动态与公告

产品动态

产品公告

安全公告

新手指引

产品简介

产品概述

产品分类

产品优势

应用场景

套餐与版本说明

支持地域

基本概念

购买指南

计费概述

购买方式

升级方式

续费说明

欠费说明

退费说明

快速入门

入门概述

新手常见问题

操作指南

概览

接入管理

安全运营

防护策略

服务设置

实践教程

WAF 等保测评解读

BOT管理相关

API 安全相关

接入相关

防护与配置相关

API 文档

History

Introduction

API Category

Making API Requests

Asset Management APIs

Billing APIs

Protection Settings APIs

Other APIs

IP Management APIs

Integration APIs

Log Service APIs

Security Overview APIs

Rule Engine APIs

Data Types

Error Codes

常见问题

产品咨询相关

接入相关

使用相关

权限相关

沙箱隔离状态

服务等级协议

WAF 策略

隐私协议

数据处理和安全协议

联系我们

词汇表

访问控制

PDF

聚焦模式

字号

最后更新时间： 2025-07-09 14:59:59

功能简介
访问控制策略支持从 HTTP 报文的请求路径、GET 参数、 POST 参数、 Referer 和 User-Agent 等多个特征进行组合，通过特征匹配来对公网用户的访问进行管控。面对来自互联网上的各种攻击行为，腾讯云用户可以利用访问控制策略灵活应对，组合出有针对性的规则来处理各类攻击行为。
说明：
每个访问控制策略最多可以设置5个条件进行特征控制。
每个访问控制策略中的多个条件之间是“与”的关系，即所有条件全部匹配，策略才可生效。
每个访问控制策略匹配之后可以配置五种处理动作：拦截、人机识别、观察、重定向、JS校验。
拦截：WAF 对命中该策略的访问进行拦截操作；
人机识别：WAF 对命中该策略的访问进行人机识别操作，图片验证码。
观察：WAF 对命中该策略的访问进行观察操作。
重定向：WAF 对命中该策略的访问进行重定向页面。
JS 校验：WAF 对命中该策略的访问进行 JavaScript 校验操作。
优先级：优先级数值越小则优先级越高，即1优先级最高，100优先级最低。
配置案例
示例一：禁止特定 IP 地址访问指定站点
当网站管理员需要禁止特定 IP 地址访问指定站点时，可以通过以下方法进行配置：
1. 登录 Web 应用防火墙控制台，在左侧导航栏中，单击防护策略 > 基础安全，进入基础安全页面。
2. 在基础安全页面，左上角选择需要防护的域名，单击访问控制，进入访问控制页面。
﻿
3. 在访问控制页面，单击添加规则，进入添加自定义防护规则页面。
4. 在添加自定义防护规则页面，输入规则名称（如001），在匹配字段中选择一个字段（如来源 IP），逻辑符号选择属于，匹配内容填入需要禁止访问的来源 IP（如192.168.1.1），选择执行动作（如拦截），填写完成后，单击确定，保存规则。
﻿
说明：
Web 应用防火墙的访问控制策略支持使用掩码来控制某一网段的源 IP 的访问请求。我们可以在匹配内容中输入特定网段（如10.10.10.10/24 ）。
5. 此时规则将会生效，来自特定源 IP 的 HTTP 访问请求将会全部拦截。
﻿
示例二：禁止公网用户访问特定的 Web 资源
当网站管理员不希望公网用户访问某些特定的 Web 资源时（如管理后台/admin.html），可以进行以下配置：匹配字段选择“请求路径”，逻辑符号选择“等于”，匹配内容输入/admin.html ，执行动作选择“拦截”，配置完成后单击确定即可。
﻿
示例三：禁止某个外部站点盗链获取资源
当网站管理员需要拦截外部站点（如www.test.com）的盗链行为时，可以利用访问控制策略对盗链请求的 Referer 特征进行捕获和拦截，配置如下：匹配字段选择 “Referer” ，逻辑符号选择“包含”，匹配内容输入www.test.com，执行动作选择“拦截”，配置完成后单击确定即可。
﻿
示例四：将策略复制到目标域名
当配置好某个策略时，若希望将此策略同时应用到其他域名，则可以通过复制策略来实现。
1. 在 基础安全 > 访问控制页面，选中所需策略并单击复制，弹出复制自定义策略弹窗。
﻿
2. 在复制自定义策略弹窗，选择需要的域名，单击确定，即可将策略复制到目标域名。
﻿
﻿