【最佳实践】巡检项：内容分发网络（CDN）IP 访问限频

问题描述

对于有些业务，用户希望对业务资源的访问来源进行控制，防止恶意的用户盗刷场景。对于这种场景，我们推荐设置『IP访问限频配置』通过对单IP节点在每一秒钟的访问次数进行合理的阀值限制， 从而减少这种问题的发生。

解决方案

IP访问限频可以通过如下两种办法实现：

1. CDN自带『访问控制』的IP访问限频设置
2. SCDN高级限频配置

1.CDN『访问控制』的IP访问限频设置

CDN『访问控制』选项提供的IP访问限频是针对客户端的IP访问次数过大，落入单机的阀值到达设定的阀值以后，直接返回514状态码的方法进行限制访问频率。如果对IP访问限频要求比较单一的情况下可以采用这种方法。

下面的操作是关于如何配置CDN自带的IP限频设置。

1.1 查看配置

登录CDN 控制台，在菜单栏里选择【域名管理】，单击域名右侧【管理】，即可进入域名配置页面，第二栏【访问控制】中可看到 IP 访问限频配置，默认情况下配置为关闭状态，阈值为空：

配置设置

1.2 管理配置

如果是关闭情况下单击开关，填充频次控制阈值并单击【确认】，即可启用 IP 访问限频控制。 如果是开启状态下， 点击『编辑』即可以打开阀值设置对话框，进行设置修改。

管理配置

1.3 注意事项

• 配置开启后，阀值需要根据业务场景使用情况合理设置。如果超出 QPS 限制的请求会直接返回514，设置较低频次限制可能会影响正常高频用户的使用。
• 限频仅针对与单 IP 单节点访问次数进行约束，若恶意用户海量 IP 针对性的进行全网节点攻击，则通过此功能无法进行有效控制。如果对安全要求较高的业务，建议开启SCDN进行专业的防护。
• 如果加速域名是全球加速，则设置IP 访问限频会全球生效，不支持境内、境外差异化配置

2.SCDN 高级IP访问限频设置

如果需要进行DDOS防护，需要开通SCDN，然后结合用户多维度⾃定义限频配置对七层流量进⾏观察/拦截/重定向，达到控制恶意⾼频请求的⽬的。比起第一种办法更加全面和灵活的对业务进行防护。该功能默认关闭，需要开启并设置自定义限频规则后，才能拦截七层流量攻击。

下面的操作是关于如何配置SCDN的IP限频策略。

2.1 查看配置

登录CDN 控制台，在CDN菜单栏里选择【安全防护】，点击下拉按钮，选择【防护设置】在右侧即可以看到『DDOS防护』：

2.2 管理配置

在自定义规则一栏点击『新建规则』，设置自定义限频规则。可以根据业务需求配置检测时长，访问阀值。还可以为了避免配置影响到正常用户访问，先配置为『观察』模式， 发现恶意IP，UA行为以后，再进行拦截，重定向设置

七层IP限频设置管理

• 访问目标类型：支持根据协议、请求方法、域名、请求源 IP、URI、首页、文件全路径、文件拓展名、请求参数、Referer、Cookie、User-Agent、自定义请求头等特征进行规则配置，对具有一定特征的高频攻击进行拦截。
• 访问频次：可根据业务情况设置访问频次。建议输入正常访问次数的3倍 - 10倍，例如，网站人平均访问20次/分钟，可配置为60次/分钟 - 200次/分钟，可依据被攻击严重程度调整。
• IP 惩罚:：可根据业务情况，结合拦截动作对明显具有攻击特征的 IP 进行惩罚，设置不允许其访问的惩罚时长。系统将根据设置的匹配条件和检测时长，对触发访问阈值的 IP 进行惩罚。

2.3 注意事项

• 当前IP 惩罚仅面向单节点、单 IP 进行访问频次统计与惩罚。
• 当前仅基于中国境内 SCDN 服务已开放 自助购买。