文档首页/ Web应用防火墙 WAF/ 用户指南/ 配置防护策略/ 配置CC攻击防护规则防御CC攻击
更新时间:2024-11-19 GMT+08:00
分享

配置CC攻击防护规则防御CC攻击

CC攻击防护规则支持通过限制单个IP/Cookie/Referer访问者对防护网站上源端的访问频率,同时支持策略限速(同一策略下对应的所有域名请求次数合并限速)、域名限速(每个域名单独统计总请求次数)和URL限速(每个URL请求单独统计请求次数),精准识别CC攻击以及有效缓解CC攻击;当您配置完CC攻击防护规则并开启CC攻击防护后(即“CC攻击防护”配置框的“状态”),WAF才能根据您配置的CC攻击防护规则进行CC攻击防护。

CC攻击防护规则可以添加引用表,引用表防护规则对所有防护域名都生效,即所有防护域名都可以使用CC攻击防护规则的引用表。

如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能为该企业项目下域名配置防护策略。

前提条件

约束条件

  • 云模式入门版和标准版不支持引用表管理功能。
  • “逻辑”关系选择“包含任意一个”“不包含任意一个”“等于任意一个”“不等于任意一个”“前缀为任意一个”“前缀不为任意一个”“后缀为任意一个”或者“后缀不为任意一个”时,需要选择引用表,创建引用表的详细操作请参见创建引用表对防护指标进行批量配置
  • 仅云模式的CNAME接入方式支持配置“全局计数”
  • 使用云模式WAF时,如果WAF前使用了高防、CDN(Content Delivery Network,内容分发网络)、云加速等代理时,建议“限速模式”选择源限速 > 用户限速,并勾选“全局计数”

    如果网站在接入WAF前,已经使用了CDN、高防等其他代理服务,WAF收到的访问IP会被分散到各个WAF节点进行流量转发,WAF默认为WAF节点单独计数。因此,WAF针对单个Web访问者的访问次数的计数会分散,所以“限速频率”中访问次数的设置原则如下:

    • 云模式CNAME接入:该模式支持“全局计数”,即支持将已经标识的请求在一个或多个WAF节点上的计数聚合,因此,配置时勾选“全局计数”即可。
    • 独享模式:该模式暂不支持“全局计数”,因此配置“限速频率”中访问次数应配置为允许单个Web访问者在限速周期内访问网站的次数/MIN(WAF前使用的代理服务总数:WAF节点数)。

      例如,WAF前已使用3个代理服务,WAF节点数(防护该网站的独享引擎实例数)为2,则取其最小值为2,如果您想当单个Web访问者在限速周期内访问网站的次数不能超过1000次,则“限速频率”中访问次数应配置为1000除以2,500。

  • “云模式-ELB接入”方式不支持“Response Code”、“Response Length”、“Response Time”、“Response Header”和“Response Body”字段,且“云模式-CNAME”仅铂金版支持响应字段。
  • 添加或修改防护规则后,规则生效需要等待几分钟。规则生效后,您可以在“防护事件”页面查看防护效果。

配置CC攻击防护规则

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域或项目。
  3. 单击页面左上方的,选择安全与合规 > Web应用防火墙 WAF
  4. 在左侧导航树中,选择“防护策略”,进入“防护策略”页面。
  5. 单击目标策略名称,进入目标策略的防护配置页面。
  6. 选择“CC攻击防护”配置框,用户可根据自己的需要开启或关闭CC攻击防护策略。

    • :开启状态。
    • :关闭状态。

  7. “CC攻击防护”规则配置列表左上方,单击“添加规则”
  8. 在弹出的对话框中,根据表1配置CC防护规则。

    例如,通过配置CC攻击防护规则实现以下功能:根据Cookie标识的用户字段(例如name),当WAF识别到同一name值的用户在60秒内访问您域名下的URL(例如,/admin*)页面超过10次时,封禁该用户访问目标网址600秒。

    图1 添加CC防护规则
    表1 CC防护规则参数说明

    参数

    参数说明

    取值样例

    规则名称

    自定义规则名称。

    waftest

    规则描述

    可选参数,设置该规则的备注信息。

    --

    限速模式

    • “源限速”:对源端限速,如某IP(或用户)的访问频率超过限速频率,就会对该IP(或用户)的访问限速。
      • “IP限速”:根据IP区分单个Web访问者。
      • “用户限速”:根据Cookie键值或者Header区分单个Web访问者。
      • “其他”:根据Referer(自定义请求访问的来源)字段区分单个Web访问者。
      说明:

