通过CC攻击防护规则实现CC防护
CC(Challenge Collapsar,以下简称CC)防护对单Web应用访问者IP或者Cookie键值进行访问频率限制,超过限制时通过人机识别或阻断访问,阻断页面可自定义内容和类型,满足业务多样化需要。
CC攻击防护规则根据IP或Cookie字段名设置灵活的限速策略,精准识别CC攻击以及有效缓解CC攻击。
本指南引导您通过Web应用防火墙服务快速配置CC攻击防护策略。
操作流程
操作步骤 |
说明 |
|---|---|
注册华为账号、开通华为云,并为账户充值、赋予WAF权限。 |
|
购买WAF,选择业务防护区域、WAF模式等信息。 |
|
将防护网站添加到WAF防护,实现WAF流量检测并转发。 |
|
配置并开启CC攻击防护规则,助力网站有效缓解CC攻击。 |
准备工作
- 在购买Web应用防火墙之前,请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。
如果您已开通华为云并进行实名认证,请忽略此步骤。
- 请保证账户有足够的资金,以免购买Web应用防火墙失败。
- 请确保已为账号赋予相关WAF权限。具体操作请参见创建用户组并授权使用WAF。
表1 WAF系统角色 系统角色/策略名称
描述
类别
依赖关系
WAF Administrator
Web应用防火墙服务的管理员权限。
系统角色
依赖Tenant Guest和Server Administrator角色。
- Tenant Guest:全局级角色,在全局项目中勾选。
- Server Administrator:项目级角色,在同项目中勾选。
WAF FullAccess
Web应用防火墙服务的所有权限。
系统策略
无。
WAF ReadOnlyAccess
Web应用防火墙的只读访问权限。
系统策略
步骤一:购买WAF
WAF提供了三种不同的WAF接入模式,云模式-CNAME接入、云模式-ELB接入和独享模式,三种接入模式之间的差别,请参见服务版本差异。
本节以购买WAF云模式,通过云模式-CNAME接入方式实现CC防护为例进行介绍。如需使用独享模式,请参考购买WAF独享模式。
- 登录华为云管理控制台。
- 在控制台页面中选择,进入Web应用防火墙控制台。
- 在页面右上角,单击“购买WAF实例”,进入购买页面,选择“WAF模式”,完成WAF实例的购买。
- “区域”:根据防护业务的所在区域就近选择购买的WAF区域。
- “版本规格”:建议选择“标准版”及以上版本。
- “扩展包”及“购买时长”:根据具体情况进行选择。
- 确认参数配置无误后,在页面右下角单击“立即购买”。
- 确认订单详情无误后,阅读并勾选《华为云Web应用防火墙免责声明》,单击“去支付”,完成购买操作。
- 进入“付款”页面,选择付款方式进行付款。
步骤二:将防护网站添加到WAF
获取信息 |
参数 |
说明 |
示例 |
|---|---|---|---|
域名是否使用代理 |
是否已使用代理 |
|
无代理 |
配置参数 |
防护域名 |
由一串用点分隔的英文字母组成(以字符串的形式来表示服务器IP),用户通过域名来访问网站。 |
www.example.com |
防护域名端口 |
需要防护的域名对应的业务端口。 |
80 |
|
对外协议 |
客户端(例如浏览器)请求访问网站的协议类型。WAF支持“HTTP”、“HTTPS”两种协议类型。 |
HTTP |
|
源站协议 |
WAF转发客户端(例如浏览器)请求的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 |
HTTP |
|
源站地址 |
客户端(例如浏览器)访问网站所在源站服务器的公网IP地址(一般对应该域名在DNS服务商处配置的A记录)或者域名(一般对应该域名在DNS服务商处配置的CNAME)。 |
XXX.XXX.1.1 |
|
(可选)证书 |
证书名称 |
对外协议选择“HTTPS”时,需要在WAF上配置证书,将证书绑定到防护域名。
须知:
WAF当前仅支持PEM格式证书。如果证书为非PEM格式,请参考如何将非PEM格式的证书转换为PEM格式?转化证书格式。 |
- |
具体操作请参见将网站接入WAF防护(云模式-CNAME接入)。
步骤三:开通CC攻击防护
- 在左侧导航树中,选择“防护策略”,进入“防护策略”页面。
- 单击目标策略名称,进入目标策略的防护配置页面。
- 选择“CC攻击防护”配置框,开启CC攻击防护策略。
:开启状态。
:关闭状态。 - 在“CC攻击防护”规则配置列表左上方,单击“添加规则”,在弹出的对话框中,配置CC防护规则。
- 确认参数配置无误后,单击“确认”。
相关信息
关于CC攻击防护更多详细的操作,请参见配置CC攻击防护规则防御CC攻击。
