配置CC攻击防护规则

CC攻击防护规则支持通过限制单个IP/Cookie/Referer访问者对防护网站上特定路径（URL）的访问频率，精准识别CC攻击以及有效缓解CC攻击。当您配置完CC攻击防护规则并开启CC攻击防护后（即“CC攻击防护”配置框的“状态”为），WAF才能根据您配置的CC攻击防护规则进行CC攻击防护。

如果您已开通企业项目，您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限，才能为该企业项目下域名配置防护策略。

前提条件

已添加防护网站。

规格限制

检测版不支持该功能。

约束条件

同一“路径”请配置一条CC攻击防护规则，多条相同“路径”的CC攻击防护规则可能会发生冲突，导致配置的CC攻击防护规则不生效。如果您配置了多条相同“路径”的CC攻击防护规则，请删除多余的防护规则。
添加或修改防护规则后，规则生效需要等待几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。
CC攻击防护规则可以添加引用表，引用表防护规则对所有防护域名都生效，即所有防护域名都可以使用CC攻击防护规则的引用表。
CC攻击防护规则支持“人机验证”、“阻断”等防护动作，您可以根据使用需求设置对应的防护动作。例如，通过配置CC攻击防护规则实现以下功能：根据Cookie标识的用户字段（例如name），当WAF识别到同一name值的用户在60秒内访问您域名下的URL（例如，/admin*）页面超过10次时，封禁该用户访问目标网址600秒。
标准版（原专业版）不支持高级工作模式。
标准版（原专业版）不支持引用表管理功能。
CC防护规则中的“路径”需要配置为URL链接（不包含域名），且该参数仅支持前缀匹配和精准匹配，说明如下：
- 前缀匹配：以*结尾代表以该路径为前缀。例如，需要防护的路径为“/admin/test.php”或 “/adminabc”，则路径可以填写为“/admin*”。
- 精准匹配：需要防护的路径需要与此处填写的路径完全一致。例如，需要防护的路径为“/admin”，该规则必须填写为“/admin”。
网站同时接入WAF和CDN（Content Delivery Network，内容分发网络）时，如果“防护动作”配置为“人机验证”，请注意：
- 建议防护规则的“路径”配置为动态页面。
- 防护规则的“路径”中包含静态页面时，静态页面将被CDN缓存，导致验证一直不通过，请参考配置“人机验证”CC防护规则后，验证码不能刷新，验证一直不通过，如何处理？

操作步骤

登录管理控制台。
进入防护策略配置入口，如图1所示。
图1 防护策略配置入口

在“CC攻击防护”配置框中，用户可根据自己的需要更改“状态”，单击“自定义CC攻击防护规则”，进入CC防护规则配置页面，如图2所示。
图2 CC防护规则配置框
在“CC防护”规则配置页面左上角，单击“添加规则”。

在弹出的对话框中，根据表1配置CC防护规则。

以图3的配置为例，其含义为：Cookie标识为“name”字段的同一值的用户访问目标地址（以/admin为前缀的地址，例如，https://www.example.com/adminlogic）时，一旦在60秒内访问超过10次，就直接阻断该Cookie用户访问目标URL地址，阻断操作持续600秒，阻断页面返回自定义的页面内容。

