[Документация Yandex Cloud](../index.md) > [Yandex Smart Web Security](index.md) > Начало работы

# Как начать работать с Yandex Smart Web Security

Smart Web Security позволяет защитить инфраструктуру от информационных угроз на прикладном уровне L7 модели OSI. Например, [DDoS-атак](../glossary/ddos.md), ботов, SQL-инъекций. Дополнительно можно подключить защиту от DDoS-атак на уровнях L3 и L4 с помощью [Yandex DDoS Protection](../vpc/ddos-protection/index.md).

Smart Web Security — это набор инструментов для защиты инфраструктуры разного уровня сложности и масштаба. Защита заключается в очистке входящего трафика от вредоносного. Трафик проверяется правилами и условиями фильтрации в профиле безопасности. Очищенный трафик можно дополнительно обработать правилами профиля ARL, чтобы снизить нагрузку на приложение.

Профиль безопасности может содержать:

* Базовые правила — для простой фильтрации трафика по заданным условиям.
* Правила Smart Protection — для автоматической защиты от DDoS-атак при помощи алгоритмов машинного обучения и поведенческого анализа.
* Правила профиля WAF — для защиты от эксплуатации уязвимостей веб-приложения или сайта. Правила блокируют множество известных угроз, например SQL-инъекции и командные инъекции, межсайтовый скриптинг и другие. В профиль WAF можно добавить несколько наборов правил: [OWASP Core Rule Set](https://owasp.org/www-project-modsecurity-core-rule-set/) (CRS), [Yandex Ruleset](concepts/waf.md#yandex-ruleset) и [ML WAF (Yandex Malicious Score)](concepts/waf.md#yandex-ml-ruleset).
* Встроенную [Yandex SmartCaptcha](../smartcaptcha/index.md) — для проверки типа [CAPTCHA](https://ru.wikipedia.org/wiki/Капча) от ботов и спама.
* Списки фильтрации IP-адресов — для разрешения или блокировки запросов от указанных IP-адресов.

Профиль ARL содержит правила для ограничения количества запросов к защищаемому ресурсу по различным условиям.

Профиль безопасности можно подключить к разным типам ресурсов:

* [Виртуальный хост](../application-load-balancer/concepts/http-router.md#virtual-host) или [Ingress-контроллер](../application-load-balancer/tools/k8s-ingress-controller/index.md#smart-web-security) для защиты ресурсов, использующих Yandex Application Load Balancer. 
* API-шлюз [API Gateway](../api-gateway/concepts/index.md) для защиты API ваших приложений.
* [Домен](concepts/domain-protect.md) для защиты вашего сайта или веб-приложения, расположенного в Yandex Cloud, в вашей внутренней инфраструктуре или на других хостингах.

Smart Web Security позволяет создать несколько профилей безопасности и комбинировать в них различные наборы инструментов защиты.

## Порядок настройки {#steps}

* [Подготовьте облако к работе](#before-you-begin)
* [Создайте и настройте защищаемый ресурс](#resource-create)
* [Создайте и проверьте профиль безопасности](#security-profile)
* [Подключите профиль безопасности к защищаемому ресурсу](#profile-connect)
* [Посмотрите работу профиля безопасности](#monitoring)
* (Опционально) [Создайте и подключите профиль WAF](#waf)
* (Опционально) [Создайте и подключите профиль ARL](#arl)

Smart Web Security — это набор инструментов защиты, которые рекомендуется настраивать последовательно. Включайте каждое новое изменение в режиме **Только логирование** и [анализируйте логи](operations/configure-logging.md). Это облегчит отслеживание и корректировку правил.

Если не получается настроить Smart Web Security:

* Для Бизнес и Премиум [тарифов поддержки](../support/pricing.md) — обратитесь в [поддержку](https://kz.center.yandex.cloud/support).
* В других случаях обратитесь к аккаунт-менеджеру для связи со специалистами сервиса.

