开启熔断保护功能保护源站安全
网站接入WAF防护后,如果访问网站时,频繁遇到502 Bad Gateway、504 Gateway Timeout错误或请求处理延迟,WAF会启用熔断保护功能,以保障网站安全。
原理介绍
- 宕机保护:针对响应码异常进行的检测。如果访问网站时,频繁遇到502 Bad Gateway、504 Gateway Timeout错误,WAF会启用宕机保护功能,停止转发用户请求,以保障网站安全。
- 连接保护:针对TCP连接延迟的检测。如果访问网站时,频繁遇到请求处理延迟,WAF会启用连接保护功能,停止转发用户请求,以保障网站安全。
|
功能 |
触发条件 |
默认值 |
|---|---|---|
|
宕机保护 |
网站请求同时达到“502/504数量阈值”(即每30s累加的502/504数量阈值)和“502/504数量占比(%)”(即总请求数量中502/504数量占比达到所设定值)时,WAF将自动触发宕机保护机制,在“初次保护时间(秒)”内对网站实施宕机保护,停止转发用户请求来缓解大量502/504错误的访问压力。 如果1小时内,连续触发熔断机制,WAF则会按照设置的“连续触发叠加系数”延长宕机保护时间。例如,初次保护时间为180s,连续触发叠加系数为3,当触发次数为2(即小于3)时,保护时间为360s;当次数大于等于3时,保护时间为540s;当累计保护时间超过1小时,叠加次数会从头计数。 |
|
|
连接保护 |
网站等待响应的请求达到“读等待URL请求数量阈值”时,WAF将自动触发连接保护机制,在“保护时间(秒)”内网站实施连接保护,停止转发用户请求来缓解大量网站大量请求的访问压力。 |
|
约束条件
|
功能 |
约束说明 |
|---|---|
|
模式限制 |
|
|
地域限制 |
以控制台实际为准。 |
开启熔断保护
- 登录Web应用防火墙控制台。
- 在控制台左上角,单击
图标,选择区域或项目。 - (可选) 如果您已开通企业项目,在左侧导航栏上方,单击“按企业项目筛选”下拉框,选择您所在的企业项目。完成后,页面将为您展示该企业项目下的相关数据。
- 在左侧导航栏,单击“网站设置”。
- 在“网站设置”页面,单击目标网站域名。
- 在“熔断保护”所在行,单击
,开启熔断保护。
- 根据业务需要,在各参数所在行,单击
,配置“宕机保护”和“连接保护”参数值,并单击“确定”保存设置,参数说明如表2所示。
表2 参数说明 参数
参数说明
示例
宕机保护
502/504数量阈值
每30s累加的502/504数量阈值
1,000
502/504数量占比(%)
总请求数量中502/504数量占比达到所设定值,并且与数量阈值同时满足时触发宕机保护。
90
初次保护时间(秒)
初次触发宕机的保护时间,即WAF将停止转发用户请求的时间。
180
连续触发叠加系数
连续触发时,保护时间延长最大倍数,叠加周期为3600s。
例如,“初次保护时间”设置为180s,“连续触发叠加系数”设置为3。- 当触发次数为2(即小于3)时,保护时间为360s。
- 当次数大于等于3时,保护时间为540s。
- 当累计保护时间超过1小时(3600s),叠加次数会从头计数。
3
连接保护
读等待URL请求数量阈值
读等待URL请求数量到达设定值即触发连接保护
6,000
保护时间(秒)
达到数量阈值所触发的保护时间,即WAF将停止转发用户请求的时间。
60
以图1中设置的值为例,实现效果说明如下:- “宕机保护”:当防护网站的502/504错误返回量达到1,000条以上且占网站的所有访问请求量的90%及以上时,第一次触发时,WAF将停止转发用户请求180s(即阻止用户访问网站180s);连续第二次触发时,WAF将停止转发用户请求360s;连续第三次及以上触发时,WAF将停止转发用户请求540s。当累计保护时间超过1小时(3,600s),叠加次数会从头计数。
- “连接保护”:访问网站的读等待URL请求数量达到6,000以上时,WAF将停止转发用户请求60s,且将返回网站的维护页面。
