引入主機名和自治系統(tǒng)編號列表以簡化WAF規(guī)則的創(chuàng)建

如果您有在負責創(chuàng)建Web應用程序防火墻(WAF)規(guī)則，則肯定需要引用每個字段可能具有的大量潛在值。如果有大量WAF規(guī)則，則手動管理和輸入所有這些字段肯定會讓人頭疼。

這就是我們引入IP列表的原因。擁有可以獨立于實際規(guī)則進行引用、重用和管理的單獨值列表，可以帶來更好的WAF用戶體驗。您可以創(chuàng)建一個新列表，例如$organization_ips，然后在“允許源IP位于$organization_ips中的請求”之類的規(guī)則中使用它。如果您需要添加或刪除IP，您可以在列表中執(zhí)行此操作，而無需涉及引用該列表的每條規(guī)則。您甚至可以添加描述性名稱來幫助跟蹤其內(nèi)容。它簡單、干凈、有條理。

這讓我們和我們的客戶自然而然地提出了下一個問題：為什么要止步于IP？

Cloudflare的WAF具有高度可配置性，讓您能夠編寫評估一組主機名、自治系統(tǒng)編號(ASN)、國家/地區(qū)、標頭值或JSON字段值的規(guī)則。但要做到這一點，您必須將項目列表直接輸入到規(guī)則表達式編輯器中，這會帶來所有相關的缺點：速度慢（您需要單獨修改每個規(guī)則）、容易出錯，有時甚至無法實現(xiàn)（考慮到自定義規(guī)則表達式4KB的限制）。

我們對客戶遇到的這些讓人頭疼的問題感同身受，所以，這種情況不會再出現(xiàn)了！現(xiàn)在，我們已擴展了自定義列表，讓您能夠創(chuàng)建主機名和ASN列表。所有Enterprise計劃中均包含新列表類型，因此您在閱讀本文后就可以開始創(chuàng)建擴展列表。

主機名稱

現(xiàn)在，您可以在帳戶中導航至配置>列表。您也可以在這里管理IP列表和瀏覽可用的托管IP列表。

創(chuàng)建列表后，您可以在任何WAF規(guī)則表達式中使用它。這一功能對帳戶級WAF用戶大有用處，因為他們可以在僅與一組主機匹配的流量上運行托管或自定義規(guī)則集。

在自定義規(guī)則集過濾器中使用主機名列表（對帳戶級WAF用戶可用）。

主機名列表對SSL for SaaS用戶大有用處，因為它們可以限制特定規(guī)則或規(guī)則集在部分主機上運行。該列表可以通過編程方式更新（通過API），以便在主機加入到帳戶時可以執(zhí)行添加或刪除主機。

關于列表需要了解的一些事項：您可以將域和子域添加到一個列表，并且一個域不會自動匹配子域。例如，如果您將example.com添加到列表中并在自定義規(guī)則中使用它來阻止流量，則來自api.example.com的請求將不會匹配這條規(guī)則。主機名列表接受使用“ ”通配符來包含子域。例如，將“ .example.com”添加到列表中將匹配“api.example.com”，但不會匹配“example.com”。最后，“example.com/path/subfolder”不是有效的條目——我們正在為此用例構建字符串列表（更多內(nèi)容見下文）。

ASN

自治系統(tǒng)(AS)是具有統(tǒng)一路由策略的大型網(wǎng)絡或網(wǎng)絡組。每一個連接到互聯(lián)網(wǎng)的設備都連接到一個AS。將AS想象為一個城鎮(zhèn)的郵局，而IP則是一個家庭的地址。ASN不像IP那樣輪換，這使得ASN在管理較大部分IP空間時成為更好的選擇。通常，每個AS由單個大型組織運營，例如互聯(lián)網(wǎng)服務提供商、大型企業(yè)技術公司或政府機構。

您可以使用自治系統(tǒng)編號列表來管理來自互聯(lián)網(wǎng)服務提供商和云提供商的流量，這些提供商可能托管生成自動流量的機器人。使用IP不太實用，因為地址范圍太廣并且變化非常頻繁。請注意，雖然ASN在這種情況下很有用，但應謹慎使用，因為阻止錯誤的ASN可能會導致大范圍的IP受到影響。

“我可以擁有多少個列表？”

每個Enterprise計劃帳戶最多可以創(chuàng)建10個自定義列表，所有列表共享總共10,000個項目。當至少購買了1個Enterprise計劃時，帳戶將被視為Enterprise帳戶。配額在所有數(shù)據(jù)類型（IP、ASN和主機名）之間共享，并且在帳戶級別定義，因此您可以在所有應用程序中使用您的列表。

例如，擁有一個（或多個）Enterprise計劃的帳戶可以擁有8個IP列表（每個列表包含1,000個項目）、一個包含1,700個條目的主機名列表，以及一個包含300個ASN的列表；此時無法再添加更多列表或項目。

Enterprise客戶可以聯(lián)系專屬客戶團隊增加配額。

目前，F(xiàn)ree、Professional和Business計劃帳戶只能訪問IP列表。

“我可以在哪里使用它們？”

下表總結(jié)了可用的自定義列表類型以及它們可用于哪些字段。自治系統(tǒng)編號和主機名列表可從基于規(guī)則集引擎構建的任何WAF產(chǎn)品訪問，包括自定義、速率限制和托管規(guī)則。

字符串：列表的未來（即將推出）

列表的下一步是超靈活的字符串類型。您將能夠?qū)⑵溆糜跇祟^、cookie、路徑、查詢、JSON正文字段、用戶代理、JA3、MIME類型等字段。對于每個條目，您將能夠指定不同的匹配運算符，例如“exact match”、“start with”、“ends with”或“contains”。

常見應用包括列出您想要阻止的所有用戶代理、列出您想要限制訪問的URL等等。

更復雜的用例包括創(chuàng)建適用于可使用cookie、API密鑰或會話ID識別的一組用戶的不同速率限制規(guī)則。字符串列表還將允許您收集已知惡意機器人的JA3指紋。

我們?nèi)栽谘芯孔址斜恚⒃谖磥韼讉€月內(nèi)發(fā)布。同時，如果您想開始使用我們以上所介紹的新增的和經(jīng)過改進的列表，您即刻就可以直接進入儀表板進行配置。