You need to enable JavaScript to run this app.
导航
全站加速
  • 文档首页
    • /全站加速/用户指南/安全防护/防护配置/CC防护
CC防护
最近更新时间:2024.10.21 17:58:38首次发布时间:2022.06.29 14:07:20
我的收藏

全站加速 CC 防护可根据网络访问 IP、Session 等各种 HTTP 请求特征进行请求限制、缓解 CC 攻击对服务器的影响。

添加防护规则

开通 CC 防护服务后,您需要添加具体的防护规则并开启规则开关才能生效。

前提条件

您已开通 DCDN 安全防护服务,并已开通 CC 防护服务。开通过程详见功能概述

操作步骤

  1. 登录火山引擎全站加速控制台后,在控制台页面左侧点击 安全防护 ,在下拉菜单中点击 防护配置
  2. 防护配置 页面,点击 添加域名 ,在 域名防护接入 标签页左侧 全部域名 下,选择待配置的加速域名。
  3. 选择待配置的加速域名后,在 已选域名 下确认信息无误后,点击 确定
  4. 点击刚刚开启防护的域名,在 CC防护 标签页,开启 CC防护
  5. 点击 添加规则 。请您根据业务场景和攻击现状在 添加CC规则 标签页设置规则。具体详见字段解释
    Image
  6. 规则创建后,此条规则会显示在 CC防护 标签页列表中。开启 规则开关,完成添加具体规则,开启CC防护功能。

字段解释

参数

说明

规则名称

防护规则名称。支持英文、汉字和数字,不支持特殊字符,最多不超过 20 个字符。

请求路径

填写需要匹配 CC 规则的网站路径,可以是具体的某个页面 URL,也可以针对整个网站。

  • 某个具体的 URL 地址,例如需要放行test.com/test.html,则填写 /test.html
  • 针对整个网站,则填写/即可。
  • 支持填写通配符*,仅可出现一次,例如/test/*
  • 支持填写多条网站路径,用英文逗号分隔。

高级条件

  • 条件关系:指添加的多条高级条件关系,当前支持 AND 和 OR。
  • 匹配字段:选择匹配字段,目前支持请求协议、请求 uri、请求方法、请求路径、请求参数、请求头等字段。
  • 逻辑符:选择逻辑符,目前支持大于、大于等于、等于、小于、小于等于、不等于等逻辑关系。逻辑符号具体解释参见逻辑符号解释
  • 匹配内容:填写该条规则需要匹配的具体内容。
  • 操作:支持删除单条高级条件规则。

统计对象

选择需要进行规则匹配的统计对象并填写配置信息。支持自定义 header、自定义 cookie、自定义参数及源 IP 四种类型。

说明

如需将 cookie 中的字段作为统计对象,需要选择自定义 cookie并配置字段信息。暂不支持将 cookie 整段作为统计对象。

  • 自定义 header:填写 header,每个单词的首字母都需要大写,如 User-AgentCookieX-Forwarded-For
  • 自定义 cookie:支持填写英文、数字,-_
  • 自定义参数:支持填写英文、数字,-_
  • 源 IP:以单个访问 IP 为统计对象。

阈值设置

阈值包含每对象在统计时长内发起请求的次数,及对每 URL 发起请求的次数。统计对象发起请求的次数超过设定阈值时,系统会根据预设的执行动作处理该统计对象的请求。

统计时长

请求发生的统计时间周期。

执行动作

  • 观察:统计时长内,若请求触发了防护规则,全站加速会以邮箱、短信、站内信的方式进行提示。
  • 限速:统计时长内,若请求触发了防护规则,全站加速会对该请求进行限速。限速时长为限制时长。
  • 拦截:统计时长内,若请求触发了防护规则,全站加速会对该请求进行拦截,拦截的时长为限制时长。

