Web 应用防火墙
有奖捉虫:办公协同&微信生态&物联网文档专题 HOT
文档中心 > Web 应用防火墙 > 最佳实践 > 防护与配置相关 > 如何设置 CC 防护

如何设置 CC 防护

最近更新时间:2023-09-25 10:09:34

我的收藏

本页目录:

本文将为您介绍如何在 Web 应用防火墙控制台设置 CC 防护。

背景信息

CC 防护可以对网站特定的 URL 进行访问保护,CC 防护支持紧急模式 CC 防护和自定义 CC 防护策略。
注意
紧急模式 CC 防护策略和自定义 CC 规则防护策略,不能同时开启。

操作步骤

示例一:紧急模式 CC 防护设置

注意
紧急模式 CC 防护默认关闭,开启前请确认自定义 CC 防护规则处于未启用状态。
1. 登录 Web 应用防火墙控制台,在左侧导航栏选择基础安全
2. 在基础安全页面,左上角选择需要防护的域名,单击 CC 防护,进入 CC 防护页面。

3. 在紧急模式 CC 防护模块中,单击状态右侧的

,经过二次确认后,开启紧急模式 CC 防护。
说明
当开启紧急模式 CC 防护时,若网站遭大流量 CC 攻击会自动触发防护(网站 QPS 不低于1000QPS),无需人工参与。若无明确的防护路径,建议启用紧急模式 CC 防护,可能会存在一定误报。可以在控制台进入黑白名单,对拦截 IP 信息,进行加白处理。
如果知晓明确的防护路径,建议使用自定义 CC 规则进行防护。





示例二: 基于访问源 IP 的 CC 防护设置

基于 IP 的 CC 防护策略,不需要对 SESSION 维度进行设置,直接配置即可。
1. 登录 Web 应用防火墙控制台,在左侧导航栏选择基础安全
2. 在基础安全页面,左上角选择需要防护的域名,单击 CC 防护,进入 CC 防护页面。


3. 在 CC 防护页面,单击添加规则,弹出添加 CC 防护规则弹窗。


4. 在添加 CC 防护规则弹窗中,填写相应信息。
注意
IP 为识别方式时,规则被触发拦截时会全站封锁(该 IP 访问其他 URL 也拦截),SESSION 则不会全站拦截。

参数说明:
规则名称:自定义名称,50个字符以内。
识别方式: IP、SESSION。
匹配方式:包括相等、前缀匹配和包含。
高级匹配:通过进行 GET 表单和 POST 表单参数过滤,支持更加精细化频率控制,提高命中率。
匹配字段:指定请求方法,支持 GET 或 POST。
参数名:请求字段中的参数名,最多512字符。
参数值:请求字段中的参数值,最多512字符。 示例说明:如下三条 GET 请求测试数据:a=1&b=11、a=2&b=12、 a=3&b=13。
如果 GET 配置参数名为 a,参数值为1,则1命中。
如果 GET 配置参数名为 a,参数值为*,则1、2、3均命中。
访问频次:根据业务情况设置访问频次。建议输入正常访问次数的3倍 - 10倍,例如,网站人平均访问20次/分钟,可配置为60次/分钟 - 200次/分钟,可依据被攻击严重程度调整。
执行动作:观察、人机识别和阻断。
惩罚时长:最短为1分钟,最长为一周。
优先级:请输入1 - 100的整数,数字越小,代表这条规则的执行优先级越高,相同优先级下,创建时间越晚,优先级越高。

示例三: 基于 SESSION 的 CC 防护设置

基于 SESSION 访问速率的 CC 防护,能够有效解决在办公网、商超和公共 Wi-Fi 场合,用户因使用相同 IP 出口而导致的误拦截问题。
注意
使用基于 SESSION 的 CC 防护策略,需要先进行 SESSION 设置,才能设置基于 SESSION 的 CC 防护策略,下文步骤1 - 步骤4为 SESSION 设置操作。
1. 登录 Web 应用防火墙控制台,在左侧导航栏选择基础安全
2. 在基础安全页面,左上角选择需要防护的域名,单击 CC 防护,进入 CC 防护页面。


3. 在 SESSION 设置模块中,单击设置,设置 SESSION 维度信息。


4. 在 SESSION 设置弹窗,此示例选择 COOKIE 作为测试内容,标识为 security,开始位置为0,结束位置为9,配置完成后单击确定即可。


参数说明:
SESSION 位置:可选择 COOKIE、GET 或 POST,其中 GET 或 POST 是指 HTTP 请求内容参数,非 HTTP 头部信息。
匹配说明:位置匹配或者字符串匹配。
SESSION 标识:取值标识,32个字符以内。
开始位置:字符串或者位置匹配的开始位置,0-2048以内的整数。
结束位置:字符串或位置匹配的结束位置,1-2048以内的整数,并且最多只能提取128个字符。
5. SESSION 维度信息测试。添加完成后,单击测试将填写内容进行测试。


6. 进入 SESSION 测试页面,设置内容为 security = 0123456789……,后继 Web 应用防火墙将把 security 后面10位字符串作为 SESSION 标识,SESSION 信息也可以删除重新配置。


7. 设置基于 SESSION 的 CC 防护策略,配置过程和 示例二 保持一致,识别模式选择 SESSION 即可。
说明
以 GET 位置为 SESSION 标识设置 CC 规则,当 CC 规则启用后,会把相同的 SESSION 标识作为维度拦截,而不是将 IP 作为维度。



8. 配置完成,基于 SESSION 的 CC 防护策略生效。
注意
使用基于 SESSION 的 CC 防护机制,无法在 IP 封堵状态中查看封堵信息。
中国站