功能说明
特征过滤可以精准制定针对业务报文特征或攻击报文特征的防护策略来防止畸形报文攻击透传。EdgeOne 支持针对 IP、TCP 及 UDP 报文头或载荷中的特征自定义拦截策略。开启特征过滤后,您可以将源端口、目的端口、报文长度、IP 报文头或载荷的匹配条件进行组合,并对命中条件的请求设置丢弃、放行、丢弃并拉黑、继续防护等策略动作。
说明:
该功能仅在四层代理实例的防护级别为增强防护或卓越防护时支持,其他场景均不支持配置。
适用场景
站点业务接入 EdgeOne 后,如果您需要针对性地管理具有固定特征的访问请求,则您可以为该站点开启特征过滤并设置精确访问控制规则。特征过滤访问控制规则由匹配条件与匹配动作构成。
匹配条件定义了要识别的请求特征,具体指访问请求中 TCP/UDP 协议字段的属性特征。
匹配动作定义了访问请求命中匹配条件时,对访问请求执行的动作,具体包括拦截、放行、丢弃并拉黑、继续防护。
操作步骤
例如:针对站点
example.com 下的所有业务域名,对外仅开放的 TCP 业务包长度要求均不大于 512 字节,对不符合该特征的请求全部拦截。操作步骤如下:1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,进入服务总览,单击网站安全加速内需配置的站点。
2. 在站点详情页面,单击四层代理 > 四层实例列表,进入四层代理列表页。
3. 选择需要配置的四层代理实例,单击防护策略配置。
4. 在特征过滤卡片中,单击设置,进入特征过滤页面。
5. 在特征过滤页面中,单击新建。
6. 在新建特征过滤对话框中,创建特征过滤规则,根据需求,选择不同防护动作并填写相关字段,单击确定。
各个特征字段说明如下:
过滤特征 | 说明 | 其他参数 |
源端口 | 指访问来源的端口。 支持输入1-65535范围的端口号。 支持逻辑等于或介于。 | - |
目标端口 | 指访问目标的端口。 支持输入1-65535范围的端口号。 支持逻辑等于或介于。 | |
包长度 | 指访问报文的数据包长度。 支持输入1-1500范围内的数字。 支持逻辑等于或介于。 | |
IP 首部开始检测 | 支持关键词匹配,其中关键词通过偏移量及检查深度匹配。 | 偏移量:UDP 或 TCP 头部后数据体(payload)的偏移量,可选范围:0~1500,单位:Byte。
偏移量为0时,从数据体的第一字节开始匹配。 载荷内容:要匹配的数据体(payload)内容,可直接输入字符串(如:hello) 或以\\x开头的十六进制字符串(如:\\x1A2B3C4D)。 检查深度:载荷内容的字符串长度加上偏移量。(如:偏移量为1,字符串长度为6,则深度为7) |
TCP/UDP 首部开始检测 | 支持关键词匹配,其中关键词通过偏移量及检查深度匹配。 | |
载荷开始检测 | 指跳过IP首部和 TCP/UDP 首部,从报文所携带的载荷开始检测。 支持关键词匹配,其中关键词通过偏移量及检查深度匹配。 | |
