You need to enable JavaScript to run this app.
导航
配置 CC 防护策略
最近更新时间:2024.04.28 11:13:42首次发布时间:2021.10.15 18:40:46

CC 防护策略可防止您的服务器资源被过度占用,确保正常访问业务不受影响。支持通过自定义和智能防护两种模式提供防护服务。

背景信息

  • CC 自定义防护:支持基于业务情况,灵活自定义白流量请求特征。可根据网络访问 IP、Session 等各种 HTTP 请求对象进行请求限制,缓解 CC 攻击对服务器的影响。
  • CC 智能防护(仅面向高级版及以上版本开放):WAF 通过自主业务流量基线学习形成资产画像,为资产输出定制化智能防护策略,同时持续分析流量基线,根据业务情况动态调整防护策略。开启 CC 智能防护功能后,WAF 将在监控到请求流量后启动业务流量基线学习。初次学习周期约为 7 天,完成学习后将推送、启用智能防护规则,并持续更新规则。
  • 两种防护模式同时开启的情况下,系统先匹配自定义防护规则,再根据智能防护策略动态调整。

前提条件

您已将需要防护的网站接入 WAF 实例。

配置自定义 CC 防护策略

自定义 CC 防护策略是基于请求路径,结合自定义统计对象在一定时间内的访问次数,对访问请求执行对应动作。

操作步骤

  1. 登录Web应用防火墙控制台

  2. 在顶部菜单栏选择实例所属地域。

  3. 在左侧导航选择防护策略>CC防护

  4. 开启待防护域名的 CC 防护功能。

    1. 在页面上方选择需要添加 CC 防护策略的域名。
    2. 开启 CC 自定义防护开关。
  5. 单击添加规则,配置 CC 防护规则参数。

    参数

    说明

    规则名称

    防护规则名称。支持英文、汉字和数字,不支持特殊字符,最多不超过 20 个字符。

    请求路径

    填写需要匹配 CC 规则的网站路径,可以是具体的某个页面 URL,也可以针对整个网站。

    • 某个具体的 URL 地址,例如需要放行test.com/test.html,则填写 /test.html
    • 针对整个网站,则填写/即可。
    • 支持填写通配符*,仅可出现一次,例如/test/*

    高级条件

    • 条件关系:指添加的多条高级条件关系,当前支持 AND 和 OR。
    • 匹配字段:选择匹配字段,目前支持请求协议、请求 uri、请求方法、请求路径、请求参数、请求头等字段。
    • 逻辑符:选择逻辑符,目前支持大于、大于等于、等于、小于、小于等于、不等于等逻辑关系。
    • 匹配内容:填写该条规则需要匹配的具体内容。
    • 操作:支持删除单条高级条件规则。

    统计对象

    选择需要进行规则匹配的统计对象并填写配置信息。支持自定义 header、自定义 cookie、自定义参数及源 IP 四种类型。

    说明

    如需将 cookie 中的字段作为统计对象,需要选择自定义 cookie并配置字段信息。暂不支持将 cookie 整段作为统计对象。

    • 自定义 header:填写 header,每个单词的首字母都需要大写,如 User-AgentCookieX-Forwarded-For
    • 自定义 cookie:支持填写英文、数字,-_
    • 自定义参数:支持填写英文、数字,-_
    • 源 IP:以单个访问 IP 为统计对象。

    统计时长

    请求发生的统计时间周期。

    阈值设置

    阈值包含每对象在统计时长内发起请求的次数,及对每个请求路径发起请求的次数。统计对象发起请求的次数超过设定阈值时,系统会根据预设的执行动作处理该统计对象的请求。您可以设置生效周期为永久生效或者为周期循环生效。

    • 永久生效:全天持续统计访问次数。
    • 周期循环生效:设置需要生效的时间,如每个工作日的早上 8 点至晚上 8 点,统计访问次数,其余时间不统计。

    执行动作

    • 拦截:若请求触发了防护规则,对该请求进行拦截,拦截时长为限制时长。
    • 告警:若请求触发了防护规则,对该请求进行站内信告警,并记录日志上报到日志管理模块。
    • 限速:对来自指定统计对象的请求进行访问速率限制。限制在统计时长内,每对象访问次数和总路径访问次数不能超过设定的阈值,超过之后的请求将被直接拦截。