## Подготовьте облако к работе {#before-you-begin}

Зарегистрируйтесь в Yandex Cloud и создайте [платежный аккаунт](../billing/concepts/billing-account.md):
1. Перейдите в [консоль управления](https://console.yandex.cloud), затем войдите в Yandex Cloud или зарегистрируйтесь.
1. На странице **[Yandex Cloud Billing](https://center.yandex.cloud/billing/accounts)** убедитесь, что у вас подключен платежный аккаунт, и он находится в [статусе](../billing/concepts/billing-account-statuses.md) `ACTIVE` или `TRIAL_ACTIVE`. Если платежного аккаунта нет, [создайте его](../billing/quickstart/index.md) и [привяжите](../billing/operations/pin-cloud.md) к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать [каталог](../resource-manager/concepts/resources-hierarchy.md#folder), в котором будет работать ваша инфраструктура, на [странице облака](https://console.yandex.cloud/cloud).

[Подробнее об облаках и каталогах](../resource-manager/concepts/resources-hierarchy.md).


## Создайте и настройте защищаемый ресурс {#resource-create}

{% list tabs group=resources %}

- L7-балансировщик {#balancer}

  Application Load Balancer равномерно распределяет входящий трафик между узлами, что позволяет избежать перегрузки и повысить отказоустойчивость. Если у вас еще не настроен L7-балансировщик, вы можете развернуть [тестовую инфраструктуру](tutorials/balancer-with-sws-profile/index.md).

- API-шлюз {#api-gateway}

  API-шлюз — единая точка входа для API различных сервисов, которая позволяет управлять запросами, маршрутизацией, аутентификацией и так далее. Если у вас еще не настроен API-шлюз, вы можете развернуть шлюз с [тестовой спецификацией](../api-gateway/tutorials/api-gw-sws-integration.md).

- Домен {#domain}

  Домен — сервер, сайт, приложение, которое обрабатывает внешние запросы по веб-адресу. Для защиты домена Smart Web Security предоставляет прокси-сервер с балансировкой нагрузки, анализом и маршрутизацией запросов. А также базовой [защитой от DDoS](../vpc/ddos-protection/index.md).
  
  На прокси-сервере установлено ограничение MTU для всех пакетов — 1450 байт.

  {% note info %}
  
  Функциональность защиты доменов находится на стадии [Preview](../overview/concepts/launch-stages.md).
  
  {% endnote %}

  ### Подготовьте данные о ресурсе {#domain-info}
  
    * Адрес домена, на котором работает веб-приложение. У вас должен быть доступ к кабинету управления доменом, чтобы изменить А-запись.
    * IP-адрес сервера, порт и протокол, на котором работает веб-приложение.
    * Действительный приватный ключ и TLS-сертификат для этого домена в [PEM](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail)-encoded формате. Поддерживаются сертификаты с ключами RSA-2048 и RSA-4096.

  ### Создайте прокси-сервер {#create-proxy}

  {% note info %}
  
  Чтобы создать [прокси-сервер](concepts/domain-protect.md#proxy), пользователю должны быть [назначены](../iam/operations/roles/grant.md#cloud-or-folder) роли [`smart-web-security.admin`](security/index.md#smart-web-security-admin), [`resource-manager.admin`](../resource-manager/security/index.md#resource-manager-admin) и [`iam.serviceAccounts.admin`](../iam/security/index.md#iam-serviceAccounts-admin) на [каталог](../resource-manager/concepts/resources-hierarchy.md#folder), в котором создается прокси-сервер.
  
  {% endnote %}

  {% list tabs group=instructions %}

  - Консоль управления {#console}

    1. В [консоли управления](https://console.yandex.cloud) выберите каталог.
    1. Перейдите в сервис **Smart Web Security**.
    1. На панели слева выберите ![domain-protection-icon](../_assets/smartwebsecurity/domain-protection-icon.svg) **Защита доменов**.
    1. Нажмите кнопку **Создать прокси-сервер**.
    1. Введите произвольное имя для прокси-сервера, например, `test-proxy`.
    1. Нажмите кнопку **Создать сервер**.
    
        Для работы с прокси-сервером будет создан сервисный аккаунт с ролями `monitoring.editor`, `smart-web-security.admin`, `certificate-manager.admin`, `logging.writer`.
                
