功能介紹

通過訪問控制功能，您可以設置根據請求中不同字段內容進行匹配，對滿足匹配條件的請求進行攔截、重定向等動作。

如您可以攔截來自指定IP、指定IP段與指定地域的IP地址請求。

前提條件

• 已經訂購邊緣安全加速平臺-安全與加速服務，若未訂購，請參見服務開通。
• 在控制臺新增域名，請參見添加服務域名。
• 開通免費版及以上版本，支持使用訪問控制功能，不同版本限制規則數不同，具體請見安全與加速服務版本差異對比。

操作步驟

1. 登錄。
2. 在左側導航欄中選擇【安全能力】，進入【訪問控制/限流】菜單，并在左側域名列表選擇您要防護的域名。
3. 進入防護能力-高級安全防護-【訪問控制】詳細設置。

配置說明

配置項	說明
優先級	配置訪問控制策略的優先級，數字越小，優先級越高。
開關	訪問控制策略的開關，支持開啟或關閉。
處理動作	告警：對命中該規則的請求僅告警不阻斷，記錄攻擊日志。 加白：對命中該規則的請求放行，不記錄攻擊日志。當防護粒度選擇響應頭、狀態碼時，不適用于"加白"動作。 攻擊標記：命中該規則的請求將繼續匹配后續防護策略。若命中，則產生對應類型的攻擊日志，但不會阻斷請求。當防護粒度選擇響應頭、狀態碼時，對響應報文進行攻擊檢測。 攔截：對命中該規則的請求進行攔截，并返回響應頁面。當防護粒度選擇響應頭、狀態碼時，不適用于"攔截"動作。選擇攔截動作，可設置自定義攔截頁面。 丟棄：對命中該規則的請求攔截但不會響應頁面，減少帶寬。當防護粒度選擇響應頭、狀態碼時，不適用于"丟棄"動作。 重定向：對命中該規則的請求302重定向到指定的頁面。僅適用于靜態類請求。當防護粒度選擇響應頭、狀態碼時，不適用于"重定向"動作。 JavaScript挑戰：對命中該規則的請求進行JavaScript挑戰驗證。僅適用于GET請求的HTML靜態頁面。當防護粒度選擇響應頭、狀態碼時，不適用于"JavaScript挑戰"動作。 圖片驗證碼：對命中該規則的請求響應圖片驗證碼進行人機校驗。僅適用于GET請求的HTML靜態頁面。當防護粒度選擇響應頭、狀態碼時，不適用于"圖片驗證碼"動作。
規則名稱	訪問控制策略的規則名稱。
規則描述	訪問控制策略的規則描述。
防護范圍	支持配置多個防護粒度，多個防護粒度為且關系，滿足所有條件時，才觸發處理動作。 防護粒度：支持選擇IP、IPS、地理位置、URI、PATH等十幾種粒度。具體粒度介紹見下方【防護粒度說明】。 關系：等于/不等于。 匹配內容：不同的粒度支持輸入不同的匹配內容。一般支持輸入多條，多條內容用英文符號;分隔。
防護周期	若您希望訪問控制策略只在某個周期生效，可以配置防護周期，并支持且條件。防護周期支持配置每日、每周、每月。 配置示例： 1. 每周一至周二：周期包含1-2。 2. 每周日至周一的7點至9點：周期包含每周 7-1 且 周期包含每天07:00-09:00。 3. 每月19號的23點到次日1點：周期包含每月 19-19 且 周期包含每天23:00-01:00。 4. 每周二或每周四的7點至9點：周期包含每周 2-2;4-4 且 周期包含每天07:00-09:00。

防護粒度說明

粒度	說明	示例
IP_PORT	即客戶端IP端口。支持填寫多個IP:端口格式，多個用;隔開	192.168.1.0:443;192.168.2.0:8080
PATH	即目錄路徑。支持填寫多個，多個PATH用;隔開。	/qr/;/app/verifyCode/
IP	即客戶端IP。支持填寫多個IP，多個IP間以;隔開。	170.101.1.1;192.178.1.1
IPS	即客戶端IP段。支持填寫多個IP段，多個IP段間以;隔開。	192.168.1.0/24;192.168.2.0/24
IPR	即客戶端IP范圍。支持填寫多個IP范圍，多個IP范圍間以;隔開。	192.168.1.1-192.168.1.10;192.168.1.12-192.168.1.20
IP文件	1.支持上傳TXT格式的文件。 2.文件內容支持以下格式的IP地址：1.1.1.1、2.2.2.0/24、3.3.3.3-3.3.3.5。 3.多個IP地址以分號;或換行符進行分割。（因操作系統差異，如有報錯請切換分割符。） 4.IP地址最多支持3000條。 5.添加IP文件匹配字段后，不支持添加其他匹配字段。
URI	URI不包括問號后參數。支持填寫多個URI，多個URI間以;隔開，支持正則和字符串匹配。 當選擇字符串時，支持下拉框選擇對應域名的API資產。	/login.php
REQUEST_URI	URI包括問號后參數。不支持填寫多個REQUEST_URI。支持正則和字符串匹配。	/login.php?id=1
METHDO	即請求方式。支持填寫多個請求方法，多個請求方法間以;隔開。	GET;POST
ARGS	即URI問號后的參數名。支持正則和字符串匹配。	proid
GEO	地理位置，即客戶端IP區域。支持選擇多個區域。	歐洲/德國
HEADER	即請求頭部。支持正則和字符串匹配。
PROTOCOL	即請求協議。支持填寫多個協議，多個協議用;隔開。支持正則和字符串匹配。	HTTP/1.0;HTTP/2.0;HTTP/0.9
SRC_PORT	即客戶端源端口。支持填寫多個端口，多個端口以;隔開。	54375;8080
DEST_IP	即請求的目的IP。支持填寫IPv4/IPv6，多個IP以;隔開。	170.101.1.1;192.178.1.1
DEST_PORT	即請求的目的端口。支持填寫多個端口，多個端口以;隔開。	54375;8080
響應頭	響應頭，支持正則和字符串匹配。 支持”告警“、”攻擊標記“動作。 當防護動作選擇”攻擊標記“時，對響應報文進行攻擊檢測。
狀態碼	響應報文狀態碼。支持選擇2xx~5xx所有狀態碼，支持選擇多個。 支持”告警“、”攻擊標記“動作 當防護動作選擇”攻擊標記“時，對響應報文進行攻擊檢測。	200;404;500
REQUEST_BODY	即請求體內容。支持填寫多個，多個以英文分隔符;隔開。
JA3指紋	計算請求唯一的JA3指紋。請注意，該粒度需要您先開啟【基礎配置】-【JA3指紋記錄】功能，之后才能進行此配置”	66918128f1b9b03303d77c6f2eefd128