      选择“其他”时,“Referer”对应的“内容”填写为包含域名的完整URL链接,仅支持前缀匹配和精准匹配的逻辑,“内容”里不能含有连续的多条斜线的配置,如“///admin”,WAF引擎会将“///”转为“/”

      例如:如果用户不希望访问者从“www.test.com”访问网站,则“Referer”对应的“内容”设置为“http://www.test.com”

    • “目的限速”:选择该参数时,可选择以下限速类型进行配置:
      • “策略限速” :当多个域名共用一个策略时,该策略下对应的所有域名请求次数合并限速(不区分访问IP);泛域名防护场景时,该泛域名对应的所有子域名的请求次数合并限速(不区分访问IP)。
      • “域名限速”:每个域名单独统计总请求次数,超过设定值则触发防护动作(不区分访问IP)。
      • “URL限速”:每个URL请求单独统计请求次数,超过设定值则触发防护动作(不区分访问IP)。

    --

    用户标识

    “限速模式”选择源限速 > 用户限速时,需要配置此参数:

    • 选择Cookie时,设置Cookie字段名,即用户需要根据网站实际情况配置唯一可识别Web访问者的Cookie中的某属性变量名。用户标识的Cookie,不支持正则,必须完全匹配。

      例如:如果网站使用Cookie中的某个字段name唯一标识用户,那么可以用name字段来区分Web访问者。

    • 选择Header时,设置需要防护的自定义HTTP首部,即用户需要根据网站实际情况配置可识别Web访问者的HTTP首部。

    name

    域名聚合统计

    “限速模式”选择目的限速 > 策略限速时,不需要配置此参数。

    默认关闭,开启后,泛域名对应的所有子域名的请求次数合并限速(不区分访问IP)。例如,配置的泛域名为“*.a.com”,会将所有子域名(b.a.com,c.a.com等)的请求一起聚合统计。

    --

    限速条件

    单击“添加条件”增加新的条件,至少配置一项条件,最多可添加30项条件,多个条件同时满足时,本条规则才生效。

    • 字段
    • 子字段:当“字段”选择IPv4、IPv6、Cookie、Header、Params时,请根据实际需求配置子字段。
      须知:

      子字段的长度不能超过2048字节。

    • 逻辑:在“逻辑”下拉列表中选择需要的逻辑关系。
      说明:

      “逻辑”关系选择“包含任意一个”“不包含任意一个”“等于任意一个”“不等于任意一个”“前缀为任意一个”“前缀不为任意一个”“后缀为任意一个”或者“后缀不为任意一个”时,需要选择引用表,创建引用表的详细操作请参见创建引用表对防护指标进行批量配置

    • 内容:输入或者选择条件匹配的内容。

    “路径”包含“/admin/”

    限速频率

    单个Web访问者在限速周期内可以正常访问的次数,如果超过该访问次数,Web应用防火墙服务将根据配置的“防护动作”来处理。

    “全局计数”:根据不同的限速模式,将已经标识的请求在一个或多个WAF节点上的计数聚合。默认为每WAF节点单独计数,开启后本区域所有节点合并计数。“IP限速”不能满足针对某个用户进行限速,需要选择“用户限速”“其他”的Referer限速,此时标识的请求可能会访问到不同的WAF节点,开启全局计数后,将请求访问的一个或多个WAF节点访问量聚合,达到全局统计的目的。

    说明:

    如果网站在接入WAF前,已经使用了CDN、高防等其他代理服务,WAF收到的访问IP会被分散到各个WAF节点进行流量转发,WAF默认为WAF节点单独计数。因此,WAF针对单个Web访问者的访问次数的计数会分散,所以“限速频率”中访问次数的设置原则如下:

    • 云模式CNAME接入:该模式支持“全局计数”,即支持将已经标识的请求在一个或多个WAF节点上的计数聚合,因此,配置时勾选“全局计数”即可。
    • 独享模式:该模式暂不支持“全局计数”,因此配置“限速频率”中访问次数应配置为允许单个Web访问者在限速周期内访问网站的次数/MIN(WAF前使用的代理服务总数:WAF节点数)。

      例如,WAF前已使用3个代理服务,WAF节点数(防护该网站的独享引擎实例数)为2,则取其最小值为2,如果您想当单个Web访问者在限速周期内访问网站的次数不能超过1000次,则“限速频率”中访问次数应配置为1000除以2,500。

    10次/60秒

    防护动作

    当访问的请求频率超过“限速频率”时,可设置以下防护动作:

