻擊行為進行告警或攔截
上傳合規檢測
針對上傳表單校驗是否滿足上傳協議規范，不符合則告警或攔截
%00檢測
ASCII 0字符會對參數進行截斷，造成源站不可預知錯誤，合規檢測將針對此攻擊行為進行告警或攔截
檢測區域支持選擇表單傳輸頭、BODY傳輸頭、URL參數、其它文件、表單文件
URL最大長度
限制請求URL最大長度，不符合的請求將告警或攔截。針對HTTP請求URL長度進行限制，避免大量不合規請求到達源站，占用資源，浪費系統性能
HTTP請求頭部限制
針對HTTP請求頭部內容進行限制。限制內容包含，請求頭部，字段最大個數，請求頭部參數值最大長度限制。不符合的請求將告警或攔截。
請求頭部參數名最大長度: 限制請求頭部參數名最大長度
請求頭部參數值最大長度: 限制請求參數值最大長度
請求頭部參數最大個數: 限制請求頭部最大個數
例外
如果有特殊的業務無法通過合規檢測策略，可以進行加白，則請求不會進行合規檢測策略校驗