接入Web Application Firewall(Web Application Firewall,簡稱WAF)後,您可以設定CC防護規則,攔截針對網站頁面請求的CC攻擊,並返回405攔截提示頁面。本文介紹如何建立CC防護規則。
前提條件
已開通訂用帳戶版WAF 3.0或隨用隨付版WAF 3.0服務。
已將Web業務添加為WAF 3.0的防護對象和防護對象組。
模板類型
CC防護的防護模板有以下兩種類型。
防護模板 | 說明 | 生效對象 |
預設防護模板 | WAF提供的初始預設防護模板。防護模板預設啟用。 說明 僅訂用帳戶進階版、訂用帳戶企業版及訂用帳戶旗艦版包含預設開啟的初始預設防護模板。 | 建立時,對沒有關聯自訂防護模板的防護對象/組預設勾選為生效,後續新增的防護對象也會自動加入到預設防護模板中,可手動調整。 |
自訂防護模板 | 根據業務需要,自訂的防護模板。需要手動建立,適用於單一初始預設防護模板無法滿足業務需求的情境。 | 需要設定生效對象,只對關聯到防護模板的防護對象和對象組生效。 |
建立CC防護模板
WAF提供初始預設防護模板,防護模板預設啟用,如需啟用自訂的規則,必須建立一個防護模板,並配置相關規則。
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地、非中国内地)。
在左側導覽列,選擇。
在防護規則頁面下方CC防護地區,單擊建立模板。
在建立模板 - CC防護面板,完成以下配置,單擊確定。
配置項
說明
模板名稱
為該模板設定一個名稱。
長度為1~255個字元,支援中文和大小寫英文字母,可包含數字、半形句號(.)、底線(_)和短劃線(-)。
是否設定為預設範本
預設防護模板無需設定生效對象,預設應用於所有未關聯到自訂防護模板的防護對象和對象組(包括後續新增、從自訂防護模板中移除的防護對象和對象組),您也可以手動將它們從預設範本中移出。一個防護模組只允許設定一個預設範本並只能在建立模板時設定。
規則動作
選擇當請求命中該規則時,要執行的防護動作。可選項:
防護:只針對特別異常的請求進行攔截,誤攔截較少。建議您在網站無明顯流量異常時應用此模式,避免誤攔截。
防護-緊急:高效攔截CC攻擊,可能造成較多誤攔截。當您發現有防護模式無法攔截的CC攻擊,並出現網站響應緩慢,流量、CPU、記憶體等指標異常時,可以應用此模式。
說明防護-緊急模式適用於網頁或H5頁面,但不適用於API或Native App業務,因為會造成大量誤攔截。對於後者,建議您使用自訂防護策略。更多資訊,請參見自訂規則。
生效對象
從已添加的配置防護對象和防護對象組中,選擇要應用該模板的配置防護對象和防護對象組。
一個防護對象或對象組只能關聯一個CC防護模板。如果您設定了預設防護模板,預設所有未關聯到自訂防護模板的防護對象和對象組勾選為生效;當您沒有設定預設範本,則不會預設勾選防護對象與對象組為生效。生效對象均支援手動修改。
建立的防護模板預設開啟,您可以在防護模板列表執行如下操作:
查看模板關聯的防护对象/组的數量。
通過模板开关,開啟或關閉模板。
為該模板新建规则。
编辑、删除或复制防護模板。
單擊防護模板名稱左側的
表徵圖,查看該防護模板包含的規則資訊。
後續步驟
您可以在安全報表頁面的CC防護頁簽,查詢防護規則的防護詳情。更多資訊,請參見安全報表。
相關文檔
防護配置概述:介紹防護對象、防護模組及防護流程等資訊。
如何讓某個網域名稱的請求不經過CC防護檢測?:介紹通過為網域名稱設定白名單規則、CC防護規則,使得訪問網域名稱的請求不經過CC防護檢測的方法。
建立防護模板:您可以調用該介面,建立防護模板。
建立Web核心防護規則:您可以調用該介面,設定參數DefenseScene為cc,並配置規則內容,建立一個CC防護規則。