      说明

      • 例如设定在统计时长 60 秒内,每源 IP 访问次数上限为 1000 次,且访问总次数为 10000 次时执行限速动作。则在 60 秒内,某个源 IP 访问达到 1000 次且该路径总访问次数达到 10000 次后,后续所有请求将被拦截。
      • 为避免影响您的业务,请谨慎设置限速条件。
    • 人机验证:若请求触发了防护规则,通过验证码进行人机验证,防止误封。
    • JS 挑战:若请求触发了防护规则,通过 JS-SDK 验证客户端 JavaScript 执行能力,如果验证通过则在指定时间内放行。

    限制时长

    执行动作的生效时长。当执行动作为限速、拦截、人机验证或 JS 挑战时需要设置。

    优先级

    规则匹配的优先级,P0 优先级最高,P9 优先级最低。同一请求特征下的 CC 防护规则优先级不可重复。

    规则开关

    开启或关闭当前规则,默认为开启状态。

  6. 单击确定,完成规则配置。

配置结果

规则添加完成后,您可以在列表查看规则的配置信息,并进行规则优先级调整、快速添加等操作。

规则生效逻辑

配置 CC 规则后,当请求发生时,DDoS 高防将按照以下逻辑匹配规则。

  1. 访问请求先匹配访问路径。
    在路径匹配原则上,遵循精确匹配和最长匹配原则,即请求访问路径同时匹配精确路径和通配路径时,优先命中精确路径。例如:同时存在关于/test.html/test.*的路径匹配规则,优先匹配/test.html相关的规则设置。
  2. 对于命中配置路径的请求,再匹配其请求特征。
  3. 最后匹配统计特征,命中规则的请求将执行预先配置的处置动作。

规则组分级

  • 一级规则组:CC 规则按照请求路径进行分组,即具有相同请求路径的 CC 规则属于同一个一级规则组。
  • 二级规则组:在同一个一级规则组下,按照请求特征的高级条件区分二级规则组。即具有相同请求路径和请求特征的 CC 规则属于同一个二级规则组。在同一个二级规则组中,规则的优先级不能重复。

调整优先级

您可以通过拖拽顺序调整图标来调整规则的生效优先级。

  • 拖拽下图①所示位置,可调整同一请求路径条件下的二级规则组优先级。配置了高级条件的规则的优先级始终高于未配置高级条件(即请求特征为All)的规则的优先级。
  • 拖拽下图②所示位置,可调整二级规则组下单条规则的优先级。

快速添加规则

  • 单击下图③所示位置,可快速添加满足相同请求路径的 CC 规则。您可以自定义除请求路径外的其他参数。
  • 单击下图④所示位置,可快速添加满足相同请求特征(即请求路径和高级条件配置都相同)的 CC 规则。您可以自定义除请求特征外的其他参数。

图片

配置指引

假设您的预期场景如下:对于域名下/test.html的路径,当同一源 IP 在 60 秒内访问该路径超 500 次且路径被访问总次数超 600 次时,执行拦截动作,并限制访问 60 秒;在 60 秒内访问超 50 次且路径被访问总次数超 60 次时,执行告警动作。则需要基于该访问路径配置两条 CC 防护规则,参考配置如下。

规则一

规则二

规则名称

自定义

自定义

请求路径

/test.html

/test.html

统计对象

源 IP

源 IP

阈值设置

每对象访问超 500 次,且请求路径访问超 600 次。

每对象访问超 50 次,且请求路径访问超 60 次。

统计时长

60 秒

60 秒

执行动作

拦截

告警

限制时长

60 秒

-

优先级

P0

P1

开启 CC 智能防护策略

CC 智能防护策略当前仅面向高级版及以上版本开放。

操作步骤

  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏选择实例所属地域。
  3. 在左侧导航选择防护策略>CC防护
  4. 开启待防护域名的 CC 防护功能。
    1. 在页面上方选择需要添加 CC 防护策略的域名。
    2. 开启 CC 智能防护开关。

启用说明

系统会在开启智能防护功能并发现流量后,每 2 个小时更新一次资产画像,并在 T+7 日的上午 10 点推送智能防护规则。

防护模式

  • 托管模式:设置不同严格程度的模式后,系统基于业务基线学习结果自动推送对应范围的智能防护规则。
  • 紧急模式:系统自动基于业务基线学习结果即时下发智能防护规则,快速缓解源站异常,适用于需要快速响应,防护等级较高的业务。但该模式存在误报风险,即您的正常业务访问可能会被拦截,建议设置合适的防护阈值区间。

处置动作

  • 智能托管:根据学习结果自动推荐处置动作。
  • 仅观察:仅观察对应请求,不会限制。