网站域名接入云WAF后,您可以选择开启CC防护功能,为网站拦截针对页面请求的CC攻击。您也可以根据实际需求自定义CC安全防护的防护策略。
前提条件
- 已开通Web应用防火墙(原生版)实例。
- 已完成网站域名接入。
使用限制
基础版不支持CC防护,请升级到更高版本使用。
配置CC防护模式
-
登录天翼云控制中心。
-
单击页面顶部的区域选择框,选择区域。
-
在产品服务列表页,选择“安全 > Web应用防火墙(原生版)”。
-
在左侧导航栏,选择“防护配置”,进入防护配置页面。
-
在“防护配置”页面上方的“域名选择”下拉框,切换到要设置的域名。
-
在“防护配置”页面定位到“CC防护”模块,可以选择开启/关闭防护状态;同时可以直接选择防护模式,配置信息如下。
配置项 说明 状态 开启或关闭CC安全防护功能。 防护模式 要应用的防护模式。可选值:
常规:只针对特别异常的请求进行拦截,误杀较少。建议您在网站无明显流量异常时应用此模式,避免误杀。
紧急:高效拦截CC攻击,可能造成较多误杀。当您发现有防护模式无法拦截的CC攻击,并出现网站响应缓慢,流量、CPU、内存等指标异常时,可以应用此模式。
自定义:自定义CC防护可以通过精确匹配条件过滤访问请求的基础上,基于用户访问源IP或者SESSION频率定义访问频率限制条件,对于超过频率限制的访问进行拦截。
策略配置方法,请参见下文配置自定义CC防护策略。
说明防护模式只能选择一种,不能同时开启。
配置自定义CC防护策略
-
登录天翼云控制中心。
-
单击页面顶部的区域选择框,选择区域。
-
在产品服务列表页,选择“安全 > Web应用防火墙(原生版)”。
-
在左侧导航栏,选择“防护配置”,进入防护配置页面。
-
在“防护配置”页面上方的“域名选择”下拉框,切换到要设置的域名。
-
在“防护配置”页面定位到“CC防护”模块,在防护模式后方点击“前去配置”。
-
进入CC防护自定义规则列表页,列表会展示已创建规则的相关信息,包括规则状态、规则名称/规则ID、匹配规则、处置动作、限速频率、优先级、更新时间等。
-
点击列表上方“新建防护规则”,进入规则配置页面,完成以下信息配置。
配置项 说明 规则名称
设置规则的名称。
规则名称用于标识当前防护规则,建议您使用有明确含义的名称。
匹配条件
设置访问请求需要匹配的条件(即特征)。
单击“新增条件”可以设置最多3个条件。存在多个条件时,多个条件必须同时满足才算命中。
关于匹配条件的配置描述,请参见匹配条件字段说明。
频率设置
频率统计在匹配条件检测后生效,需要配置统计对象及限速频率。
统计对象为统计请求数量的依据,可选值如下:
IP:根据IP区分单个访问者。
SESSION:根据会话区分单个访问者。对于SESSION模式,需要进一步设置SESSION信息。
- SESSION位置:可选择GET、POST、COOKIE、HEADER。
- SEESION标识:取值标识,通过配置唯一可识别Web访问者的某属性变量名(Key),系统将据此标识匹配到的内容识别访问者。
限速频率为单个访问者在限速周期内最大可以正常访问的次数,如果超过该访问次数,WAF则将根据配置的处置动作处理。配置项如下:
阈值(次):统计时长内统计对象的允许数量,超过阈值,则触发频率限制。
统计时长(秒):统计周期。
处置动作
定义触发规则后执行的动作,支持“拦截”。
优先级
代表该规则在CC防护模块儿中执行的优先级。
可输入1~100的整数,数字越大,代表这条规则的优先级越高。相同的优先级下,创建/更新时间越晚,优先级越高。
-
单击“确定”,规则创建成功,成功后规则默认启用。您可以在规则列表中查看该规则。
相关操作:
对于已创建的规则,您可以执行以下操作:
- 编辑:编辑自定义防护规则的名称、匹配条件、频率限制、处置动作、优先级等。
- 删除:若不再使用某条规则,可对该规则进行删除。
- 状态变更:可对每一条规则单独设置启用状态,若临时无须启用某条规则,可禁用该规则。