Связаться с намиПодключиться

Правила

Статья создана
Обновлена 3 декабря 2025 г.

Правила позволяют группировать условия отбора HTTP-запросов с действиями, которые будут выполнятся с этими запросами, а также ранжировать приоритет выполнения правил между собой.

Приоритет правила выставляется с помощью числового параметра от 1 до 1000000.

Примечание

Чем меньше значение параметра, тем больший приоритет у правила. Приоритеты преднастроенных правил:

  • базовое правило по умолчанию — 1000000;
  • правило Smart Protection с полной защитой — 999900.

Также вы можете фиксировать информацию о трафике, который соответствует заданным условиям, но не применять к нему никаких действий.

В сервисе предусмотрены следующие типы правил:

Подробнее см. Управление правилами.

Базовые правила

Базовое правило — правило, которое по заданным условиям разрешает, запрещает или направляет трафик в Yandex SmartCaptcha. Применяется для простой фильтрации трафика по определенным параметрам.

В каждом профиле безопасности предусмотрено базовое правило по умолчанию с самым низким приоритетом (1000000), с помощью которого разрешается или запрещается весь трафик.

Примечание

Если для базового правила по умолчанию установлено действие Запретить и запросы отправляются на проверку в SmartCaptcha, добавьте базовое правило, разрешающее запросы к капче. Адрес разрешенного запроса соответствует регулярному выражению: /tmgrdfrend.*. Установите для правила приоритет выше, чем у правил, которые отправляют запросы на капчу.

Правила Smart Protection

Smart Protection — правило, которое отправляет трафик по заданным условиям на автоматический анализ с помощью алгоритмов машинного обучения и поведенческого анализа. В зависимости от выбранного действия подозрительные запросы отправляются в SmartCaptcha для дополнительной верификации или блокируются.

Правила Web Application Firewall

Правила Web Application Firewall задействуют профиль WAF для анализа трафика на соответствие наборам базовых правил WAF. В зависимости от выбранного действия подозрительные запросы отправляются в SmartCaptcha для дополнительной верификации или блокируются.

Для проверки запросов, соответствующих правилам Smart Protection и Web Application Firewall, вы можете использовать следующие варианты капчи SmartCaptcha:

  • По умолчанию — контролируется на стороне Yandex Cloud, параметры капчи:

    Плата за использование капчи По умолчанию включена в стоимость Smart Web Security.

  • Собственная капча — вы можете настроить сложность, типы основного и дополнительного заданий, а также внешний вид капчи.

    Примечание

    Чтобы использовать собственную капчу, выберите в ее настройках опцию Отключить проверку домена.

    Плата за использование собственной капчи взимается в соответствии с тарификацией SmartCaptcha.

Правила Advanced Rate Limiter

Правило Advanced Rate Limiter вычисляет количество запросов, пришедших за определенный промежуток времени. Запросы считаются после того, как они были разрешены правилами Smart Protection и Web Application Firewall. Поэтому для правил ARL действует свой приоритет, который не зависит от приоритета других правил.

Правила ARL позволяют задать лимиты на весь трафик или на его сегменты.

В отличие от правил Smart Protection и WAF, правила ARL задаются в профиле ARL.

Действие правил

Действия для базовых правил:

  • Запретить трафик, параметры которого соответствуют условиям.
  • Разрешить трафик, параметры которого соответствуют условиям.

Действия для правил Smart Protection и Web Application Firewall:

  • Полная защита — трафик проверяется на основе ML-моделей и поведенческого анализа. Подозрительные запросы отправляются в SmartCaptcha.

    Важно

    Для корректной работы вашего приложения обрабатывайте HTTP-запросы с динамической загрузкой контента в режиме Защита API.

  • Защита API используется для эндпоинтов:

    • мобильных приложений;
    • на которые совершаются автоматизированные вызовы;
    • на которых обрабатываются запросы с динамической загрузкой контента (например, ajax, xhr, iframe и так далее).

    Трафик проверяется на основе ML-моделей и поведенческого анализа. Запросы не отправляются в SmartCaptcha, что позволяет совершать легитимные API-вызовы к защищаемым ресурсам. Специальные политики DDoS-защиты блокируют только явные попытки атак. Если запрос в режиме полной защиты был перенаправлен на капчу, то для API он может быть пропущен к защищенному ресурсу.

Действия для правил Advanced Rate Limiter:

  • Блокировать запросы свыше лимита — когда количество запросов превысит заданный лимит за определенное время, остальные запросы будут блокироваться до окончания периода лимита. Клиент, отправивший запрос, получит ошибку 429.

  • Временно блокировать все запросы — когда количество запросов превысит заданный лимит за определенное время, остальные запросы будут блокироваться на фиксированный период времени, а не до конца периода лимита. Клиент, отправивший запрос, получит ошибку 429. Период блокировки можно указать от 1 секунды до 60 минут.

  • Отправлять на капчу запросы свыше лимита — когда количество запросов превысит заданный лимит за определенное время, остальные запросы будут направляться в SmartCaptcha.

    Запросы, поступившие после достижения лимита, будут отправлены на капчу. Капча настраивается через профиль безопасности, к которому подключен профиль ARL. Это действие помогает отделять легитимных пользователей от ботов. При этом запросы не будут заблокированы полностью, и доступность приложения сохранится.

    Важно

    Не используйте капчу для HTTP-запросов с динамической загрузкой контента (ajax, xhr, iframe) и запросов к мобильным приложениям.

Запросы, которые были разрешены всеми правилами и пропущены к защищаемому ресурсу, называются легитимными.

Предыдущая
ARL (лимит на запросы)
Следующая
Условия