本文介绍如何配置访问控制策略。

简介

访问控制可针对IP,IP段，URI，METHOD，请求地区，请求参数，请求头部，请求协议进行组合，设置白名单和黑名单，对请求进行拦截和放行，保证客户网站不受未知访问。

配置项包含：启用开关、处理动作、规则名称、规则描述、防护范围。

处理动作说明：

告警：对命中该规则的请求仅告警不阻断，记录攻击日志

加白：对命中该规则的请求放行，不记录攻击日志

攻击标记：命中该规则的请求将继续匹配后续WAF策略，若命中，则产生对应类型的攻击日志，但不会阻断请求。

拦截：对命中该规则的请求进行拦截，并返回响应页面

丢弃：对命中该规则的请求拦截但不会响应页面，减少带宽

防护范围-匹配字段说明：

IP_PORT：客户端IP端口

PATH：目录路径，比如：/qr/;/app/verifyCode/

IP：客户端IP，比如：192.168.1.1;192.168.1.2

IPS：客户端ip段,比如：192.168.1.0/24;192.168.2.0/24

IPR：客户端ip范围，比如：192.168.1.1-192.168.1.10;192.168.1.12-192.168.1.20

URI：URI不包括问号后参数，比如：/login.php

REQUEST_URI：URI包括问号后参数，比如：login.php?id=1

METHOD：请求方式，比如：GET;POST

ARGS：问号后参数名

Geo:地理位置

HEADER：请求头部

PROTOCOL：请求协议，比如：HTTP/1.0;HTTP/2.0;

设置禁止特定 IP 地址访问域名

1.  登录边缘安全加速平台控制台，在左侧导航栏中选择【安全与加速】—【域名管理】，单击域名列表【详情】进入域名配置页面，在左侧导航栏中选择【访问控制】，点击【编辑配置】后再点击【新增】按钮；

2.  在新增页面，输入规则名称（如拦截指定IP），在匹配字段中选择一个字段（如IP），逻辑符号选择包含，匹配内容填入需要禁止访问的来源 IP（如192.168.1.1），选择执行动作（如拦截），填写完成后，单击确定，保存规则。

3.  保存后返回规则列表，点击【提交保存】。

设置地域封禁

1.  登录边缘安全加速平台控制台，在左侧导航栏中选择【安全与加速】—【域名管理】，单击域名列表【详情】进入域名配置页面，在左侧导航栏中选择【访问控制】，进入“访问控制”页签，点击【编辑配置】后再点击【新增】按钮；

2.  在新增页面，输入规则名称（如拦截指定地域），在匹配字段中选择一个字段（如GEO），逻辑符号选择包含，匹配内容填入需要禁止访问地域（如欧洲），选择执行动作（如拦截），填写完成后，单击确定，保存规则。

3.  保存后返回规则列表，点击【提交保存】。