3.6 如何加白特定IP、UA跳过防护原创

大家好，欢迎大家来到腾讯云开发者社区，腾讯云h one团队共同打造的h one一站式玩转网站加速与防护实战营的第三章第6节。我是腾讯云产品经理马乐新，今天我们来讲解如何使用I one配置白名单跳过防护。首先是背景介绍。Hne的防护例外规则提供了一种集中管理的访问白名单配置功能，让您可以快速设定哪些合法请求可以顺利通过，而不被其他任何防护模块误拦截。除了这个基本功能外，当HR的内置预设防护策略如CC攻击防护和托管规则等可能无法准确识别和区分合法请求时。防护例外规则还允许您进行精细化调整，您可以精准的指定哪些请求或请求参数需要放行，以确保合法流量的顺畅通过，避免不必要的干扰。

首先，完整请求跳过规则是指请求满足判断条件时，整个请求将不会经过例外范围内的安全规则检测。部分请求字段跳过规则扫描。就好比你带着一个行李箱和公文包通过安检，通常两样物品都需要接受X光扫描，但如果公文包上有特殊标记及满足判断条件，安检人员则允许公文包免检，而只对行李箱进行正常的检查。即当请求满足某些条件时，可以指定某些字段跳过特定的安全规则检测，而请求中的其他字段仍然会经过正常的安全检查。这种方法既保证了安全，又提高了处理效率。通过这样的机制，系统可以更智能、更高效的处理各种请求，在保障安全的同时提升用户体验。接下来通过详细的控制台配置事例，让我们更好理解防护例外规则的能力和适用场景。为了避免误拦截特定网段内的测试设备和内部服务的访问请求，我们可以配置信任网段跳过外部防护相关功能扫描。

假设您的网站域名是apiexample.com，您公司内部有一组位于特定网段的测试设备和服务，他们的IP地址范围是123.123.123.024网段。这些设备和服务需要频繁访问您的网站，进行测试和维护工作。如果不做特殊配置，这些内部请求可能会被我们的安全系统误认为是潜在威胁而被拦截，这显然会影响正常的工作流程。因此，我们可以设置信任网段配置，将来自这个特定IP范围的请求排除在外部防护扫描之外。这样我们就可以确保重要的内部操作不会受到不必要的干扰，同时又不影响对其他来源请求的正常安全防护。接下来是操作演示。登录边缘安全加速平台eo控制台，在左侧菜单栏中单击站点列表。选择需要配置的站点。

单机安全防护，外部防护。在例外规则防护例外规则下方点击添加规则。选择完整请求跳过规则匹配字段为客户端IP匹配信任网段。对于来自信任网站的请求访问，不进行外部防护相关功能扫描。添加匹配字段为请求域名。组织方式选择为指定安全防护模块中的全部选项。及托管规则速率限制、自定义规则平台托管的速率限制和boot管理。单击保存并发布。

白名单将部署生效。让我们回到PPT。接下来我们讨论一下用户代理的例外设置。在网络安全领域，用户代理就像是每个访问者的身份证。通常会对一些已知的自动化工具进行限制，以防止潜在的恶意访问。假设您的网站已经对一些常见的自动化工具用户代理进行了封禁，包括APA bench curl Python requests和road runner. 这意味着任何携带这些user agent的请求都会触发速率限制规则，从而受到限制。然而，在某些情况下，我们可能需要使用这些工具进行合法的内部测试，这就需要我们建立一个例外机制。让我用一个场景来解释。假设您的团队正在进行一项内部压力测试，需要使用到一个叫load runner的工具，这个工具的用户代理如下。如果不做特殊处理，这个工具的请求可能会被我们的安全系统误认为是潜在威胁而被限制。

为解决这个问题，我们可以创建一个特殊的例外规则。对于来自内部网络假设IP范围为一九二点一六八点零点零十六的请求，如果他们携带load runner这个特定的user agent, 就允许他们绕过现有的精准速率限制规则。接下来是操作演示。首先在外部防护页面定位到防护例外规则，单击添加规则。选择完整请求跳过规则。匹配字段为客户端IP匹配信任网段。并且user agent包含。新人工具。执行处处置为跳过指定安全防护模块。速率限制和平台托管的速率限制。单击保存并发布，规则将部署生效。

让我们回到PPT。有了这条规则，您可以继续进行压力测试，而不会因为速率限制遇到问题，同时确保其他的自动化工具仍然受到必要的限制。最后，让我们来看看一个更细致的安全配置请求字段，跳过规则扫描。在某些特殊情况下，我们可能需要允许一些看似可疑，实际上完全无害的内容通过我们的安全检查。在我们的网络安全系统中，这种情况经常出现在技术内容发布过程中。为了避免在发布技术内容时被h one托管规则误判为恶意内容，如SQL注入，我们可以配置请求字段，跳过规则扫描，从而跳过特定的托管规则。让我用一个具体的场景说明。假设您运营着一个blogexample.com的技术博客网站，它基于word press搭建。作为一个面向开发者的平台，您的博客经常需要发布包含SQL语句或shell命令的技术网技术文章。然而，这些完全无害的代码示例可能会被误认为是SQL注入攻击的尝试，从而被错误拦截。

这显然会给内容创作者带来很大不便，也可能影响网站正常运营。为解决这个问题，我们可以使用防护例外规则来进行精细化配置。接下来是操作示例。首先在外部防护页面定位到例外规则，单击防护例外规则下方的添加规则。选择跳过方式为部分请求字段跳过规则扫描。配置判断条件为，请求路径等于。文章发布API。选择跳过字段为Jason请求内容。请求字段为匹配名称的参数值。匹配条件为参数名称等于。值为content。执行处置为跳过指定托管规则选择为。

SQL注入攻击防护。单击保存并发布，规则将部署生效。让我们回到PPT。有了这条规则，就意味着当作者通过这个API发布内容时，系统将不会对Jason请求中名为content的参数进行SQL注入攻击的扫描。通过这种配置，我们既保证了技术文章顺利发布，又不会降体，又不会降低整体的安全防护水平。其他的参数和请求路径仍然会受到正常的安全检查。通过上述内容，我们可以学到，网络安全防护不是一刀切的过程，它需要我们根据具体情况灵活的调整和配置规则，在安全性和可用性之间找到平衡。以上就是h one网站安全防护实战的全部内容，谢谢大家观看。