You need to enable JavaScript to run this app.
导航
Web应用防火墙
  • 文档首页
    • /
  • Web应用防火墙

配置 CC 防护策略

最近更新时间2023.11.30 16:48:03

首次发布时间2021.10.15 18:40:46

我的收藏

CC 防护策略可根据网络访问 IP、Session 等各种 HTTP 请求对象进行请求限制,当满足设定的统计条件后,对其访问执行防护动作,以防止服务器资源被过度占用,确保正常访问业务不受影响。

前提条件

您已将需要防护的网站接入 WAF 实例。

操作步骤

  1. 登录Web应用防火墙控制台

  2. 在顶部菜单栏选择实例所属地域。

  3. 在左侧导航选择防护策略>CC防护

  4. 开启待防护域名的 CC 防护功能。

    1. 在页面上方选择需要添加 CC 防护策略的域名。
    2. 开启策略启用开关。
      图片

  5. 单击添加规则,配置 CC 防护规则参数。

    参数

    说明

    规则名称

    防护规则名称。支持英文、汉字和数字,不支持特殊字符,最多不超过 20 个字符。

    请求路径

    填写需要匹配 CC 规则的网站路径,可以是具体的某个页面 URL,也可以针对整个网站。

    • 某个具体的 URL 地址,例如需要放行test.com/test.html,则填写 /test.html
    • 针对整个网站,则填写/即可。
    • 支持填写通配符*,仅可出现一次,例如/test/*

    高级条件

    • 条件关系:指添加的多条高级条件关系,当前支持 AND 和 OR。
    • 匹配字段:选择匹配字段,目前支持请求协议、请求 uri、请求方法、请求路径、请求参数、请求头等字段。
    • 逻辑符:选择逻辑符,目前支持大于、大于等于、等于、小于、小于等于、不等于等逻辑关系。
    • 匹配内容:填写该条规则需要匹配的具体内容。
    • 操作:支持删除单条高级条件规则。

    统计对象

    选择需要进行规则匹配的统计对象并填写配置信息。支持自定义 header、自定义 cookie、自定义参数及源 IP 四种类型。

    说明

    如需将 cookie 中的字段作为统计对象,需要选择自定义 cookie并配置字段信息。暂不支持将 cookie 整段作为统计对象。

    • 自定义 header:填写 header,每个单词的首字母都需要大写,如 User-AgentCookieX-Forwarded-For
    • 自定义 cookie:支持填写英文、数字,-_
    • 自定义参数:支持填写英文、数字,-_
    • 源 IP:以单个访问 IP 为统计对象。

    阈值设置

    阈值包含每对象在统计时长内发起请求的次数,及对每 URL 发起请求的次数。统计对象发起请求的次数超过设定阈值时,系统会根据预设的执行动作处理该统计对象的请求。

    统计时长

    请求发生的统计时间周期。

    执行动作

    • 拦截:若请求触发了防护规则,对该请求进行拦截,拦截时长为限制时长。
    • 告警:若请求触发了防护规则,对该请求进行站内信告警,并记录日志上报到日志管理模块。
    • 限速:若请求触发了防护规则,对该请求进行访问速率限制。
    • 人机验证:若请求触发了防护规则,通过验证码进行人机验证,防止误封。

    限制时长

    执行动作的生效时长。当执行动作为限速、人机验证或拦截时需要设置。

    优先级

    规则匹配的优先级,P0 优先级最高,P9 优先级最低。同一请求特征下的 CC 防护规则优先级不可重复。

    规则开关

    开启或关闭当前规则。

  6. 单击确定,完成规则配置。

配置结果

配置 CC 规则后,当请求发生时,WAF 将按照以下逻辑匹配规则。

  1. 访问请求先匹配访问路径。在路径匹配原则上,遵循精确匹配和最长匹配原则,即请求访问路径同时匹配精确路径和通配路径时,优先命中精确路径。例如:同时存在关于/test.html/test.*的路径匹配规则,优先匹配/test.html相关的规则设置。

  2. 对于命中配置路径的请求,再匹配其请求特征。

  3. 最后匹配统计特征,命中规则的请求将执行预先配置的处置动作。
    图片
    规则列表参数说明如下。

    匹配范围

    参数

    说明

    请求路径列表(如上图①)

    请求路径

    添加防护规则时设置的请求路径信息,请求路径相同的规则会列于同一组。

    规则数

    请求路径对应的规则下,已经开启的规则数量和总规则数量。例如1/3表示该请求路径关联 3 条规则,其中有 1 条规则为开启状态。

    操作

    单击快速添加可添加一条关联该请求路径的 CC 防护规则。

    请求特征列表(如上图②和③)

    优先级

    添加防护规则时设置的优先级,支持手动拖拽调整优先级顺序。

    规则 ID

    添加防护规则时 WAF 自动生成的规则 ID 信息。

    规则名称

    添加防护规则时设置的规则名称。

    统计条件

    添加防护规则时设置的统计条件。

    执行动作

    添加防护规则时选择的动作,告警、限速、人机验证或者拦截。

    规则开关

    该规则当前的启用状态,支持在当前页面修改。

    操作

    • 快速添加:单击快速添加可添加一条关联该请求路径和请求特征的 CC 防护规则。
    • 编辑规则:单击编辑可修改对应规则内容。
    • 删除规则:单击删除可将对应规则从列表中删除。

配置指引

假设您的预期场景如下:对于域名下/test.html的路径,当同一源 IP 在 60 秒内访问该路径超 500 次且路径被访问总次数超 600 次时,执行拦截动作,并限制访问 60 秒;在 60 秒内访问超 50 次且路径被访问总次数超 60 次时,执行告警动作。则需要基于该访问路径配置两条 CC 防护规则,参考配置如下。

规则一

规则二

规则名称

自定义

自定义

请求路径

/test.html

/test.html

统计对象

源 IP

源 IP

阈值设置

每对象访问超 500 次,且请求路径访问超 600 次。

每对象访问超 50 次,且请求路径访问超 60 次。

统计时长

60 秒

60 秒

执行动作

拦截

告警

限制时长

60 秒

优先级

P0

P1