【WAF】【访问控制】HTTP访问控制策略如何配置
配置描述
WAF配置HTTP访问控制策略的办法
适用版本:通用
适用场景:需要限制某些ip访问某些特定URL时
配置前提
已配置了资产和防护策略,测试可以正常访问并可以产生防护效果和日志。
配置步骤
1、配置HTTP访问控制策略实现禁止固定ip访问固定的url,例如:禁止192.168.1.1访问/login/admin.html
(1)在【基础配置】>【基础对象】>【IP对象组】中添加对象组,默认动作选择“不匹配”,添加192.168.1.1/32的ip网段动作为“匹配”。
(2)在【基础配置】>【基础对象】>【URL对象组】中添加对象组,默认动作选择“不匹配”,添加/login/admin.html的URL类型为“精确匹配”,动作为“匹配”。
(3)在【访问控制】>【HTTP访问控制】中新建策略,自定义策略名称,并选择需要引用此策略的资产。
(4)添加HTTP访问控制条目,源地址选择刚才添加的ip对象,处理动作为阻断,请求url选择刚才添加的url对象,版本和方法全选。
2、配置HTTP访问控制策略实现禁止固定ip访问其他url,例如:禁止192.168.1.1访问其他url(除了/login/admin.html)
(1)在【基础配置】>【基础对象】>【IP对象组】中添加对象组,默认动作选择“不匹配”,添加192.168.1.1/32的ip网段动作为“匹配”。
(2)在【基础配置】>【基础对象】>【URL对象组】中添加对象组,默认动作选择“匹配”,添加/login/admin.html的URL类型为“精确匹配”,动作为“不匹配”。
(3)在【访问控制】>【HTTP访问控制】中新建策略,自定义策略名称,并选择需要引用此策略的资产。
(4)添加HTTP访问控制条目,源地址选择刚才添加的ip对象,处理动作为阻断,请求url选择刚才添加的url对象,版本和方法全选。
3、配置HTTP访问控制策略实现禁止其他ip访问固定url,例如:禁止其他ip(除了192.168.1.1)访问/login/admin.html
(1)在【基础配置】>【基础对象】>【IP对象组】中添加对象组,默认动作选择“匹配”,添加192.168.1.1/32的ip网段动作为“不匹配”。
(2)在【基础配置】>【基础对象】>【URL对象组】中添加对象组,默认动作选择“不匹配”,添加/login/admin.html的URL类型为“精确匹配”,动作为“匹配”。
(3)在【访问控制】>【HTTP访问控制】中新建策略,自定义策略名称,并选择需要引用此策略的资产。
(4)添加HTTP访问控制条目,源地址选择刚才添加的ip对象,处理动作为阻断,请求url选择刚才添加的url对象,版本和方法全选。
4、配置HTTP访问控制策略实现禁止其他ip访问固定url以外的其他url,例如:禁止其他ip(除了192.168.1.1)访问其他url(除了/login/admin.html)。
(1)在【基础配置】>【基础对象】>【IP对象组】中添加对象组,默认动作选择“匹配”,添加192.168.1.1/32的ip网段动作为“不匹配”。
(2)在【基础配置】>【基础对象】>【URL对象组】中添加对象组,默认动作选择“不匹配”,添加/login/admin.html的URL类型为“精确匹配”,动作为“匹配”。
(3)在【访问控制】>【HTTP访问控制】中新建策略,自定义策略名称,并选择需要引用此策略的资产。
(4)添加HTTP访问控制条目,源地址选择刚才添加的ip对象,处理动作为阻断,请求url选择刚才添加的url对象,版本和方法全选。
【注意】以上对应四种场景,并非全部需要配置,配置时url对象和ip对象中默认动作和具体条目的动作不能相同,通过调整url对象和ip对象的默认动作和条目动作来实现不同的需求。
验证步骤
1、验证是否可以实现禁止192.168.1.1访问/login/admin.html
(1)验证192.168.1.1不能访问/login/admin.html。
(2)验证192.168.1.1可以访问其他url。
(3)验证其他ip可以访问任意url。
2、验证是否实现禁止192.168.1.1访问其他url(除了/login/admin.html)
(1)验证192.168.1.1可以访问/login/admin.html。
(2)验证192.168.1.1不能访问其他url。
(3)验证其他ip可以访问任意url。
3、验证是否实现禁止其他ip(除了192.168.1.1)访问/login/admin.html
(1)验证192.168.1.1可以访问任意url。
(2)验证其他ip不能访问/login/admin.html。
(3)验证其他ip可以访问其他url。
4、验证是否实现禁止其他ip(除了192.168.1.1)访问其他url(除了/login/admin.html)。
(1)验证192.168.1.1可以访问任意url。
(2)验证其他ip可以访问/login/admin.html。
(3)验证其他ip不能访问其他url。