支持復制操作

若您有批量復制當前域名的訪問控制規則至其余域名的場景，可通過復制操作實現快速配置。

復制防護開關

使用場景：當您需要將一批域名的訪問控制策略總開關都置為關閉時，可以通過規則復制-復制防護開關，將當前域名的訪問控制防護開關復制到其他域名上。

操作步驟：

1. 進入訪問控制模塊；
2. 選擇規則復制-復制防護開關；
3. 選擇您要調整的域名，并且僅支持選擇【已啟用】的域名。

配置頁面：

復制防護規則

復制類型：追加

使用場景：當您需要追加所選規則到目標域名，保留目標域名原規則，可以通過規則復制-復制規則來操作。

操作步驟：

1. 進入【訪問控制/限流】-【訪問控制】模塊；
2. 選中一條或多條控制ID，選中規則復制-復制規則，復制類型選擇【追加】；
3. 選擇您要復制規則的域名（支持復制上限域名為200個，只能選中已啟用的域名）；
4. 點擊復制，則完成規則批量新增的操作。

復制類型：覆蓋

使用場景：當您需要將IP=1.2.3.4、處理動作=【攔截】的頻率控制策略都修改統一為告警時，可以通過規則復制-復制規則來操作。

操作步驟：

1. 進入【訪問控制/限流】-【訪問控制】模塊；
2. 選中一條控制ID，選中規則復制-復制規則，復制類型選擇【覆蓋】；
3. 選擇您要復制規則的域名（支持復制上限域名為200個，只能選中已啟用、且包含相同防護范圍策略的域名）；
4. 點擊復制，則完成規則批量新增的操作。

復制類型：更新

使用場景：當您需要匹配目標域名中相同防護范圍的規則，更新其余配置項（如處理動作、防護周期等），可以通過規則復制-復制規則來操作。

操作步驟：

1. 進入【訪問控制/限流】-【訪問控制】模塊；
2. 選中一條控制ID，選中規則復制-復制規則，復制類型選擇【更新】；
3. 選擇您要復制規則的域名（支持復制上限域名為200個，只能選中已啟用、且包含相同防護范圍策略的域名）；
4. 點擊復制，則完成規則批量新增的操作。

注意
復制類型為追加：域名列表展示域名狀態為【已啟用】的域名
復制類型為覆蓋：域名列表只展示訪問控制含相同防護范圍，并且域名狀態為【已啟用】的域名；
復制類型為更新：匹配目標域名中相同防護范圍的規則，更新其余配置項（如處理動作、防護周期等），實現批量修改。

批量操作

支持用戶對同一域名下的多項訪問控制規則進行批量的啟用、停用、刪除及調整處理動作。

操作步驟：

1. 進入訪問控制模塊；
2. 勾選需要批量操作的規則；
3. 下拉選擇批量操作的動作。

配置場景

將從指定IP黑名單、指定IP段黑名單、指定區域請求黑名單向您介紹如何配置訪問控制策略。

配置指定IP黑名單

配置示例：攔截來自IP 1.2.3.4的訪問請求

在【訪問控制】中新增規則：

• 開關：開
• 處理動作：攔截
• 規則名稱：攔截來自1.2.3.4 IP的訪問請求
• 防護范圍：IP等于1.2.3.4

配置指定IP段黑名單

配置示例：攔截來自IP段1.2.3.4/24的訪問請求

在【訪問控制】中新增規則：

• 開關：開
• 處理動作：攔截
• 規則名稱：攔截來自1.2.3.4/24 IP段的訪問請求
• 防護范圍：IPS等于1.2.3.4/24

配置指定區域請求黑名單

配置示例：攔截來自海外的訪問請求

在【訪問控制】中新增規則：

• 開關：開
• 處理動作：攔截
• 規則名稱：攔截來自海外的所有請求
• 防護范圍：地理位置等于中國以外的所有區域。地理位置選擇組件支持從大洲細化至省市粒度。

相關操作

• 設置網站白名單
• 設置掃描防護
• 設置頻率限制