        Создание прокси-сервера может занять несколько минут. Дождитесь, когда сервер перейдет в статус `Active`. После этого можно добавить домен.

  {% endlist %}

  ### Добавьте домен {#add-domain}

  {% list tabs group=instructions %}

  - Консоль управления {#console}

    1. В меню слева перейдите на вкладку ![globe](../_assets/console-icons/globe.svg) **Домены** и нажмите кнопку **Добавить домен**.
    1. Введите адрес домена, на котором находится ваше веб-приложение, например, `example.com`.
    1. Нажмите **Продолжить**.
    1. Выберите тип соединения, которое используется в вашем приложении. Рекомендуем выбрать защищенный протокол **HTTPS**.
    1. Если вы используете сервис [Certificate Manager](../certificate-manager/index.md) и добавляли в него сертификат вашего домена, выберите его из списка. 
    1. Если вы не используете Certificate Manager, нажмите кнопку **Создать** → **Пользовательский сертификат**.
       1. Введите произвольное имя сертификата.
       1. Скопируйте или загрузите файлом приватный ключ, сертификат и цепочку промежуточных сертификатов в формате PEM.
       1. Нажмите кнопку **Создать сертификат**.
    1. Нажмите **Продолжить**.

    1. В блоке **Целевые ресурсы** задайте настройки целевых ресурсов:
       1. IP-адрес и порт, на котором работает ваше веб-приложение.
       1. (Опционально) Разверните блок **Подключение к целевым ресурсам**, чтобы выбрать протокол, на котором работает ваше веб-приложение.
    1. Нажмите кнопку **Добавить домен**.

    После создания домена откроется страница обзора параметров домена. В разделе **Как активировать защиту?** скопируйте IP-адрес прокси-сервера, он потребуется на следующем шаге.
  
  {% endlist %}

  ### Настройте вашу инфраструктуру {#infrastructure-settings}
  
  1. Добавьте ресурсную [А-запись](../dns/concepts/resource-record.md#a) в публичную DNS-зону вашего домена, указав в ней значения:
     
     * `Имя записи` — адрес вашего домена, заканчивающийся на точку. Например: `example.com.` или `my.first.example.com.`.
     * `Значение` — полученный на предыдущем шаге IPv4-адрес прокси-сервера.
     
     Эта запись перенаправляет запросы, которые поступают на ваш домен, на IP-адрес прокси-сервера.
     
     {% note info %}
     
     Если ваш домен делегирован Yandex Cloud DNS, создайте ресурсную запись по [инструкции](../dns/operations/resource-record-create.md). В остальных случаях воспользуйтесь личным кабинетом вашего регистратора доменных имен. Если нужна помощь, обратитесь к документации регистратора или в его поддержку.
     
     {% endnote %}
  1. В настройках вашего сервера запретите все соединения и разрешите только соединения для [IP-адресов Yandex Cloud](../overview/concepts/public-ips.md).
  
  ### Проверьте статус вашего ресурса {#check-status}

  {% list tabs group=instructions %}

  - Консоль управления {#console}

    1. В разделе ![domain-protection-icon](../_assets/smartwebsecurity/domain-protection-icon.svg) **Защита доменов** выберите созданный прокси-сервер.
    1. В меню слева перейдите на вкладку ![globe](../_assets/console-icons/globe.svg) **Домены** и выберите созданный домен.
    1. В блоке **Целевые ресурсы** убедитесь, что ваш ресурс находится в статусе **Доступен**.
    
        Если это не так, прокси-сервер не может соединиться с вашим ресурсом. Проверьте адрес вашего веб-сервера и настройки сети. Убедитесь, что к веб-серверу разрешен доступ с [IP-адресов Yandex Cloud](../overview/concepts/public-ips.md).
    1. На панели слева убедитесь, что ваш домен находится в статусе **Доступен**. 
        
        Если это не так, проверьте адрес домена и А-запись, а также валидность сертификата.

  {% endlist %}

{% endlist %}

## Создайте и проверьте профиль безопасности {#security-profile}

### Создайте профиль безопасности {#profile-create}

{% note info %}

Чтобы сделать вашу защиту более эффективной, мы используем информацию об HTTP-запросах для развития моделей машинного обучения (ML). Вы можете отключить использование этой информации в [консоли управления](https://console.yandex.cloud) при создании профиля безопасности или позднее в его настройках.