图3 添加CC防护规则
点击放大

表1 CC防护规则参数说明
参数	参数说明	取值样例
工作模式	标准：只支持对域名的防护路径做限制。高级：支持对路径、IP、Cookie字段做限制。标准版（原专业版）不支持高级模式。	标准
路径	当“工作模式”选择“标准”时，才配置此参数。 CC防护的URL链接，不包含域名。前缀匹配：以结尾代表以该路径为前缀。例如，需要防护的路径为“/admin/test.php”或 “/adminabc”，则路径可以填写为“/admin”。精准匹配：需要防护的路径需要与此处填写的路径完全一致。例如，需要防护的路径为“/admin”，该规则必须填写为“/admin”。说明：该路径不支持正则，仅支持前缀匹配和精准匹配的逻辑。路径里不能含有连续多条斜线的配置，如“///admin”，WAF引擎会将“///”转为“/”。该路径区分大小写。路径设置为“/”时，表示防护网站所有路径。	/admin*
条件列表	当“工作模式”选择“高级”时，才配置此参数。单击“添加”增加新的条件，至少配置一项条件，最多可添加30项条件，多个条件同时满足时，本条规则才生效。字段：路径、IP、Cookie。子字段：当“字段”选择“Cookie”时，请根据实际需求配置子字段。须知：子字段的长度不能超过2048字节，且只能由数字、字母、下划线和中划线组成。逻辑：在“逻辑”下拉列表中选择需要的逻辑关系。说明：当“逻辑”关系选择“包含任意一个”、“不包含所有”、“等于任意一个”、“不等于所有”、“前缀为任意一个”、“前缀不为所有”、“后缀为任意一个”或者“后缀不为所有”时，需要选择引用表，创建引用表的详细操作请参见创建引用表。内容：输入或者选择条件匹配的内容。	“路径”包含“/admin/”
限速模式	IP限速：根据IP区分单个Web访问者。用户限速：根据Cookie键值区分单个Web访问者。其他：根据Referer（自定义请求访问的来源）字段区分单个Web访问者。说明：当“防护模式”选择“其他”时，“Referer”对应的“内容”填写为包含域名的完整URL链接，仅支持前缀匹配和精准匹配的逻辑，“内容”里不能含有连续的多条斜线的配置，如“///admin”，WAF引擎会将“///”转为“/”。例如：防护路径设置为“/admin”，若用户不希望访问者从“www.test.com”访问该页面，则“Referer”对应的“内容”设置为“http://www.test.com”。	用户限速
用户标识	“防护模式”选择“用户限速”时，需要设置Cookie字段名，即用户需要根据网站实际情况配置唯一可识别Web访问者的Cookie中的某属性变量名。用户标识的Cookie，不支持正则，必须完全匹配。例如：如果网站使用Cookie中的某个字段name唯一标识用户，那么可以选取name字段来区分Web访问者。	name
限速频率	单个Web访问者在限速周期内可以正常访问的次数，如果超过该访问次数，Web应用防火墙服务将根据配置的“防护动作”来处理。	10次/60秒
防护动作	当访问的请求频率超过“限速频率”时，可设置以下防护动作：人机验证：表示超过“限速频率”后弹出验证码，进行人机验证，完成验证后，请求将不受访问限制。人机验证目前支持英文。阻断：表示超过“限速频率”将直接阻断。动态阻断：上一个限速周期内，请求频率超过“限速频率”将被阻断，那么在下一个限速周期内，请求频率超过“放行频率”将被阻断。仅“工作模式”选择“高级”时，才支持此防护动作。仅记录：表示超过“限速频率”将只记录不阻断。可下载防护事件数据查看域名的防护日志。	阻断
放行频率	当“防护动作”选择“动态阻断”时，可配置放行频率。如果在一个限速周期内，访问超过“限速频率”触发了拦截，那么，在下一个限速周期内，拦截阈值动态调整为“放行频率”。 “放行频率”小于等于“限速频率”。说明：当“放行频率”设置为0时，表示如果上一个限速周期发生过拦截后，下一个限速周期所有的请求都不放行。	8次/60秒
阻断时长	当“防护动作”选择“阻断”时，可设置阻断后恢复正常访问页面的时间。	600秒
阻断页面	当“防护动作”选择“阻断”时，需要设置，即当访问超过限速频率时，返回的错误页面。当选择“默认设置”时，返回的错误页面为系统默认的阻断页面。当选择“自定义”，返回错误信息由用户自定义。	自定义
页面类型	当“阻断页面”选择“自定义”时，可选择阻断页面的类型“application/json”、“text/html”或者“text/xml”。	text/html
页面内容	当“阻断页面”选择“自定义”时，可设置自定义返回的内容。	不同页面类型对应的页面内容样式： text/html：<html><body>Forbidden</body></html> application/json：{"msg": "Forbidden"} text/xml：<?xml version="1.0" encoding="utf-8"?><error> <msg>Forbidden</msg></error>
规则描述	可选参数，设置该规则的备注信息。	--

单击“确认添加”，添加的CC攻击防护规则展示在CC规则列表中。
图4 CC规则列表
- 规则添加成功后，默认的“规则状态”为“已开启”，若您暂时不想使该规则生效，可在目标规则所在行的“操作”列，单击“关闭”。
- 若需要修改添加的CC攻击防护规则时，可单击待修改的CC攻击防护规则所在行的“修改”，修改CC攻击防护规则。
- 若需要删除用户自行添加的CC攻击防护规则时，可单击待删除的CC攻击防护规则所在行的“删除”，删除CC攻击防护规则。

配置示例-人机验证

假如防护域名“www.example.com”已接入WAF，您可以参照以下操作步骤验证人机验证防护效果。

添加防护动作为“人机验证”CC防护规则。
图5 添加“人机验证”防护规则
开启CC攻击防护。
图6 CC防护规则配置框
清理浏览器缓存，在浏览器中访问“http://www.example.com/admin/”页面。
当您在60秒内访问页面10次，在第11次访问该页面时，页面弹出验证码。此时，您需要输入验证码才能继续访问。
返回Web应用防火墙管理控制台，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，您可以查看该防护事件。
图7 查看防护事件-人机验证