CC 防护策略可防止您的服务器资源被过度占用,确保正常访问业务不受影响。WAF 提供自定义和智能防护两种模式,两种模式同时开启时,系统先匹配自定义防护规则,再根据智能防护策略动态调整。
背景信息
- CC 自定义防护:支持基于业务情况,灵活自定义白流量请求特征。可根据网络访问 IP、Session 等各种 HTTP 请求对象进行请求限制,缓解 CC 攻击对服务器的影响。
- CC 智能防护(仅面向高级版及以上版本开放且限时免费):WAF 通过自主业务流量基线学习形成资产画像,为资产输出定制化智能防护策略,同时持续分析流量基线,根据业务情况动态调整防护策略。开启 CC 智能防护功能后,WAF 将在监控到请求流量后启动业务流量基线学习。初次学习周期约为 7 天,完成学习后将推送、启用智能防护规则,并持续更新规则。
注意事项
- CC 智能防护功能处于限时免费阶段,当前仅面向高级版及以上规格开放。
- 两种防护模式的生效顺序:优先匹配自定义防护规则,再根据智能防护策略动态调整。
前提条件
您已将需要防护的网站接入 WAF 实例。接入相关操作,请参见接入方式概述。
配置自定义 CC 防护策略
自定义 CC 防护策略是基于请求路径,结合自定义统计对象在一定时间内的访问次数,对访问请求执行对应动作。
操作步骤
登录Web应用防火墙控制台。
在顶部菜单栏选择实例所属地域。
在左侧导航选择防护策略>CC防护。
开启待防护域名的 CC 防护功能。
- 选择需要添加策略的域名。
- (可选)确认当前域名的防护模式为“启用防护”,否则需要单击更改防护模式修改。
- 开启策略启用开关。
单击添加规则,配置 CC 防护规则参数。
参数
说明
配置示例
规则名称
防护规则名称。
说明
- 以中文、字母、数字开头。
- 允许字母、数字、中文、点“.”、下划线“_”和短横线“-”。
- 长度为 1-128 个字符。
CC 防护_1
请求特征
请求路径
填写需要匹配规则的网站路径,可以是具体的某个页面 URL,也可以针对整个网站。
- 某个具体的 URL 地址,例如需要对
test.com/test.html设置规则,则填写/test.html。 - 针对整个网站,则填写
/*即可。 - 支持填写通配符
*,仅可出现一次,例如/test/*。
说明
支持填写多条网站路径,用英文逗号分隔。
/test.html
高级条件
- 条件关系:指添加的多条高级条件关系,当前支持 AND 和 OR。
- 匹配字段:选择匹配字段,目前支持请求协议、请求 uri、请求方法、请求路径、请求参数、请求头等字段。
- 逻辑符:选择逻辑符,目前支持大于、大于等于、等于、小于、小于等于、不等于等逻辑关系。
- 匹配内容:填写该条规则需要匹配的具体内容。
- 操作:支持删除单条高级条件规则。
请求协议等于HTTP统计条件
统计对象
选择需要进行规则匹配的统计对象并填写配置信息。支持自定义 header、自定义 cookie、自定义参数及源 IP 四种类型。
说明
如需将 cookie 中的字段作为统计对象,需要选择
自定义 cookie并配置字段信息。暂不支持将 cookie 整段作为统计对象。- 自定义 header:填写 header,每个单词的首字母都需要大写,如
User-Agent,Cookie,X-Forwarded-For。 - 自定义 cookie:支持填写英文、数字、下划线“_”和短横线“-”。
- 自定义参数:支持填写英文、数字、下划线“_”和短横线“-”。
- 源 IP:以单个访问 IP 为统计对象。
自定义 Header:User- Agent
统计时长
请求发生的统计时间周期。
60
阈值设置
阈值包含每对象在统计时长内发起请求的次数,及对每个请求路径发起请求的次数。统计对象发起请求的次数和请求路径访问总次数超过设定阈值时,系统会根据预设的执行动作处理该统计对象的请求。您可以设置生效周期为永久生效或者为周期循环生效。
- 永久生效:全天持续统计访问次数。
- 周期循环生效:设置需要生效的时间,如每个工作日的早上 8 点至晚上 8 点,统计访问次数,其余时间不统计。
- 周期循环生效:周一、周二、周三、周四、周五
- 在生效时间
08:00-11:59内,每对象访问超200次,且请求路径访问超10000次 - 在生效时间
18:00-11:59内,每对象访问超1000次,且请求路径访问超10000次
执行动作
执行动作
- 观察:放行请求流量,但会将请求行为上报至攻击日志。
- 拦截:拦截请求流量,将请求行为上报至攻击日志。如果配置了自定义拦截响应页面,WAF 会将配置的拦截响应页面信息返回给客户端。
- 限速:对该请求进行访问速率限制。
说明