    • 人机验证:表示超过“限速频率”后弹出验证码,进行人机验证,完成验证后,请求将不受访问限制。人机验证目前支持英文。
    • 阻断:表示超过“限速频率”将直接阻断。
    • 动态阻断:上一个限速周期内,请求频率超过“限速频率”将被阻断,那么在下一个限速周期内,请求频率超过“放行频率”将被阻断。
    • 仅记录:表示超过“限速频率”将只记录不阻断。
    • JS挑战:表示WAF向客户端返回一段正常浏览器可以自动执行的JavaScript代码。如果客户端正常执行了JavaScript代码,则WAF在一段时间(默认30分钟)内放行该客户端的所有请求(不需要重复验证),否则拦截请求。

    阻断

    锁定验证

    “防护动作”选择“人机验证”时,需要配置该参数。

    当人机验证未通过时,在设定时间内的访问都要进行验证。

    300秒

    生效模式

    • 立即生效:防护规则开启后,规则立即生效。
    • 自定义:自定义规则生效时间段。

    立即生效

    放行频率

    “防护动作”选择“动态阻断”时,可配置放行频率。

    如果在一个限速周期内,访问超过“限速频率”触发了拦截,那么,在下一个限速周期内,拦截阈值动态调整为“放行频率”

    “放行频率”小于等于“限速频率”

    说明:

    “放行频率”设置为0时,表示如果上一个限速周期发生过拦截后,下一个限速周期所有的请求都不放行。

    8次/60秒

    阻断时长

    “防护动作”选择“阻断”时,可设置阻断后恢复正常访问页面的时间。

    600秒

    阻断页面

    “防护动作”选择“阻断”时,需要设置该参数,即当访问超过限速频率时,返回的错误页面。

    • 当选择“默认设置”时,返回的错误页面为系统默认的阻断页面。
    • 当选择“自定义”,返回错误信息由用户自定义。

    自定义

    页面类型

    “阻断页面”选择“自定义”时,可选择阻断页面的类型“application/json”“text/html”或者“text/xml”

    text/html

    页面内容

    “阻断页面”选择“自定义”时,可设置自定义返回的内容。

    不同页面类型对应的页面内容样式:

    • text/html:<html><body>Forbidden</body></html>
    • application/json:{"msg": "Forbidden"}
    • text/xml:<?xml version="1.0" encoding="utf-8"?><error> <msg>Forbidden</msg></error>

  9. 单击“确认”,添加的CC攻击防护规则展示在CC规则列表中。

    • 规则添加成功后,默认的“规则状态”“已开启”,如果您暂时不想使该规则生效,可在目标规则所在行的“操作”列,单击“关闭”
    • 如果需要修改添加的CC攻击防护规则时,可单击待修改的CC攻击防护规则所在行的“修改”,修改CC攻击防护规则。
    • 如果需要删除用户自行添加的CC攻击防护规则时,可单击待删除的CC攻击防护规则所在行的“删除”,删除CC攻击防护规则。

防护效果

假如已添加域名“www.example.com”,且配置了如图1所示“阻断”防护动作的CC防护规则。可参照以下步骤验证防护效果:

  1. 清理浏览器缓存,在浏览器中输入防护域名,测试网站域名是否能正常访问。

    • 不能正常访问,参照网站设置章节重新完成域名接入。
    • 能正常访问,执行2

  2. 清理浏览器缓存,在浏览器中访问满足Cookie条件的“http://www.example.com/admin”页面,在60秒内刷新页面10次,正常情况下,在第11次访问该页面时,返回自定义的拦截页面;60秒后刷新目标页面,页面访问正常。

    如果您设置了“人机验证”防护动作,当用户访问超过限制后需要输入验证码才能继续访问。

  3. 返回Web应用防火墙控制界面,在左侧导航树中,单击“防护事件”,进入“防护事件”页面,查看防护域名拦截日志。

配置示例-人机验证

假如防护域名“www.example.com”已接入WAF,您可以参照以下操作步骤验证人机验证防护效果。

  1. 添加防护动作为“人机验证”CC防护规则。

    图2 添加“人机验证”防护规则

  2. 开启CC攻击防护。

    图3 开启CC防护

  3. 清理浏览器缓存,在浏览器中访问“http://www.example.com/admin/”页面。

    当您在60秒内访问页面10次,在第11次访问该页面时,页面弹出验证码。此时,您需要输入验证码才能继续访问。

  4. 返回Web应用防火墙管理控制台,在左侧导航树中,单击“防护事件”,进入“防护事件”页面,您可以查看该防护事件。

相关文档