CC 防护策略可防止您的服务器资源被过度占用,确保正常访问业务不受影响。WAF 提供自定义和智能防护两种模式,两种模式同时开启时,系统先匹配自定义防护规则,再根据智能防护策略动态调整。
背景信息 CC 自定义防护:支持基于业务情况,灵活自定义白流量请求特征。可根据网络访问 IP、Session 等各种 HTTP 请求对象进行请求限制,缓解 CC 攻击对服务器的影响。 CC 智能防护(仅面向高级版及以上版本开放且限时免费):WAF 通过自主业务流量基线学习形成资产画像,为资产输出定制化智能防护策略,同时持续分析流量基线,根据业务情况动态调整防护策略。开启 CC 智能防护功能后,WAF 将在监控到请求流量后启动业务流量基线学习。初次学习周期约为 7 天,完成学习后将推送、启用智能防护规则,并持续更新规则。
注意事项 CC 智能防护功能处于限时免费阶段,当前仅面向高级版及以上规格开放。 两种防护模式的生效顺序:优先匹配自定义防护规则,再根据智能防护策略动态调整。
前提条件 您已将需要防护的网站接入 WAF 实例。接入相关操作,请参见接入方式概述 。
配置自定义 CC 防护策略 自定义 CC 防护策略是基于请求路径,结合自定义统计对象在一定时间内的访问次数,对访问请求执行对应动作。
操作步骤 登录Web应用防火墙控制台 。
在顶部菜单栏选择实例所属地域。
在左侧导航选择防护策略>CC防护 。
开启待防护域名的 CC 防护功能。
选择需要添加策略的域名。 (可选)确认当前域名的防护模式为“启用防护”,否则需要单击更改防护模式 修改。 开启策略启用开关。 单击添加规则 ,配置 CC 防护规则参数。
参数
说明
配置示例
规则名称
防护规则名称。
说明
以中文、字母、数字开头。 允许字母、数字、中文、点“.”、下划线“_”和短横线“-”。 长度为 1-128 个字符。 CC 防护_1
请求特征
请求路径
填写需要匹配规则的网站路径,可以是具体的某个页面 URL,也可以针对整个网站。
某个具体的 URL 地址,例如需要对test.com/test.html
设置规则,则填写 /test.html
。 针对整个网站,则填写/
*即可。 支持填写通配符*
,仅可出现一次,例如/test/*
。 /test.html
高级条件
条件关系:指添加的多条高级条件关系,当前支持 AND 和 OR。 匹配字段:选择匹配字段,目前支持请求协议、请求 uri、请求方法、请求路径、请求参数、请求头等字段。 逻辑符:选择逻辑符,目前支持大于、大于等于、等于、小于、小于等于、不等于等逻辑关系。 匹配内容:填写该条规则需要匹配的具体内容。 操作:支持删除单条高级条件规则。 请求协议
等于
HTTP
统计条件
统计对象
选择需要进行规则匹配的统计对象并填写配置信息。支持自定义 header、自定义 cookie、自定义参数及源 IP 四种类型。
说明
如需将 cookie 中的字段作为统计对象,需要选择自定义 cookie
并配置字段信息。暂不支持将 cookie 整段作为统计对象。
自定义 header:填写 header,每个单词的首字母都需要大写,如 User-Agent
,Cookie
,X-Forwarded-For
。 自定义 cookie:支持填写英文、数字、下划线“_”和短横线“-”。 自定义参数:支持填写英文、数字、下划线“_”和短横线“-”。 源 IP:以单个访问 IP 为统计对象。 自定义 Header:User- Agent
统计时长
请求发生的统计时间周期。
60
阈值设置
阈值包含每对象在统计时长内发起请求的次数,及对每个请求路径发起请求的次数。统计对象发起请求的次数和请求路径访问总次数超过设定阈值时,系统会根据预设的执行动作处理该统计对象的请求。您可以设置生效周期为永久生效或者为周期循环生效。
永久生效:全天持续统计访问次数。 周期循环生效:设置需要生效的时间,如每个工作日的早上 8 点至晚上 8 点,统计访问次数,其余时间不统计。 周期循环生效:周一、周二、周三、周四、周五 在生效时间08:00-11:59
内,每对象访问超200
次,且请求路径访问超10000
次 在生效时间18:00-11:59
内,每对象访问超1000
次,且请求路径访问超10000
次 执行动作
执行动作
观察:放行请求流量,但会将请求行为上报至攻击日志。 拦截:拦截请求流量,将请求行为上报至攻击日志。如果配置了自定义拦截响应页面,WAF 会将配置的拦截响应页面信息返回给客户端。 限速:对该请求进行访问速率限制。说明
