更新时间:2025-09-11 GMT+08:00

配置CC攻击防护规则防御CC攻击

网站接入WAF后,WAF默认不生效CC攻击防护。如果网站突然遭遇大量异常流量攻击时,可配置CC攻击防护规则,限制源端或目的端速率,防御CC攻击。

前提条件

已添加防护网站。

约束条件

  • “逻辑”关系选择“包含任意一个”“不包含所有”“等于任意一个”“不等于所有”“前缀为任意一个”“前缀不为所有”“后缀为任意一个”或者“后缀不为所有”时,需要选择引用表,创建引用表的详细操作请参见创建引用表对防护指标进行批量配置
  • 添加或修改防护规则后,规则生效需要等待几分钟。规则生效后,您可以在“防护事件”页面查看防护效果。

配置CC攻击防护规则

  1. 登录管理控制台,在页面左上方,单击图标,选择安全 > Web应用防火墙 WAF
  2. 在控制台左上角,单击图标,选择区域或项目。
  3. 在左侧导航栏,单击“防护策略”
  4. 单击目标策略名称,进入目标策略的防护规则配置页面。

    在配置防护规则前,请确认目标防护策略已绑定防护域名,即绑定策略生效目标。一条防护策略可以适用于多个防护域名,但一个防护域名只能绑定一个防护策略。

  5. 单击“CC攻击防护”配置框,确认已开启CC攻击防护规则。

    :开启状态。

  6. “CC攻击防护”规则配置列表左上方,单击“添加规则”
  7. “添加CC防护规则”面板,根据表1配置CC防护规则。

    表1 CC防护规则参数说明

    参数

    参数说明

    取值样例

    规则描述

    可选参数,设置该规则的备注信息。

    --

    限速模式

    • “IP限速”:根据IP区分单个Web访问者。
    • “用户限速”:根据Cookie键值或者Header区分单个Web访问者。
    • “其他”:根据Referer(自定义请求访问的来源)字段区分单个Web访问者。
    说明:

    选择“其他”时,“Referer”对应的“内容”填写为包含域名的完整URL链接,仅支持前缀匹配和精准匹配的逻辑,“内容”里不能含有连续的多条斜线的配置,如“///admin”,WAF引擎会将“///”转为“/”

    例如:如果用户不希望访问者从“www.test.com”访问网站,则“Referer”对应的“内容”设置为“http://www.test.com”

    --

    用户标识

    “限速模式”选择“用户限速”时,需要配置此参数:

    • 选择Cookie时,设置Cookie字段名,即用户需要根据网站实际情况配置唯一可识别Web访问者的Cookie中的某属性变量名。用户标识的Cookie,不支持正则,必须完全匹配。

      例如:如果网站使用Cookie中的某个字段name唯一标识用户,那么可以用name字段来区分Web访问者。

    • 选择Header时,设置需要防护的自定义HTTP首部,即用户需要根据网站实际情况配置可识别Web访问者的HTTP首部。

    name

    限速条件

    配置防护规则要匹配的请求特征。请求一旦命中该特征,WAF则按照配置的规则处置该请求。

    • 至少需要配置一项,本条规则才能生效。配置多个条件时,需同时满足,本条规则才生效。
    • 单击“添加”增加新的条件,最多可添加30个条件。

    字段:“路径”

    逻辑:包含

    内容:“/admin/”

    限速频率

    单个Web访问者在限速周期内可以正常访问的次数,如果超过该访问次数,Web应用防火墙服务将根据配置的“防护动作”来处理。

    10次/60秒

    防护动作

    当访问的请求频率超过“限速频率”时,可设置以下防护动作:

    • 人机验证:表示超过“限速频率”后弹出验证码,进行人机验证,完成验证后,请求将不受访问限制。人机验证目前支持英文。
      说明:

      云模式-ELB接入不支持该防护动作。

    • 拦截:表示超过“限速频率”将直接拦截。
    • 动态拦截:上一个限速周期内,请求频率超过“限速频率”将被拦截,那么在下一个限速周期内,请求频率超过“放行频率”将被拦截。
    • 仅记录:表示超过“限速频率”将只记录不拦截。

    拦截

    生效模式

    • 立即生效:防护规则开启后,规则立即生效。
    • 自定义:自定义规则生效时间段。

    立即生效

    放行频率

    “防护动作”选择“动态拦截”时,可配置放行频率。

    如果在一个限速周期内,访问超过“限速频率”触发了拦截,那么,在下一个限速周期内,拦截阈值动态调整为“放行频率”

    “放行频率”小于等于“限速频率”

    说明:

    “放行频率”设置为0时,表示如果上一个限速周期发生过拦截后,下一个限速周期所有的请求都不放行。

    8次/60秒

    拦截时长

    “防护动作”选择“拦截”时,可设置拦截后恢复正常访问页面的时间。

    600秒

    拦截页面

    “防护动作”选择“拦截”时,需要设置该参数,即当访问超过限速频率时,返回的错误页面。

    • 当选择“默认设置”时,返回的错误页面为系统默认的拦截页面。
    • 当选择“自定义”时,返回错误信息由用户自定义。

    自定义

    页面类型

    “拦截页面”选择“自定义”时,可选择拦截页面的类型“application/json”“text/html”或者“text/xml”

    text/html

    页面内容

    “拦截页面”选择“自定义”时,可设置自定义返回的内容。

    不同页面类型对应的页面内容样式:

    • text/html:<html><body>Forbidden</body></html>
    • application/json:{"msg": "Forbidden"}
    • text/xml:<?xml version="1.0" encoding="utf-8"?><error> <msg>Forbidden</msg></error>

  8. 单击“确认”,添加的CC攻击防护规则展示在CC规则列表中。

    完成以上配置后,您还可以执行以下操作:

    • 查看规则状态:在防护规则列表,查看已添加的规则。此时,“规则状态”默认为“已开启”
    • 关闭规则:如果您暂时不想使该规则生效,可在目标规则“操作”列,单击“关闭”
    • 删除规则:如果您不再使用该规则,可在目标规则“操作”列,单击“删除”
    • 复制规则:在目标规则“操作”列,单击更多 > 修改更多 > 复制,修改或复制已添加的防护规则。
    • 验证防护效果
      1. 清理浏览器缓存,在浏览器中访问满足Cookie条件的“http://www.example.com/admin”页面,在60秒内刷新页面10次,正常情况下,在第11次访问该页面时,返回自定义的拦截页面;60秒后刷新目标页面,页面访问正常。
      2. “防护事件”页面,查看防护日志。

配置示例-人机验证

假如防护域名“www.example.com”已接入WAF,您可以参照以下操作步骤验证人机验证防护效果。

  1. 单击“CC攻击防护”配置框,确认已开启CC攻击防护规则。

    :开启状态。

  2. 添加防护动作为“人机验证”CC防护规则。

  3. 清理浏览器缓存,在浏览器中访问“http://www.example.com/admin/”页面。

    当您在60秒内访问页面10次,在第11次访问该页面时,页面弹出验证码。此时,您需要输入验证码才能继续访问。

  4. 返回Web应用防火墙管理控制台,在左侧导航树中,单击“防护事件”,进入“防护事件”页面,您可以查看该防护事件。