配置 CC 防护策略

最近更新时间:2019-09-17 14:58:21

操作场景

BGP 高防包支持 CC 防护功能,当高防包统计的 HTTP 请求量超过设定的【http 请求数阈值】时,自动触发 CC 防护。同时,BGP 高防包还支持 URL 白名单、IP 白名单和 IP 黑名单策略:

  • 白名单中的 URL,其访问请求将无需执行 CC 攻击检测,直接被放行。
  • 白名单中 IP,其 HTTP 访问请求将无需执行 CC 攻击检测,直接被放行。
  • 黑名单中 IP,其 HTTP 访问请求将直接被拒绝。

用户可根据业务特点和防护需求,自定义防护策略实现更精准的 CC 攻击拦截。

操作步骤

  1. 登录 DDoS 防护(大禹)管理控制台,选择【BGP 高防包】>【防护配置】,在【CC 攻击防护】页签,选择目标地域和高防包实例,进行 CC 防护配置。

  2. 单击【CC 防护】右侧的开启 CC 防护。

    说明:

    • CC 防护默认关闭。
    • 开启 CC 防护后,才可设置 HTTP 请求数阈值、自定义 CC 防护策略以及黑白名单。
  3. 单击【http 请求数阈值】右侧的下拉框选择合适的阈值。

  4. 单击【添加策略】,在【添加自定义策略】弹出框中,根据实际业务需求设置以下参数,单击【确定】完成配置。

    说明:

    • 仅在该高防包正在被攻击状态时,自定义策略才会生效。
    • 匹配模式下,每个自定义策略最多可以设置4个策略条件进行特征控制,且多个条件之间是“与”的关系,需要所有条件全部匹配策略才生效。
    • 限速模式下,每个自定义策略只允许设置1条策略条件。
    • 策略名称
      输入策略名称,长度为1 - 20字符,不限制字符类型。
    • 模式
      • 匹配模式:匹配到 HTTP 对应字段头的请求,执行拦截或验证码操作。
      • 限速模式:对源 IP 访问进行限速处理。
    • 策略
      • 当选择【匹配模式】时,支持从 HTTP 报文的 host 参数、CGI 参数、Referer 和 User-Agent 等多个特征进行组合,组合逻辑包括包含、不包含和等于。最多可以设置4个策略条件进行特征控制。
      • 当选择【限速模式】时,对每个源 IP 访问进行限速处理。只允许设置1个策略条件。
  5. 单击【URL 白名单】、【IP 白名单】或【IP 黑名单】页签,进行黑白名单配置,支持添加、删除。