Zugriffsregeln für Edge-Policys
Mit Web Application Firewall können Sie Zugriffsregeln innerhalb einer Edge-Policy verwalten.
Als WAF-Administrator können Sie explizite Aktionen für Anforderungen definieren, die verschiedene Bedingungen erfüllen. Die Bedingungen verwenden unterschiedliche Vorgänge und reguläre Ausdrücke. Eine Regelaktion kann so festgelegt werden, dass sie ein CAPTCHA für alle übereinstimmenden Anforderungen protokolliert und zulässt, erkennt, blockiert, umleitet, umgeht oder anzeigt.
Die folgenden Informationen stellen die verfügbaren Bedingungen für eine Zugriffsregel bereit.
| Kriterientyp | Kriterium |
|---|---|
| URL |
Definieren Sie basierend auf Folgendem mindestens ein Kriterium:
Für den Abgleich des regulären Ausdrucks der URL werden Perl-kompatible reguläre Ausdrücke verwendet. Der URL-basierte Abgleich in Zugriffsregeln gilt für einen Speicherort in derselben Domain. Beispiel: "/login.php". Um eine vollständige absolute URL als Ziel festzulegen, können Sie eine Kombination aus Headerabgleich (Host: www.example.com) und URL "/login.php" verwenden. |
| IP-Adresse |
Definieren Sie basierend auf Folgendem mindestens ein Kriterium:
Bei diesen Werten kann es sich um eine gültige IPv4-Adresse, eine Untergruppe oder eine CIDR-Notation für einen Bereich handeln. Mit IP-Adresskriterien können Sie eingehenden Verkehr einschränken, der sowohl für IP-Adressen als auch für CIDR-Bereiche spezifisch ist. IPv6 wird noch nicht unterstützt. Informationen zum Erstellen einer Liste mit IP-Adressen, die in der Zugriffsregel verwendet werden können, finden Sie unter IP-Adresslisten für Edge Policys. |
| Land/Region |
Definieren Sie basierend auf Folgendem mindestens ein Kriterium:
Verwenden Sie für die API einen aus zwei Buchstaben bestehenden Ländercode. |
| Benutzer-Agent |
Geben Sie den Browserclient an.
|
| HTTP-Header |
Als Kriterium auswerten:
Geben Sie den HTTP-Header mit einem durch Doppelpunkt getrennten Wert (<name>:<value>) ein. Sie können keine Platzhalter verwenden. |
| HTTP-Methode |
Als Kriterium auswerten:
Verfügbare Methoden sind GET, POST, PUT, DELETE, HEAD, CONNECT, OPTIONS, TRACE und PATCH. |
- Für die Reihenfolge der Verarbeitung der Registerkarten "Zugriffsregeln" und "IP-Whitelist" wird zuerst die IP-Whitelist ausgelöst. Wenn die IP-Adresse nicht in der Ausnahmeliste der IP-Adressen enthalten ist, wird die Reihenfolge in die Zugriffsregeln verschoben.
- WAF unterstützt die folgenden HTTP-Umleitungsantwortcodes:
- 301 - Endgültig verschoben: Verwenden Sie diesen Antwortcode, wenn Ihre Website endgültig zur Umleitungs-URL verschoben wurde und diese von Suchmaschinen indexiert werden soll.
- 302 - Temporäre Umleitung: Verwenden Sie diesen Antwortcode, wenn eine bestimmte URL vorübergehend in eine andere Adresse geändert wurde.
- Sie können CAPTCHA nur als vollständige Seite und nicht als Inline-Komponente auf der Website einschließen.
- Sie können die Reihenfolge der Zugriffsregeln nur ändern, indem Sie die aufgelisteten Regeln mit der API manuell neu anordnen.
- Sie können die Reihenfolge der Zugriffsregeln nicht ändern, wenn Sie eine Zugriffsregel mit der BLOCK-Aktion erstellen.
- Die einfachste Möglichkeit, alles außer bestimmten IP-Adressen zu blockieren, besteht darin, eine einzelne Zugriffsregel für das Blockieren zu erstellen, wenn sich die IP-Adresse nicht in der Adressliste befindet. Diese Regel blockiert den gesamten Traffic, außer den IP-Adressen, die in den IP-Adresslisten enthalten sind. Wenn Sie andere Sicherheitsfeatures aktiviert haben, sind diese weiterhin aktiv, selbst für die IP-Adressen in der Adressliste. Um alle Sicherheitsmaßnahmen zu umgehen, fügen Sie der Ausnahmeliste der IP-Adresse IP-Adressen hinzu.