最近更新时间:2023.11.30 16:48:03
首次发布时间:2021.10.15 18:40:46
CC 防护策略可根据网络访问 IP、Session 等各种 HTTP 请求对象进行请求限制,当满足设定的统计条件后,对其访问执行防护动作,以防止服务器资源被过度占用,确保正常访问业务不受影响。
您已将需要防护的网站接入 WAF 实例。
登录Web应用防火墙控制台。
在顶部菜单栏选择实例所属地域。
在左侧导航选择防护策略>CC防护。
开启待防护域名的 CC 防护功能。
单击添加规则,配置 CC 防护规则参数。
参数 | 说明 |
---|---|
规则名称 | 防护规则名称。支持英文、汉字和数字,不支持特殊字符,最多不超过 20 个字符。 |
请求路径 | 填写需要匹配 CC 规则的网站路径,可以是具体的某个页面 URL,也可以针对整个网站。
|
高级条件 |
|
统计对象 | 选择需要进行规则匹配的统计对象并填写配置信息。支持自定义 header、自定义 cookie、自定义参数及源 IP 四种类型。 说明 如需将 cookie 中的字段作为统计对象,需要选择
|
阈值设置 | 阈值包含每对象在统计时长内发起请求的次数,及对每 URL 发起请求的次数。统计对象发起请求的次数超过设定阈值时,系统会根据预设的执行动作处理该统计对象的请求。 |
统计时长 | 请求发生的统计时间周期。 |
执行动作 |
|
限制时长 | 执行动作的生效时长。当执行动作为限速、人机验证或拦截时需要设置。 |
优先级 | 规则匹配的优先级,P0 优先级最高,P9 优先级最低。同一请求特征下的 CC 防护规则优先级不可重复。 |
规则开关 | 开启或关闭当前规则。 |
单击确定,完成规则配置。
配置 CC 规则后,当请求发生时,WAF 将按照以下逻辑匹配规则。
访问请求先匹配访问路径。在路径匹配原则上,遵循精确匹配和最长匹配原则,即请求访问路径同时匹配精确路径和通配路径时,优先命中精确路径。例如:同时存在关于/test.html
和/test.*
的路径匹配规则,优先匹配/test.html
相关的规则设置。
对于命中配置路径的请求,再匹配其请求特征。
最后匹配统计特征,命中规则的请求将执行预先配置的处置动作。
规则列表参数说明如下。
匹配范围 | 参数 | 说明 |
---|---|---|
请求路径列表(如上图①) | 请求路径 | 添加防护规则时设置的请求路径信息,请求路径相同的规则会列于同一组。 |
规则数 | 请求路径对应的规则下,已经开启的规则数量和总规则数量。例如 | |
操作 | 单击快速添加可添加一条关联该请求路径的 CC 防护规则。 | |
请求特征列表(如上图②和③) | 优先级 | 添加防护规则时设置的优先级,支持手动拖拽调整优先级顺序。 |
规则 ID | 添加防护规则时 WAF 自动生成的规则 ID 信息。 | |
规则名称 | 添加防护规则时设置的规则名称。 | |
统计条件 | 添加防护规则时设置的统计条件。 | |
执行动作 | 添加防护规则时选择的动作,告警、限速、人机验证或者拦截。 | |
规则开关 | 该规则当前的启用状态,支持在当前页面修改。 | |
操作 |
|
假设您的预期场景如下:对于域名下/test.html
的路径,当同一源 IP 在 60 秒内访问该路径超 500 次且路径被访问总次数超 600 次时,执行拦截动作,并限制访问 60 秒;在 60 秒内访问超 50 次且路径被访问总次数超 60 次时,执行告警动作。则需要基于该访问路径配置两条 CC 防护规则,参考配置如下。
规则一 | 规则二 | |
---|---|---|
规则名称 | 自定义 | 自定义 |
请求路径 |
|
|
统计对象 | 源 IP | 源 IP |
阈值设置 | 每对象访问超 500 次,且请求路径访问超 600 次。 | 每对象访问超 50 次,且请求路径访问超 60 次。 |
统计时长 | 60 秒 | 60 秒 |
执行动作 | 拦截 | 告警 |
限制时长 | 60 秒 | |
优先级 | P0 | P1 |