CC 防护策略可防止您的服务器资源被过度占用,确保正常访问业务不受影响。支持通过自定义和智能防护两种模式提供防护服务。
背景信息 CC 自定义防护:支持基于业务情况,灵活自定义白流量请求特征。可根据网络访问 IP、Session 等各种 HTTP 请求对象进行请求限制,缓解 CC 攻击对服务器的影响。 CC 智能防护(仅面向高级版及以上版本开放):WAF 通过自主业务流量基线学习形成资产画像,为资产输出定制化智能防护策略,同时持续分析流量基线,根据业务情况动态调整防护策略。开启 CC 智能防护功能后,WAF 将在监控到请求流量后启动业务流量基线学习。初次学习周期约为 7 天,完成学习后将推送、启用智能防护规则,并持续更新规则。 两种防护模式同时开启的情况下,系统先匹配自定义防护规则,再根据智能防护策略动态调整。
前提条件 您已将需要防护的网站接入 WAF 实例。
配置自定义 CC 防护策略 自定义 CC 防护策略是基于请求路径,结合自定义统计对象在一定时间内的访问次数,对访问请求执行对应动作。
操作步骤 登录Web应用防火墙控制台 。
在顶部菜单栏选择实例所属地域。
在左侧导航选择防护策略>CC防护 。
开启待防护域名的 CC 防护功能。
在页面上方选择需要添加 CC 防护策略的域名。 开启 CC 自定义防护开关。 单击添加规则 ,配置 CC 防护规则参数。
参数
说明
规则名称
防护规则名称。支持英文、汉字和数字,不支持特殊字符,最多不超过 20 个字符。
请求路径
填写需要匹配 CC 规则的网站路径,可以是具体的某个页面 URL,也可以针对整个网站。
某个具体的 URL 地址,例如需要放行test.com/test.html
,则填写 /test.html
。 针对整个网站,则填写/
即可。 支持填写通配符*
,仅可出现一次,例如/test/*
。 高级条件
条件关系:指添加的多条高级条件关系,当前支持 AND 和 OR。 匹配字段:选择匹配字段,目前支持请求协议、请求 uri、请求方法、请求路径、请求参数、请求头等字段。 逻辑符:选择逻辑符,目前支持大于、大于等于、等于、小于、小于等于、不等于等逻辑关系。 匹配内容:填写该条规则需要匹配的具体内容。 操作:支持删除单条高级条件规则。 统计对象
选择需要进行规则匹配的统计对象并填写配置信息。支持自定义 header、自定义 cookie、自定义参数及源 IP 四种类型。
说明
如需将 cookie 中的字段作为统计对象,需要选择自定义 cookie
并配置字段信息。暂不支持将 cookie 整段作为统计对象。
自定义 header:填写 header,每个单词的首字母都需要大写,如 User-Agent
,Cookie
,X-Forwarded-For
。 自定义 cookie:支持填写英文、数字,-
和_
。 自定义参数:支持填写英文、数字,-
和_
。 源 IP:以单个访问 IP 为统计对象。 统计时长
请求发生的统计时间周期。
阈值设置
阈值包含每对象在统计时长内发起请求的次数,及对每个请求路径发起请求的次数。统计对象发起请求的次数超过设定阈值时,系统会根据预设的执行动作处理该统计对象的请求。您可以设置生效周期为永久生效或者为周期循环生效。
永久生效:全天持续统计访问次数。 周期循环生效:设置需要生效的时间,如每个工作日的早上 8 点至晚上 8 点,统计访问次数,其余时间不统计。 执行动作
拦截:若请求触发了防护规则,对该请求进行拦截,拦截时长为限制时长。 告警:若请求触发了防护规则,对该请求进行站内信告警,并记录日志上报到日志管理模块。 限速:对来自指定统计对象的请求进行访问速率限制。限制在统计时长内,每对象访问次数和总路径访问次数不能超过设定的阈值,超过之后的请求将被直接拦截。说明