{% endnote %}

{% list tabs group=instructions %}

- Консоль управления {#console}

  1. В [консоли управления](https://console.yandex.cloud) выберите каталог, в котором находятся защищаемые ресурсы.
  1. Перейдите в сервис **Smart Web Security**.
  1. На панели слева выберите ![shield-check](../_assets/console-icons/shield-check.svg) **Профили безопасности**.
  1. Нажмите **Создать профиль** и выберите **По преднастроенному шаблону**.

      Преднастроенный профиль содержит:
      
      * [базовое правило](concepts/rules.md#base-rules) по умолчанию, включенное для всего трафика с [типом действия](concepts/rules.md#rule-action) `Разрешить`;
      * [правило Smart Protection](concepts/rules.md#smart-protection-rules) `sp-rule-1`, включенное для всего трафика, с типом действия `Полная защита`.

      {% note tip %}
      
      Создание преднастроенного профиля с полной защитой Smart Protection является предпочтительным. Рекомендуем использовать его, чтобы обеспечить наибольшую безопасность защищаемого ресурса.
      
      {% endnote %}

  1. Введите имя профиля, например `test-sp1`.
  1. В поле **Действие для базового правила по умолчанию** выберите `Запретить`.
  1. (Опционально) Включите или отключите использование информации об HTTP-запросах для улучшения моделей машинного обучения в разделе **Обучение ML-моделей**.
  1. Нажмите **Создать**.

{% endlist %}

Рекомендации по настройке профиля безопасности приведены в руководстве [Базовая настройка защиты в Smart Web Security](tutorials/sws-basic-protection.md).

### Проверьте настройки профиля безопасности {#profile-check}

{% list tabs group=instructions %}

- Консоль управления {#console}

  1. Выберите профиль `test-sp1`, созданный ранее.
  1. Убедитесь, что на вкладке **Правила безопасности** есть правило со следующими параметрами:

      * **Тип** — `Smart Protection`.
      * **Действие** — `Полная защита`.
      * **Условия** — `Весь трафик`.

      Это правило отправляет весь трафик, приходящий к защищаемому ресурсу, на автоматическую оценку с помощью алгоритмов машинного обучения и поведенческого анализа. По результатам автоматической оценки:

      * Легитимные запросы направляются к защищаемому ресурсу.
      * Нелегитимные запросы и атаки блокируются.
      * Подозрительные запросы направляются в SmartCaptcha для дополнительной верификации.

{% endlist %}


## Подключите профиль безопасности к ресурсу {#profile-connect}

Способ подключения зависит от типа ресурса.

{% list tabs %}
  
- L7-балансировщик {#balancer}
  
  Если балансировщик управляется [Ingress-контроллером](../application-load-balancer/tools/k8s-ingress-controller/index.md) Application Load Balancer, используйте [аннотацию ресурса Ingress](../application-load-balancer/k8s-ref/ingress.md#annot-security-profile-id).
  
  Чтобы подключить виртуальный хост:
  
  1. В [консоли управления](https://console.yandex.cloud) выберите [каталог](../resource-manager/concepts/resources-hierarchy.md#folder), в котором находится нужный [профиль безопасности](concepts/profiles.md).
    1. Перейдите в сервис **Smart Web Security**.
    1. На панели слева выберите ![shield-check](../_assets/console-icons/shield-check.svg) **Профили безопасности**.
    1. Выберите профиль безопасности, который вы хотите подключить к [виртуальному хосту](../application-load-balancer/concepts/http-router.md#virtual-host) сервиса [Yandex Application Load Balancer](../application-load-balancer/index.md).
    1. Нажмите кнопку ![plug](../_assets/console-icons/plug-connection.svg) **Подключить к хосту**.
    1. В открывшемся окне нажмите **Добавить ресурс** и выберите **Виртуальный хост**.
    1. Последовательно установите значения в полях [**Балансировщик**](../application-load-balancer/concepts/application-load-balancer.md), [**HTTP-роутер**](../application-load-balancer/concepts/http-router.md) и [**Виртуальный хост**](../application-load-balancer/concepts/http-router.md#virtual-host). Вы можете подключить профиль безопасности сразу к нескольким хостам.
  
