配置智能访问控制规则精准智能防御CC攻击
开启智能访问控制规则后,WAF中的压力学习模型会根据源站返回的HTTP状态码和时延等来实时地感知源站的压力,从而识别源站是否被CC攻击了,WAF再根据异常检测模型实时地检测源站在HTTP协议上的特征的异常行为,然后基于这些异常特征,使用AI算法生成精准防护规则和CC防护规则,来防御CC攻击,保护您的网站安全。
智能访问控制功能现处于公测阶段,如需使用请提交工单申请开通智能访问控制功能。
前提条件
- 已添加防护网站或已新增防护策略。
- 云模式-CNAME接入的接入方式参见将网站接入WAF防护(云模式-CNAME接入)章节。
- 云模式-ELB接入的接入方式参见 将网站接入WAF防护(云模式-ELB接入)章节。
- 独享模式的接入方式参见将网站接入WAF防护(独享模式)章节。
- 如果使用独享WAF,确保独享引擎已升级到最新版本,具体的操作请参见升级独享引擎实例。
约束条件
- “云模式”仅专业版和铂金版支持智能访问控制规则。
- 仅“华北”区域支持智能访问控制规则。
- 智能访问控制规则的优先级最低。
- 通过“云模式-ELB接入”方式添加网站时,ELB配置的监听器中使用的“前端协议”为TCP、UDP、QUIC时,使用该规则不生效。
- 关闭智能“生成CC防护规则”,智能CC生成的所有规则同步删除。
- 关闭智能“生成精准防护规则”,智能精准防护规则生成的所有规则同步删除。
配置智能访问控制规则
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域或项目。
- 单击页面左上方的,选择 。
- 在左侧导航树中,选择“防护策略”,进入“防护策略”页面。
- 单击目标策略名称,进入目标策略的防护配置页面。
- 选择“智能访问控制”配置框,用户可根据自己的需要开启或关闭智能访问控制策略。
- :开启状态。
- :关闭状态。
- 单击“智能生成规则设置”,进入“智能生成规则设置”页面,参数配置参考表1。
图1 智能生成规则设置
表1 智能生成规则参数说明 规则
参数
参数说明
生成CC防护规则
动作
支持“仅记录”、“拦截”和“JS挑战”。
- 仅记录:发现攻击行为后只记录不阻断攻击。
- 拦截:发现攻击行为后立即阻断并记录。
- JS挑战:表示WAF向客户端返回一段正常浏览器可以自动执行的JavaScript代码。如果客户端正常执行了JavaScript代码,则WAF在一段时间(默认30分钟)内放行该客户端的所有请求(不需要重复验证),否则拦截请求。
老化时间
当攻击结束,生成的防护规则会在经过老化时间后被删除。
生成精准防护规则
动作
支持“仅记录”、“拦截”。
- 仅记录:发现攻击行为后只记录不阻断攻击。
- 拦截:发现攻击行为后立即阻断并记录。
老化时间
当攻击结束,生成的防护规则会在经过老化时间后被删除。
智能动态限速
防护动作
支持“仅记录”、“拦截”和“JS挑战”。
- 仅记录:发现攻击行为后只记录不阻断攻击。
- 拦截:发现攻击行为后立即阻断并记录。
- JS挑战:表示WAF向客户端返回一段正常浏览器可以自动执行的JavaScript代码。如果客户端正常执行了JavaScript代码,则WAF在一段时间(默认30分钟)内放行该客户端的所有请求(不需要重复验证),否则拦截请求。
防护等级
当发现防护规则拦截了您的正常业务时,可调整防护等级。宽松等级对业务的误报率降低,但漏报率可能会增高;而严格等级对业务的误报率可能会增高,但漏报率降低。
支持“宽松”、“正常”、“严格”三个等级。
最小阈值
- 如果对源站所学习到的基线小于“最小阈值”,就以“最小阈值”为限速频率。
- 如果所学习到的基线大于“最小阈值”,就以所学习到基线作为限速频率。
- 单击“确认”,规则配置完成。
单击“查看智能生成规则”,可查看WAF检测到CC攻击后自动生成的防护规则。