- 例如设定在统计时长 60 秒内,每源 IP 访问次数上限为 1000 次,且访问总次数为 10000 次时执行限速动作。则在 60 秒内,某个源 IP 访问达到 1000 次且该路径总访问次数达到 10000 次后,后续所有请求将被拦截。
- 为避免影响您的业务,请谨慎设置限速条件。
- 人机验证:通过验证码进行人机验证,如果验证通过则放行,防止误封。
- JS 挑战:通过 JS-SDK 验证客户端 JavaScript 执行能力,如果验证通过则在指定时间内放行。
拦截
限制时长
执行动作的生效时长。当执行动作为拦截、人机验证或 JS 挑战时需要设置。
180
生效配置
优先级
规则匹配的优先级,P0 优先级最高,P9 优先级最低。同一请求特征下的 CC 防护规则优先级不可重复。
P0
规则开关
开启或关闭当前规则,默认为开启状态。
开启
单击确定,完成规则配置。
配置结果
规则添加完成后,您可以在列表查看规则的配置信息,并进行规则优先级调整、快速添加等操作。
规则生效逻辑
配置 CC 规则后,当请求发生时,WAF 将按照以下逻辑匹配规则。
- 访问请求先匹配访问路径。
在路径匹配原则上,遵循精确匹配和最长匹配原则,即请求访问路径同时匹配精确路径和通配路径时,优先命中精确路径。例如:同时存在关于/test.html和/test.*的路径匹配规则,优先匹配/test.html相关的规则设置。 - 对于命中配置路径的请求,再匹配其请求特征。
- 最后匹配统计特征,命中规则的请求将执行预先配置的处置动作。
规则组分级
- 一级规则组:CC 规则按照请求路径进行分组,即具有相同请求路径的 CC 规则属于同一个一级规则组。
- 二级规则组:在同一个一级规则组下,按照请求特征的高级条件区分二级规则组。即具有相同请求路径和请求特征的 CC 规则属于同一个二级规则组。在同一个二级规则组中,规则的优先级不能重复。
调整优先级
您可以通过拖拽顺序调整图标来调整规则的生效优先级。
- 拖拽下图①所示位置,可调整同一请求路径条件下的二级规则组优先级。配置了高级条件的规则的优先级始终高于未配置高级条件(即请求特征为
All)的规则的优先级。 - 拖拽下图②所示位置,可调整二级规则组下单条规则的优先级。
快速添加规则
- 单击下图③所示位置,可快速添加满足相同请求路径的 CC 规则。您可以自定义除请求路径外的其他参数。
- 单击下图④所示位置,可快速添加满足相同请求特征(即请求路径和高级条件配置都相同)的 CC 规则。您可以自定义除请求特征外的其他参数。
配置指引
假设您的预期场景如下:对于域名下/test.html的路径,当同一源 IP 在 60 秒内访问该路径超 500 次且路径被访问总次数超 600 次时,执行拦截动作,并限制访问 60 秒;在 60 秒内访问超 50 次且路径被访问总次数超 60 次时,执行告警动作。则需要基于该访问路径配置两条 CC 防护规则,参考配置如下。
规则一 | 规则二 | |
|---|---|---|
规则名称 | 自定义 | 自定义 |
请求路径 |
|
|
统计对象 | 源 IP | 源 IP |
阈值设置 | 每对象访问超 500 次,且请求路径访问超 600 次。 | 每对象访问超 50 次,且请求路径访问超 60 次。 |
统计时长 | 60 秒 | 60 秒 |
执行动作 | 拦截 | 告警 |
限制时长 | 60 秒 | - |
优先级 | P0 | P1 |
开启 CC 智能防护策略
CC 智能防护是指 WAF 通过自主业务流量基线学习形成资产画像,为资产输出定制化智能防护策略,同时持续分析流量基线,根据业务情况动态调整防护策略。
注意
CC 智能防护处于限时免费阶段,当前仅面向高级版及以上版本开放。
操作步骤
- 登录Web应用防火墙控制台。
- 在顶部菜单栏选择实例所属地域。
- 在左侧导航选择防护策略>CC防护。
- 开启待防护域名的 CC 防护功能。
- 选择需要添加策略的域名。
- (可选)确认当前域名的防护模式为“启用防护”,否则需要单击更改防护模式修改。
- 开启策略启用开关。
启用说明
系统会在开启智能防护功能并发现流量后,每 2 个小时更新一次资产画像,并在 T+7 日的上午 10 点推送智能防护规则。
防护模式
- 托管模式:设置不同严格程度的模式后,系统基于业务基线学习结果自动推送对应范围的智能防护规则。
- 紧急模式:系统自动基于业务基线学习结果即时下发智能防护规则,快速缓解源站异常,适用于需要快速响应,防护等级较高的业务。但该模式存在误报风险,即您的正常业务访问可能会被拦截,建议设置合适的防护阈值区间。
处置动作
- 智能托管:根据学习结果自动推荐处置动作。
- 仅观察:仅观察对应请求,不会限制。