全部产品
Search

搜索本产品

    Web 应用防火墙:设置CC防护规则防御CC攻击

    文档中心

    Web 应用防火墙:设置CC防护规则防御CC攻击

    更新时间:Mar 20, 2026

    本文介绍基于Web 应用防火墙 WAF(Web Application Firewall)CC防护模块的应用层攻击防御方案。通过配置防护模式,支持一键启用日常防护或执行紧急业务恢复,旨在拦截恶意CC攻击( Challenge Collapsar 攻击)并保障业务连续性。

    关键概念

    • CC防护:Web核心防护中的防护模块之一。启用此模块前必须创建防护模板,系统支持创建多个防护模板。

    • 防护模板:防护模板用于定义具体的规则内容和作用范围。创建防护模板时,需设置模板信息规则配置生效对象

      • 模板信息:定义模板类型,其类型在模板创建后不可更改。模板类型分为以下两种:

        模板类型

        说明

        适用场景

        默认防护模板

        • 包年包月高级版、企业版及旗舰版WAF提供一个初始的默认防护模板。

        • 模板创建时,默认对没有关联自定义防护模板的防护对象和对象组生效,后续新增的对象也自动生效。

        • 支持手动将特定对象排除(设置为“未生效”)。

        • 在CC防护模块下,仅能创建一个默认防护模板。

        • 当某防护对象从自定义防护模板中移出后,将自动加入默认防护模板。

        部署通用的、需全局执行的防护规则。

        自定义防护模板

        • 必须手动指定其生效的防护对象或对象组。

        • 当某防护对象加入自定义模板时,系统自动将其移出默认模板。

        针对特定业务部署精细化的防护规则。

      • 规则配置:定义具体的防护规则。系统基于攻击特征库内置多条检测规则,用户只需选择防护模式及触发后的响应动作,无需手动编写复杂规则。

      • 生效对象:指定防护模板的应用目标。通过生效对象设置,将防护规则应用到指定的防护对象或防护对象组。一个防护对象或对象组仅能关联一个防护模板。

        • 防护对象:每个接入 WAF 的域名或云产品实例,系统会为其自动创建一个防护对象。

        • 防护对象组:可将多个防护对象加入一个防护对象组,以便集中管理。

    操作步骤

    说明

    • 配置前提:执行以下操作前,请确保已存在防护对象(已将Web业务接入WAF),若尚未将业务接入,请参见接入概述

    • 初始配置说明:以下步骤指导新建CC防护模板,适用于无现有模板或需为不同对象配置独立模板的场景。对于包年包月高级版、企业版及旗舰版WAF,系统已提供一个默认防护模板,可满足日常防护需求,若防护无效,请阅读应对误报与漏拦截

    1. 进入控制台

      登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地。在左侧导航栏,选择防护配置 > Web 核心防护,在CC防护区域,单击新建模板

    2. 配置模板信息

      • 模板名称:设置一个便于识别的名称。

      • 是否设置为默认模板:在CC防护模块下,系统为包年包月高级版、企业版及旗舰版WAF提供一个初始的默认防护模板,且仅能设置一个默认模板。因此,当初始的默认模板存在时,无法将此处设置为“”。

        • :无需设置生效对象,模板创建时,默认对没有关联自定义防护模板的防护对象和对象组生效,后续新增的对象也自动生效。支持手动将特定对象排除(设置为“未生效”)。

        • :需要设置生效对象,手动指定其生效的防护对象或对象组。

    3. 规则配置

      • 防护模式:提供正常模式严格模式,各模式均内置多条防护规则。

        • 正常模式:仅拦截特征显著的异常请求,误报率低。适用于日常业务运行及流量平稳场景。

        • 严格模式:采用高强度检测算法,能有效阻断CC攻击,但误报风险较高。仅在正常模式失效且出现响应延迟、资源(CPU/内存)负载异常时建议启用。

          说明

          严格模式仅适用于网页(含H5)业务,请勿用于API接口或原生应用(Native App),以免造成大量误拦截。API或Native App场景建议采用自定义规则防护模板。

