如何配置CC防护规则?
当业务接口被HTTP Flood攻击时,可以通过Web应用防火墙Console界面设置CC防护规则,从而缓解业务压力。用户可根据业务类型,配置CC防护规则,可配置以下内容:
- 每个Web访问者在规定时间内允许访问的次数。
- 根据IP、Cookie或者Referer字段区分Web访问者。
- 当访问超过限制时,对其访问进行阻断或者发送验证码验证。
具体的配置规则请参见配置CC攻击防护规则章节。
在什么情况下使用Cookie区分用户?
在配置CC防护规则时,当IP无法精确区分用户,例如多个用户共享一个出口IP时,用户可以使用Cookie区分用户。
用户使用Cookie区分用户时,如果Cookie中带有用户相关的“session”等“key”值,直接设置该“key”值作为区分用户的依据。
CC规则里“限速频率”和“放行频率”的区别?
“限速频率”是单个Web访问者在限速周期内可以正常访问的次数,如果超过该访问次数,WAF将根据配置的CC攻击防护规则“防护动作”来处理。例如,“限速频率”设置为“10次/60秒”,“防护动作”设置为“阻断”,则表示60秒只能有10次访问请求,一旦在60秒内访问请求超过10次,WAF就直接阻断该Web访问者访问目标URL。
配置CC防护规则时,如果选择了“高级”工作模式,且“防护动作”配置为“动态阻断”,则除了需要配置“限速频率”外,还需要配置“放行频率”。
如果在一个限速周期内,访问的请求频率超过“限速频率”触发了拦截,那么,在下一个限速周期内,拦截阈值将动态调整为“放行频率”。且“放行频率”为0时,表示上个周期发生拦截后,下一个周期所有满足规则条件的请求都会被拦截。
区别:
- “放行频率”和“限速频率”的限速周期一致。
- “放行频率”小于等于“限速频率”,且“放行频率”可为0。