        Чтобы подключить профиль к еще одному L7-балансировщику, нажмите кнопку **Добавить ресурс** и выберите **Виртуальный хост**.
      
    1. Нажмите кнопку **Подключить**. Если выбранные хосты уже подключены к другому профилю безопасности, подтвердите подключение.
  
        В разделе ![cubes-3-overlap](../_assets/console-icons/cubes-3-overlap.svg) **Подключенные ресурсы** появятся подключенные виртуальные хосты.
  
- API-шлюз {#api-gateway}
    
  Чтобы подключить API-шлюз:
  
  1. В [консоли управления](https://console.yandex.cloud) выберите [каталог](../resource-manager/concepts/resources-hierarchy.md#folder), в котором находится нужный [профиль безопасности](concepts/profiles.md).
    1. На панели слева выберите ![shield-check](../_assets/console-icons/shield-check.svg) **Профили безопасности**.
    1. Выберите профиль безопасности, который вы хотите подключить к API-шлюзу.
    1. Нажмите кнопку ![plug](../_assets/console-icons/plug-connection.svg) **Подключить к хосту**.
    1. В открывшемся окне нажмите **Добавить ресурс** и выберите **API-шлюз**.
    1. Установите значение в поле **API-шлюз**.
    1. Нажмите кнопку **Подключить**.
  
        В разделе ![cubes-3-overlap](../_assets/console-icons/cubes-3-overlap.svg) **Подключенные ресурсы** появятся подключенные API-шлюзы.
  
- Домен {#domain}
  
  Чтобы подключить домен:
  
  1. В [консоли управления](https://console.yandex.cloud) выберите [каталог](../resource-manager/concepts/resources-hierarchy.md#folder), в котором находится нужный [профиль безопасности](concepts/profiles.md).
    1. На панели слева выберите ![shield-check](../_assets/console-icons/shield-check.svg) **Профили безопасности**.
    1. Выберите профиль безопасности, который вы хотите подключить к домену.
    1. Нажмите кнопку ![plug](../_assets/console-icons/plug-connection.svg) **Подключить к хосту**.
    1. В открывшемся окне нажмите **Добавить ресурс** и выберите **Домен**.
    1. Последовательно установите значения в полях **Прокси-сервер** и **Домен**. Вы можете подключить профиль безопасности сразу к нескольким доменам.
    1. Нажмите кнопку **Подключить**.
  
        В разделе ![cubes-3-overlap](../_assets/console-icons/cubes-3-overlap.svg) **Подключенные ресурсы** появятся подключенные домены.

{% endlist %}


## Посмотрите работу профиля безопасности {#monitoring}

{% list tabs group=instructions %}

- Консоль управления {#console}

  1. На странице сервиса **Smart Web Security** на панели слева выберите раздел ![display-pulse](../_assets/console-icons/display-pulse.svg) **Мониторинг**.
  1. Посмотрите [графики](operations/monitoring.md) разрешенных и заблокированных запросов.

{% endlist %}

## Создайте и подключите профиль WAF {#waf}

WAF позволяет использовать наборы правил для защиты веб-приложений от множества информационных атак. Рекомендуется настраивать профиль WAF после того, как будут настроены и протестированы базовые правила и Smart Protection в профиле безопасности.

### Создайте профиль WAF {#waf-create}

{% list tabs group=instructions %}

- Консоль управления {#console}

  1. В [консоли управления](https://console.yandex.cloud) выберите каталог, в котором вы хотите создать профиль WAF.
  1. Перейдите в сервис **Smart Web Security**.
  1. Перейдите на вкладку ![image](../_assets/smartwebsecurity/waf.svg) **Профили WAF** и нажмите **Создать профиль WAF**.
  1. Введите имя профиля, например `test-waf-profile-1`.
  1. Включите набор правил, например [OWASP Core Rule Set](https://coreruleset.org/), и последнюю версию набора. Чтобы посмотреть правила в наборе, нажмите на строку с его описанием.
  1. Нажмите **Создать**.

