引入主機(jī)名和自治系統(tǒng)編號列表以簡化WAF規(guī)則的創(chuàng)建

如果您有在負(fù)責(zé)創(chuàng)建Web應(yīng)用程序防火墻(WAF)規(guī)則，則肯定需要引用每個(gè)字段可能具有的大量潛在值。如果有大量WAF規(guī)則，則手動管理和輸入所有這些字段肯定會讓人頭疼。

這就是我們引入IP列表的原因。擁有可以獨(dú)立于實(shí)際規(guī)則進(jìn)行引用、重用和管理的單獨(dú)值列表，可以帶來更好的WAF用戶體驗(yàn)。您可以創(chuàng)建一個(gè)新列表，例如$organization_ips，然后在“允許源IP位于$organization_ips中的請求”之類的規(guī)則中使用它。如果您需要添加或刪除IP，您可以在列表中執(zhí)行此操作，而無需涉及引用該列表的每條規(guī)則。您甚至可以添加描述性名稱來幫助跟蹤其內(nèi)容。它簡單、干凈、有條理。

這讓我們和我們的客戶自然而然地提出了下一個(gè)問題：為什么要止步于IP？

Cloudflare的WAF具有高度可配置性，讓您能夠編寫評估一組主機(jī)名、自治系統(tǒng)編號(ASN)、國家/地區(qū)、標(biāo)頭值或JSON字段值的規(guī)則。但要做到這一點(diǎn)，您必須將項(xiàng)目列表直接輸入到規(guī)則表達(dá)式編輯器中，這會帶來所有相關(guān)的缺點(diǎn)：速度慢（您需要單獨(dú)修改每個(gè)規(guī)則）、容易出錯，有時(shí)甚至無法實(shí)現(xiàn)（考慮到自定義規(guī)則表達(dá)式4KB的限制）。

我們對客戶遇到的這些讓人頭疼的問題感同身受，所以，這種情況不會再出現(xiàn)了！現(xiàn)在，我們已擴(kuò)展了自定義列表，讓您能夠創(chuàng)建主機(jī)名和ASN列表。所有Enterprise計(jì)劃中均包含新列表類型，因此您在閱讀本文后就可以開始創(chuàng)建擴(kuò)展列表。

主機(jī)名稱

現(xiàn)在，您可以在帳戶中導(dǎo)航至配置>列表。您也可以在這里管理IP列表和瀏覽可用的托管IP列表。

創(chuàng)建列表后，您可以在任何WAF規(guī)則表達(dá)式中使用它。這一功能對帳戶級WAF用戶大有用處，因?yàn)樗麄兛梢栽趦H與一組主機(jī)匹配的流量上運(yùn)行托管或自定義規(guī)則集。

在自定義規(guī)則集過濾器中使用主機(jī)名列表（對帳戶級WAF用戶可用）。

主機(jī)名列表對SSL for SaaS用戶大有用處，因?yàn)樗鼈兛梢韵拗铺囟ㄒ?guī)則或規(guī)則集在部分主機(jī)上運(yùn)行。該列表可以通過編程方式更新（通過API），以便在主機(jī)加入到帳戶時(shí)可以執(zhí)行添加或刪除主機(jī)。

關(guān)于列表需要了解的一些事項(xiàng)：您可以將域和子域添加到一個(gè)列表，并且一個(gè)域不會自動匹配子域。例如，如果您將example.com添加到列表中并在自定義規(guī)則中使用它來阻止流量，則來自api.example.com的請求將不會匹配這條規(guī)則。主機(jī)名列表接受使用“ ”通配符來包含子域。例如，將“ .example.com”添加到列表中將匹配“api.example.com”，但不會匹配“example.com”。最后，“example.com/path/subfolder”不是有效的條目——我們正在為此用例構(gòu)建字符串列表（更多內(nèi)容見下文）。

ASN

自治系統(tǒng)(AS)是具有統(tǒng)一路由策略的大型網(wǎng)絡(luò)或網(wǎng)絡(luò)組。每一個(gè)連接到互聯(lián)網(wǎng)的設(shè)備都連接到一個(gè)AS。將AS想象為一個(gè)城鎮(zhèn)的郵局，而IP則是一個(gè)家庭的地址。ASN不像IP那樣輪換，這使得ASN在管理較大部分IP空間時(shí)成為更好的選擇。通常，每個(gè)AS由單個(gè)大型組織運(yùn)營，例如互聯(lián)網(wǎng)服務(wù)提供商、大型企業(yè)技術(shù)公司或政府機(jī)構(gòu)。

您可以使用自治系統(tǒng)編號列表來管理來自互聯(lián)網(wǎng)服務(wù)提供商和云提供商的流量，這些提供商可能托管生成自動流量的機(jī)器人。使用IP不太實(shí)用，因?yàn)榈刂贩秶珡V并且變化非常頻繁。請注意，雖然ASN在這種情況下很有用，但應(yīng)謹(jǐn)慎使用，因?yàn)樽柚瑰e誤的ASN可能會導(dǎo)致大范圍的IP受到影響。

“我可以擁有多少個(gè)列表？”

每個(gè)Enterprise計(jì)劃帳戶最多可以創(chuàng)建10個(gè)自定義列表，所有列表共享總共10,000個(gè)項(xiàng)目。當(dāng)至少購買了1個(gè)Enterprise計(jì)劃時(shí)，帳戶將被視為Enterprise帳戶。配額在所有數(shù)據(jù)類型（IP、ASN和主機(jī)名）之間共享，并且在帳戶級別定義，因此您可以在所有應(yīng)用程序中使用您的列表。

例如，擁有一個(gè)（或多個(gè)）Enterprise計(jì)劃的帳戶可以擁有8個(gè)IP列表（每個(gè)列表包含1,000個(gè)項(xiàng)目）、一個(gè)包含1,700個(gè)條目的主機(jī)名列表，以及一個(gè)包含300個(gè)ASN的列表；此時(shí)無法再添加更多列表或項(xiàng)目。

Enterprise客戶可以聯(lián)系專屬客戶團(tuán)隊(duì)增加配額。

目前，F(xiàn)ree、Professional和Business計(jì)劃帳戶只能訪問IP列表。

“我可以在哪里使用它們？”

下表總結(jié)了可用的自定義列表類型以及它們可用于哪些字段。自治系統(tǒng)編號和主機(jī)名列表可從基于規(guī)則集引擎構(gòu)建的任何WAF產(chǎn)品訪問，包括自定義、速率限制和托管規(guī)則。

字符串：列表的未來（即將推出）

列表的下一步是超靈活的字符串類型。您將能夠?qū)⑵溆糜跇?biāo)頭、cookie、路徑、查詢、JSON正文字段、用戶代理、JA3、MIME類型等字段。對于每個(gè)條目，您將能夠指定不同的匹配運(yùn)算符，例如“exact match”、“start with”、“ends with”或“contains”。

常見應(yīng)用包括列出您想要阻止的所有用戶代理、列出您想要限制訪問的URL等等。

更復(fù)雜的用例包括創(chuàng)建適用于可使用cookie、API密鑰或會話ID識別的一組用戶的不同速率限制規(guī)則。字符串列表還將允許您收集已知惡意機(jī)器人的JA3指紋。

我們?nèi)栽谘芯孔址斜?，并將在未來幾個(gè)月內(nèi)發(fā)布。同時(shí)，如果您想開始使用我們以上所介紹的新增的和經(jīng)過改進(jìn)的列表，您即刻就可以直接進(jìn)入儀表板進(jìn)行配置。