      • 动作:定义请求命中防护规则后的处置方式。

        • JS挑战:向客户端下发JavaScript验证指令,适用于常规防护场景。

        • 观察:不执行拦截操作,仅记录命中日志。适用于策略验证、业务测试或试运行阶段。

    4. 选择生效对象

      选择要应用于该模板的防护对象和防护对象组。模板的生效对象取决于在步骤二的配置:

      • 使用系统创建的默认模板,或设置为默认模板:无需设置生效对象,模板创建时,默认对没有关联自定义防护模板的防护对象和对象组生效,后续新增的对象也自动生效。支持手动将特定对象排除(设置为“未生效”)。

      • 未设为默认模板:需要手动设置生效的防护对象和防护对象组。

        说明

        模板创建时与创建完成后,均支持手动调整防护对象或防护对象组生效状态。

    应对误报与漏拦截

    防护模板配置完成后,若出现无法有效拦截CC攻击或误拦截正常业务流量的情况,请执行以下步骤以定位原因并调整配置。

    正常模式下,攻击未被拦截(防护无效)

    当出现未被WAF拦截的攻击请求时,通常由以下原因导致,请参照相应建议处理:

    • 请求未经过WAF处理

      • 原因:WAF配置的SSL证书或监听端口与源站实际使用的不匹配。
        建议:核对WAF与源站的SSL证书及端口配置。

      • 原因:CNAME接入时,未正确修改DNS解析记录,使流量未指向WAF。
        建议:确认DNS解析已正确指向WAF提供的CNAME地址。

      • 原因:CNAME接入时,攻击者直接访问源站服务器IP地址绕过WAF。

        建议:通过在服务器安全组中仅放行WAF回源IP地址解决。

      • 原因:云产品接入时,添加到 WAF 防护的并非域名实际解析指向的云产品实例。

        建议:确认目标云产品实例已正确接入。

    • 请求经过WAF但规则未覆盖

      若业务已正确接入WAF,但正常模式的CC防护模板仍无法防御CC攻击,建议采取以下措施:

      • 启用严格模式:适用于遭受CC攻击需紧急恢复业务时(仅限网页与H5业务),为避免大规模误拦截,建议提前基于聚类特征将正常用户加入白名单

      • 使用自定义规则防护模块:WAF支持对客户端IP、访问URI、User-Agent、地域等字段设定防护策略,针对特定攻击特征进行精准防御。但需要分析访问日志以总结攻击特征。

      • 使用DDoS高防:面对高频CC攻击时,其峰值流量可能超过DDoS基础防护的黑洞阈值,超过后WAF将进入黑洞无法访问,此时需要使用DDoS高防进行防御,更多信息,请参见设置CC安全防护

    严格模式下,正常业务被误拦截

    严格模式下的CC防护模板造成大量误拦截,建议采取以下措施:

    • 加白正常流量:基于聚类特征将正常用户加入白名单

    • 切回正常模式并使用自定义规则防护模块:WAF支持对客户端IP、访问URI、User-Agent、地域等字段设定防护策略,针对特定攻击特征进行精准防御。但需要分析访问日志以总结攻击特征。

    • 使用DDoS高防:面对高频CC攻击时,其峰值流量可能超过DDoS基础防护的黑洞阈值,超过后WAF将进入黑洞无法访问,此时需要使用DDoS高防进行防御,更多信息,请参见设置CC安全防护

    日常运维

    新建的CC防护模板默认开启,可以在防护模板列表执行如下操作:

    • 查看防护模板:单击防护模板名称左侧的展开图标 图标,查看该模板包含的规则信息。

    • 开启或关闭防护模板:通过模板开关,开启或关闭模板。

    • 编辑防护模板:单击防护模板操作列的编辑,修改模板信息规则配置生效对象等内容。

    • 删除防护模板:当不再需要某模板时,单击防护模板操作列的删除,并在弹出对话框中单击删除完成操作。

      重要

      • 若某防护对象所属的自定义防护模板被删除,该防护对象将自动加入默认防护模板。

      • 若默认防护模板被删除,且其中仍包含防护对象,则这些防护对象将不再受CC防护规则保护。