{% endlist %}


### Настройте набор правил {#waf-configure-rules}

{% list tabs group=instructions %}

- Консоль управления {#console}

  1. На открывшейся обзорной странице профиля WAF напротив нужного набора нажмите кнопку ![image](../_assets/console-icons/gear.svg) **Настроить**.
  1. Установите **Порог аномальности** — суммарную [аномальность](concepts/waf.md#anomaly) сработавших правил, при которой запрос будет заблокирован, например `Умеренный — 25 и выше`.

      Рекомендуется начинать с порога аномальности `25` и постепенно снижать его до `5`. Чтобы снизить порог аномальности, отработайте ложные срабатывания WAF на легитимные запросы. Для этого подберите правила из базового набора и настройте [правила-исключения](#create-exclusion). Также для тестирования разных порогов аномальности используйте в профиле безопасности режим **Только логирование (dry-run)**.

  1. Установите **Уровень паранойи**, например `Только 1`.

      [Уровень паранойи](concepts/waf.md#paranoia) классифицирует правила по степени агрессивности. Чем выше уровень паранойи, тем лучше уровень защиты, но и больше вероятность ложных срабатываний WAF.

  1. Проверьте включенные в набор правила, при необходимости включите дополнительные или уберите ненужные. При работе с правилами обращайте внимание на значение их аномальности и уровень паранойи.

  Любое правило из набора можно сделать блокирующим. Запрос, соответствующий таком правилу, будет заблокирован независимо от установленного порога аномальности. Чтобы сделать правило блокирующим, нажмите ![image](../_assets/console-icons/ban.svg) справа от него. Если в профиле безопасности включен режим **Только логирование (dry-run)**, запросы не будут заблокированы, даже если они соответствуют блокирующим правилам.

{% endlist %}


### Создайте правило-исключение {#create-exclusion}

{% list tabs group=instructions %}

- Консоль управления {#console}

  1. Перейдите на вкладку ![image](../_assets/console-icons/file-xmark.svg) **Правила-исключения** и нажмите **Создать правило-исключение**.
  1. Введите имя [правила-исключения](concepts/waf.md#exclusion-rules), например `exception-rule-1`.
  1. В блоке **Область применения** укажите правила из базового набора, для которых будет срабатывать исключение. Вы можете выбрать `Все правила` или указать конкретные.
  1. В блоке **Условия на трафик** выберите [условия](concepts/conditions.md) для срабатывания правила-исключения.

      Если оставить поле **Условия** пустым, правило-исключение будет применено ко всему трафику.

  1. Нажмите **Создать**.

{% endlist %}


### Подключите профиль WAF к профилю безопасности {#waf-connect}

{% list tabs group=instructions %}

- Консоль управления {#console}

  1. Перейдите на вкладку ![image](../_assets/console-icons/shield-check.svg) **Профили безопасности**.
  1. В списке выберите профиль безопасности, к которому вы хотите подключить профиль WAF, например `test-sp1`.
  1. Нажмите ![plus-sign](../_assets/console-icons/plus.svg) **Добавить правило**.
  1. Введите имя правила, например `waf-rule-1`.
  1. В поле **Приоритет** задайте значение выше, чем у правил Smart Protection, уже имеющихся в профиле безопасности, например `888800`.
  1. (Опционально) Чтобы протестировать профиль WAF и отработать ложные срабатывания на легитимные запросы, используйте в профиле безопасности режим **Только логирование (dry-run)**.
  1. В поле **Тип правила** выберите `Web Application Firewall`.
  1. В поле **Профиль WAF** выберите `test-waf-profile-1`, созданный ранее.
  1. В поле **Действие** выберите `Полная защита`.
  1. При необходимости задайте [условия](concepts/conditions.md) для сопоставления трафика.
  1. Нажмите **Добавить**.

{% endlist %}


## Создайте и подключите профиль ARL {#arl}

ARL позволяет устанавливать лимиты на количество запросов к защищаемому ресурсу, чтобы избежать чрезмерной нагрузки.