例如设定在统计时长 60 秒内,每源 IP 访问次数上限为 1000 次,且访问总次数为 10000 次时执行限速动作。则在 60 秒内,某个源 IP 访问达到 1000 次且该路径总访问次数达到 10000 次后,后续所有请求将被拦截。 为避免影响您的业务,请谨慎设置限速条件。 人机验证:通过验证码进行人机验证,如果验证通过则放行,防止误封。 JS 挑战:通过 JS-SDK 验证客户端 JavaScript 执行能力,如果验证通过则在指定时间内放行。 拦截
限制时长
执行动作的生效时长。当执行动作为拦截、人机验证或 JS 挑战时需要设置。
180
生效配置
优先级
规则匹配的优先级,P0 优先级最高,P9 优先级最低。同一请求特征下的 CC 防护规则优先级不可重复。
P0
规则开关
开启或关闭当前规则,默认为开启状态。
开启
单击确定 ,完成规则配置。
配置结果 规则添加完成后,您可以在列表查看规则的配置信息,并进行规则优先级调整、快速添加等操作。
规则生效逻辑 配置 CC 规则后,当请求发生时,WAF 将按照以下逻辑匹配规则。
访问请求先匹配访问路径。
在路径匹配原则上,遵循精确匹配和最长匹配原则,即请求访问路径同时匹配精确路径和通配路径时,优先命中精确路径。例如:同时存在关于/test.html
和/test.*
的路径匹配规则,优先匹配/test.html
相关的规则设置。 对于命中配置路径的请求,再匹配其请求特征。 最后匹配统计特征,命中规则的请求将执行预先配置的处置动作。
规则组分级 一级规则组:CC 规则按照请求路径进行分组,即具有相同请求路径的 CC 规则属于同一个一级规则组。 二级规则组:在同一个一级规则组下,按照请求特征的高级条件区分二级规则组。即具有相同请求路径和请求特征的 CC 规则属于同一个二级规则组。在同一个二级规则组中,规则的优先级不能重复。
调整优先级 您可以通过拖拽顺序调整图标来调整规则的生效优先级。
拖拽下图①所示位置,可调整同一请求路径条件下的二级规则组优先级。配置了高级条件的规则的优先级始终高于未配置高级条件(即请求特征为All
)的规则的优先级。 拖拽下图②所示位置,可调整二级规则组下单条规则的优先级。
快速添加规则 单击下图③所示位置,可快速添加满足相同请求路径的 CC 规则。您可以自定义除请求路径外的其他参数。 单击下图④所示位置,可快速添加满足相同请求特征(即请求路径和高级条件配置都相同)的 CC 规则。您可以自定义除请求特征外的其他参数。
配置指引 假设您的预期场景如下:对于域名下/test.html
的路径,当同一源 IP 在 60 秒内访问该路径超 500 次且路径被访问总次数超 600 次时,执行拦截动作,并限制访问 60 秒;在 60 秒内访问超 50 次且路径被访问总次数超 60 次时,执行告警动作。则需要基于该访问路径配置两条 CC 防护规则,参考配置如下。
规则一
规则二
规则名称
自定义
自定义
请求路径
/test.html
/test.html
统计对象
源 IP
源 IP
阈值设置
每对象访问超 500 次,且请求路径访问超 600 次。
每对象访问超 50 次,且请求路径访问超 60 次。
统计时长
60 秒
60 秒
执行动作
拦截
告警
限制时长
60 秒
-
优先级
P0
P1
开启 CC 智能防护策略 CC 智能防护是指 WAF 通过自主业务流量基线学习形成资产画像,为资产输出定制化智能防护策略,同时持续分析流量基线,根据业务情况动态调整防护策略。
注意
CC 智能防护处于限时免费阶段,当前仅面向高级版及以上版本开放。
操作步骤 登录Web应用防火墙控制台 。 在顶部菜单栏选择实例所属地域。 在左侧导航选择防护策略>CC防护 。 开启待防护域名的 CC 防护功能。
选择需要添加策略的域名。 (可选)确认当前域名的防护模式为“启用防护”,否则需要单击更改防护模式 修改。 开启策略启用开关。
启用说明 系统会在开启智能防护功能并发现流量后,每 2 个小时更新一次资产画像,并在 T+7 日的上午 10 点推送智能防护规则。
防护模式 托管模式:设置不同严格程度的模式后,系统基于业务基线学习结果自动推送对应范围的智能防护规则。 紧急模式:系统自动基于业务基线学习结果即时下发智能防护规则,快速缓解源站异常,适用于需要快速响应,防护等级较高的业务。但该模式存在误报风险,即您的正常业务访问可能会被拦截,建议设置合适的防护阈值区间。
处置动作 智能托管:根据学习结果自动推荐处置动作。 仅观察:仅观察对应请求,不会限制。