文档反馈
问问助手CC 防护面向应用层的高并发与高频访问,通过路径与请求特征匹配、统计对象与时窗阈值控制,在达到阈值时执行观察、拦截、限速、人机验证或 JS 挑战等动作。本文旨在帮助您清晰地理解多条 CC 防护规则并存时,Web 应用防火墙是如何决定哪条规则先生效的。
匹配顺序
WAF 按照防护域名 > 请求路径 > 请求特征 > 统计条件的顺序逐级匹配 CC 防护规则,只有当前级别的条件匹配成功,才会继续匹配下一级别的规则。
以下是每个配置模块的说明及内部的优先级顺序:
防护域名
指定需要防护的域名,支持选择添加的精确域名或泛域名。
优先级
精确域名 > 泛域名
示例
假设您有两条规则:
- 规则 A: 防护域名为
www.example.com(精确域名) - 规则 B: 防护域名为
*.example.com(泛域名)
当一个访问 www.example.com 的请求到达时,WAF 会优先匹配规则 A。只有当规则 A 的后续条件(如路径、特征)不满足时,才会尝试去匹配规则 B。
请求路径
指定访问目标的 URL 路径,支持输入精确路径或使用通配符*匹配任意路径。WAF 对同一域名下的不同 CC 防护规则按照请求路径区分不同分组,即具有相同请求路径的 CC 规则属于同一个一级规则组。
优先级
精确路径 > 通配符路径
示例
针对域名 www.example.com,您配置了两条规则:
- 规则 A: 请求路径为
/login.php(精确路径) - 规则 B: 请求路径为
/login/*(通配符路径)
当一个访问 www.example.com/login.php 的请求到达时,WAF 会优先匹配规则 A。如果规则 A 后续条件不满足,才会继续尝试匹配规则 B。
请求特征
用于设定更精细的匹配条件,例如请求协议、请求方法、请求头、请求参数、请求体、请求 Cookie、请求 User-Agent 等。您可以根据不同的请求特征设置多条规则。在同一个一级规则组下,WAF 按照请求特征区分二级规则组。即具有相同请求路径和请求特征的 CC 规则属于同一个二级规则组。
优先级
- 配置了具体特征的规则 > 未配置特征的规则 (ALL):系统会优先匹配那些设定了明确请求特征的规则。
- 支持手动调整:您可以手动拖拽调整特征规则组的检测顺序,顺序越靠前,优先级越高。默认情况下,先创建的规则组优先级更高。
示例
以上图为例,针对路径 /path/to/resource,您设置的请求特征组自上而下分别为:
请求特征 | 规则名称 |
|---|---|
| cc1 |
| cc2 |
| cc3 |
| cc |
- 此时默认优先级从高到低依次为:cc1 > cc2 > c3 > cc
- 如果手动拖拽
客户端 IP 等于 1.1.1.1所在特征组至列表最前,则优先级从高到低依次为:cc3 > cc1 > cc2 > cc
统计条件
指定统计对象、统计时长和阈值,用于衡量统计对象的访问频率和并发量,以判断是否触发防护动作。 其优先级说明如下:
- 支持手动调整:在同一个请求特征组中,您可以添加多条统计条件不同的规则。这些规则之间同样存在优先级。您可以通过拖拽方式来调整顺序,决定哪一条规则被优先判断。默认情况下,先创建的规则优先级更高。
- 优先级编号:系统会为每条统计条件规则分配一个优先级编号(范围为 P0-P9),编号不可重复,用于精确控制其顺序。
总结
您快速理解和查阅,我们将整个匹配逻辑总结如下表:
匹配层级 | 匹配内容 | 内部优先级规则 |
|---|---|---|
第一级 | 防护域名 | 精确域名 > 泛域名 |
第二级 | 请求路径 | 精确路径 > 通配符路径 |
第三级 | 请求特征 | 具体特征 > 未配置特征 (ALL);同级可手动调整顺序 |
第四级 | 统计条件 | 同一特征下可配置多条,顺序可手动调整 |