例如设定在统计时长 60 秒内,每源 IP 访问次数上限为 1000 次,且访问总次数为 10000 次时执行限速动作。则在 60 秒内,某个源 IP 访问达到 1000 次且该路径总访问次数达到 10000 次后,后续所有请求将被拦截。 为避免影响您的业务,请谨慎设置限速条件。 人机验证:若请求触发了防护规则,通过验证码进行人机验证,防止误封。 JS 挑战:若请求触发了防护规则,通过 JS-SDK 验证客户端 JavaScript 执行能力,如果验证通过则在指定时间内放行。 限制时长
执行动作的生效时长。当执行动作为限速、拦截、人机验证或 JS 挑战时需要设置。
优先级
规则匹配的优先级,P0 优先级最高,P9 优先级最低。同一请求特征下的 CC 防护规则优先级不可重复。
规则开关
开启或关闭当前规则,默认为开启状态。
单击确定 ,完成规则配置。
配置结果 规则添加完成后,您可以在列表查看规则的配置信息,并进行规则优先级调整、快速添加等操作。
规则生效逻辑 配置 CC 规则后,当请求发生时,DDoS 高防将按照以下逻辑匹配规则。
访问请求先匹配访问路径。
在路径匹配原则上,遵循精确匹配和最长匹配原则,即请求访问路径同时匹配精确路径和通配路径时,优先命中精确路径。例如:同时存在关于/test.html
和/test.*
的路径匹配规则,优先匹配/test.html
相关的规则设置。 对于命中配置路径的请求,再匹配其请求特征。 最后匹配统计特征,命中规则的请求将执行预先配置的处置动作。
规则组分级 一级规则组:CC 规则按照请求路径进行分组,即具有相同请求路径的 CC 规则属于同一个一级规则组。 二级规则组:在同一个一级规则组下,按照请求特征的高级条件区分二级规则组。即具有相同请求路径和请求特征的 CC 规则属于同一个二级规则组。在同一个二级规则组中,规则的优先级不能重复。
调整优先级 您可以通过拖拽顺序调整图标来调整规则的生效优先级。
拖拽下图①所示位置,可调整同一请求路径条件下的二级规则组优先级。配置了高级条件的规则的优先级始终高于未配置高级条件(即请求特征为All
)的规则的优先级。 拖拽下图②所示位置,可调整二级规则组下单条规则的优先级。
快速添加规则 单击下图③所示位置,可快速添加满足相同请求路径的 CC 规则。您可以自定义除请求路径外的其他参数。 单击下图④所示位置,可快速添加满足相同请求特征(即请求路径和高级条件配置都相同)的 CC 规则。您可以自定义除请求特征外的其他参数。
配置指引 假设您的预期场景如下:对于域名下/test.html
的路径,当同一源 IP 在 60 秒内访问该路径超 500 次且路径被访问总次数超 600 次时,执行拦截动作,并限制访问 60 秒;在 60 秒内访问超 50 次且路径被访问总次数超 60 次时,执行告警动作。则需要基于该访问路径配置两条 CC 防护规则,参考配置如下。
规则一
规则二
规则名称
自定义
自定义
请求路径
/test.html
/test.html
统计对象
源 IP
源 IP
阈值设置
每对象访问超 500 次,且请求路径访问超 600 次。
每对象访问超 50 次,且请求路径访问超 60 次。
统计时长
60 秒
60 秒
执行动作
拦截
告警
限制时长
60 秒
-
优先级
P0
P1
开启 CC 智能防护策略 CC 智能防护策略当前仅面向高级版及以上版本开放。
操作步骤 登录Web应用防火墙控制台 。 在顶部菜单栏选择实例所属地域。 在左侧导航选择防护策略>CC防护 。 开启待防护域名的 CC 防护功能。
在页面上方选择需要添加 CC 防护策略的域名。 开启 CC 智能防护开关。
启用说明 系统会在开启智能防护功能并发现流量后,每 2 个小时更新一次资产画像,并在 T+7 日的上午 10 点推送智能防护规则。
防护模式 托管模式:设置不同严格程度的模式后,系统基于业务基线学习结果自动推送对应范围的智能防护规则。 紧急模式:系统自动基于业务基线学习结果即时下发智能防护规则,快速缓解源站异常,适用于需要快速响应,防护等级较高的业务。但该模式存在误报风险,即您的正常业务访问可能会被拦截,建议设置合适的防护阈值区间。
处置动作 智能托管:根据学习结果自动推荐处置动作。 仅观察:仅观察对应请求,不会限制。