### Создайте профиль ARL {#arl-create}

{% list tabs group=instructions %}

- Консоль управления {#console}

  1. В [консоли управления](https://console.yandex.cloud) выберите каталог, в котором вы хотите создать профиль ARL.
  1. Перейдите в сервис **Smart Web Security**.
  1. Перейдите на вкладку ![image](../_assets/smartwebsecurity/arl.svg) **Профили ARL** и нажмите **Создать профиль ARL**.
  1. Введите имя профиля, например `test-arl-profile-1`.
  1. При необходимости добавьте описание профиля и метки.
  1. Нажмите **Создать**.

{% endlist %}


### Настройте правила {#arl-configure-rules}

{% list tabs group=instructions %}

- Консоль управления {#console}

  1. На открывшейся обзорной странице профиля ARL нажмите **Добавить правило**.
  1. Введите имя правила, например `arl-rule-1`.
  1. В поле **Приоритет** задайте приоритет выполнения правила в рамках профиля ARL, например `1000`.
  1. (Опционально) Чтобы протестировать правило ARL, включите режим **Только логирование (Dry run)**. В этом режиме запросы блокироваться не будут.
  1. В блоке **Условия на трафик** выберите `Весь трафик` или `При условии`.
  1. Чтобы задать [условия на трафик](concepts/conditions.md), в списке **Условия** выберите один или несколько пунктов:

      * `IP` — IP-адрес, диапазон адресов, регион IP-адресов или [список адресов](concepts/lists.md);
      * `HTTP header` — строка в заголовке HTTP;
      * `Host` — домен, на который пришел запрос;
      * `HTTP method` — метод запроса;
      * `Cookie` — строка в заголовке cookie.

  1. В блоке **Подсчет запросов** выберите, как считать запросы для применения лимита:

      * `Без группировки` — подсчет каждого запроса в отдельности;
      * `По характеристикам` — подсчет количества групп запросов, объединенных одной или несколькими характеристиками.

      1. Выберите характеристику для группировки:

          * `Request path` — путь запроса;
          * `HTTP method` — метод запроса;
          * `IP адрес` — IP-адрес, с которого пришел запрос;
          * `Регион` — регион, которому принадлежат IP-адреса запросов;
          * `Host` — домен, на который пришел запрос;
          * `HTTP cookie` — строка в заголовке cookie;
          * `HTTP header` — строка в заголовке HTTP;
          * `Query params` — строка в параметрах запроса.

      1. (Опционально) Включите опцию **Учитывать регистр**, чтобы характеристики с одинаковыми значениями, но в разном регистре попадали в разные группы.

  1. Укажите лимит запросов и выберите промежуток времени, например `1000` запросов за `1` минуту.
  
  1. В блоке **При превышении лимита запросов** выберите действие:
     
     * **Блокировать запросы свыше лимита** (доступно без группировки запросов) — заблокировать все запросы, которые поступят в период, заданный в лимите запросов.
     * **Временно блокировать все запросы** (доступно при группировке запросов) и укажите период времени, в течение которого запросы будут блокироваться.
     * **Показать капчу для запросов свыше лимита** — отправлять на капчу все запросы, которые поступят в период, заданный в лимите запросов. Капчу можно настроить в [профиле безопасности](operations/profile-create.md), к которому подключен профиль ARL.
  
  1. Нажмите **Сохранить правило**.

{% endlist %}


### Подключите профиль ARL к профилю безопасности {#arl-connect}

{% list tabs group=instructions %}

- Консоль управления {#console}

  1. Перейдите на вкладку ![image](../_assets/console-icons/shield-check.svg) **Профили безопасности**.
  1. В списке выберите профиль безопасности, к которому вы хотите подключить профиль ARL, например `test-sp1`.
  1. Нажмите ![image](../_assets/console-icons/pencil.svg) **Редактировать**.
  1. В списке **Профиль ARL** выберите `test-arl-profile-1`, созданный ранее.
  1. Нажмите **Сохранить**.

{% endlist %}


#### Полезные ссылки {#see-also}

* [Создать профиль безопасности](operations/profile-create.md)
* [Базовая настройка защиты в Smart Web Security](tutorials/sws-basic-protection.md)