限制时长

执行动作的生效时长。当执行动作为限速、拦截时需要设置。

优先级

规则匹配的优先级,P0 优先级最高,P9 优先级最低。同一请求特征下的 CC 防护规则优先级不可重复。

规则开关

开启或关闭当前规则。

逻辑符号解释

逻辑符号

解释说明

示例

等于

匹配字段匹配内容相等

Image

  • 当前配置下,请求ua 的值为 abc ,表示命中第一行匹配条件。
  • 当前配置下,请求ua 的值不是bcd ,表示命中第二行匹配条件。

不等于

匹配字段匹配内容不相等

包含子串

匹配内容匹配字段的子串

Image

  • 当前配置下,如请求ua 的值为 deabcd,字段包含 abc,表示命中第一行匹配条件。
  • 当前配置下,如请求ua 的值为 deabcd ,字段包含 bcd,表示未命中第二行匹配条件。

不包含子串

匹配内容不是匹配字段的子串

包含前缀

匹配内容匹配字段的前缀

Image

  • 当前配置下,如请求ua 的值为 abcde,字段包含 abc,表示命中第一行匹配条件。
  • 当前配置下,如请求ua 的值为 abcde ,字段包含 bcd,表示命中第二行匹配条件。

不包含前缀

匹配内容不为匹配字段的前缀

包含后缀

匹配内容匹配字段的后缀

Image

  • 当前配置下,如请求ua 的值为 deabc,字段包含 abc,表示命中第一行匹配条件。
  • 当前配置下,如请求ua 的值为 deabc ,字段不包含 bcd,表示命中第二行匹配条件。

不包含后缀

匹配内容不为匹配字段的后缀

包含关系(包含所有匹配集合)

匹配内容集合内所有子串都是匹配字段的子串

Image

  • 当前配置下,如请求ua 的值为 xxabcxxdef,字段包含了设置的全部匹配内容 abcdef,表示命中第一行匹配条件。
  • 当前配置下,如请求ua 的值为 xxabcxxdef ,字段完全不包含设置的全部匹配内容xyzlmn,表示命中第二行匹配条件。

非包含关系(不包含所有匹配集合)

匹配内容集合内所有子串都不是匹配字段的子串

属于关系(属于匹配集合)

匹配字段和任意匹配内容集合中的元素相等

Image

  • 当前配置下,如请求ua 的值为 xxabcxxx,字段与设置的匹配内容中的 abc相等,表示命中第一行匹配条件。
  • 当前配置下,如请求ua 的值为 xxabcxzz ,字段与设置的匹配内容xyzlmn都不相等,表示命中第二行匹配条件。

非属于关系(不属于匹配集合)

匹配字段和任意匹配内容集合中的元素都不相等

正则

匹配字段能通过正则被匹配

Image
当前配置下,请求ua 的值为一个或多个字母、数字、下划线都表示命中该匹配条件。

配置结果

配置 CC 规则后,当请求发生时,WAF 将按照以下逻辑匹配规则。

  1. 访问请求先匹配访问路径。在路径匹配原则上,遵循精确匹配和最长匹配原则,即请求访问路径同时匹配精确路径和通配路径时,优先命中精确路径。例如:同时存在关于/test.html/test.*的路径匹配规则,优先匹配/test.html相关的规则设置。
  2. 对于命中配置路径的请求,再匹配其请求特征。
  3. 最后匹配统计特征,命中规则的请求将执行预先配置的处置动作。

配置指引

期望场景:对于域名下/test.html的路径,期望当同一源IP在 60秒 内访问该路径超 500次 且路径被访问总次数超 600次 时,执行拦截策略,限制访问 60秒;在 60秒 内访问超 50次 且路径被访问总次数超 60次 时,执行观察策略。 可以设置为这样的策略:

字段

规则一

规则二

规则名称

自定义

自定义

请求路径

/test.html

/test.html

统计对象

源 IP

源 IP

阈值设置

每对象访问超 500 次,且请求路径访问超 600 次。

每对象访问超 50 次,且请求路径访问超 60 次。

统计时长

60 秒

60 秒

执行动作

拦截

观察

限制时长

60 秒

-

优先级

P0

P1

修改防护规则

当您需要编辑修改已添加的防护规则时,可以在 操作 栏点击 编辑 ,参考字段说明按需修改具体规则。

删除防护规则

当您不再需要某条防护规则时,可以在 操作 栏点击 删除 ,删除本条规则。

说明

删除规则后,系统不再保留具体配置信息,请谨慎操作。