本文介紹基於Web Application Firewall (WAF)CC防護模組的應用程式層攻擊防禦方案。通過配置防護模式,支援一鍵啟用日常防護或執行緊急業務恢複,旨在攔截惡意CC攻擊( Challenge Collapsar )並保障商務持續性。
關鍵概念
CC防護:Web核心防護中的防護模組之一。啟用此模組前必須先建立防護模板,系統支援建立多個防護模板。
防護模板:用於定義防護規則內容和作用範圍。建立防護模板時,需設定模板資訊、規則配置和生效對象。
模板資訊:定義模板類型,模板類型在建立後不可更改。模板類型分為以下兩種:
模板類型
說明
適用情境
預設防護模板
訂用帳戶進階版、企業版及旗艦版WAF提供一個初始的預設防護模板。
模板建立時,預設對沒有關聯自訂防護模板的防護對象和對象組生效,後續新增的對象也自動生效。
支援手動將特定對象排除(設定為"未生效")。
在CC防護模組下,僅能建立一個預設防護模板。
當某防護對象從自訂防護模板中移出後,將自動加入預設防護模板。
部署通用的、需全域執行的防護規則。
自訂防護模板
必須手動指定其生效的防護對象或對象組。
當某防護對象加入自訂模板時,系統自動將其移出預設範本。
針對特定業務部署精細化的防護規則。
規則配置:定義具體的防護規則。系統基於攻擊特徵庫內建多條檢測規則,只需選擇防护模式及觸發後的響應動作,無需手動編寫複雜規則。
生效對象:指定防護模板的應用目標,將防護規則應用到指定的防護對象或防護對象組。一個防護對象或對象組僅能關聯一個防護模板。
防護對象:每個接入WAF的網域名稱或雲產品執行個體,系統會為其自動建立一個防護對象。
防護對象組:可將多個防護對象加入一個防護對象組,以便集中管理。
操作步驟
登入控制台。
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中國內地、非中國內地)。在左側導覽列,選擇,在CC防護地區,單擊新建模板。
配置模板資訊。
模板名稱:配置便於識別的名稱。
是否設定為預設範本:在CC防護模組下,系統為訂用帳戶進階版、企業版及旗艦版WAF提供一個初始的預設防護模板,且僅能配置一個預設範本。因此,當初始預設範本存在時,無法將此處配置為"是"。
是:無需配置生效對象,模板建立時,預設對沒有關聯自訂防護模板的防護對象和對象組生效,後續新增的對象也自動生效。支援手動將特定對象排除(設定為"未生效")。
否:需要配置生效對象,手動指定生效的防護對象或對象組。
配置規則配置。
防护模式:提供正常模式與严格模式,各模式均內建多條防護規則。
正常模式:僅攔截特徵顯著的異常請求,誤判率低,適用於日常業務運行及流量平穩情境。
严格模式:採用高強度檢測演算法,能有效阻斷CC攻擊,但誤判風險較高。僅在正常模式防護不足且出現響應延遲、資源(CPU/記憶體)負載異常時啟用。
說明严格模式僅適用於網頁(含H5)業務,請勿用於API介面或原生應用(Native App),以免造成大量誤攔截。API或Native App情境建議採用自訂規則防護模板。
動作:定義請求命中防護規則後的處置方式。
JS挑戰:向用戶端下發JavaScript驗證指令,適用於常規防護情境。
觀察:不執行攔截操作,僅記錄命中日誌,適用於策略驗證、業務測試或試運行階段。
選擇生效對象。
選擇要應用於該模板的防護對象和防護對象組。模板的生效對象取決於步驟二中的配置:
使用系統建立的預設範本,或配置為預設範本:無需配置生效對象,模板建立時,預設對沒有關聯自訂防護模板的防護對象和對象組生效,後續新增的對象也自動生效。支援手動將特定對象排除(配置為"未生效")。
未設為預設範本:需要手動設定生效的防護對象和防護對象組。
說明模板建立時與建立後,均支援手動調整防護對象或防護對象組的生效狀態。
應對誤判與漏攔截
防護模板配置完成後,若出現無法有效攔截CC攻擊或誤攔截正常業務流量的情況,請參考以下步驟定位原因並調整配置。
正常模式下,攻擊未被攔截
當出現未被WAF攔截的攻擊請求時,通常由以下原因導致,請按相應建議處理:
請求未經過WAF處理
原因:WAF配置的SSL認證或監聽連接埠與來源站點實際使用的不匹配。
建議:核對WAF與來源站點的SSL認證及連接埠配置。原因:CNAME接入時,未正確修改DNS解析記錄,流量未指向WAF。
建議:確認DNS解析已正確指向WAF提供的CNAME地址。原因:CNAME接入時,攻擊者直接存取來源站點伺服器IP地址繞過WAF。
建議:伺服器安全性群組中僅允許存取WAF回源IP地址。
原因:雲產品接入時,添加到WAF防護的並非網域名稱實際解析指向的雲產品執行個體。
建議:確認目標雲產品執行個體已正確接入WAF。
請求經過WAF但規則未覆蓋
若業務已正確接入WAF,但正常模式仍無法防禦CC攻擊,可採取以下措施:
啟用严格模式:適用於遭受CC攻擊需緊急恢複業務時(僅限網頁與H5業務)。為避免大規模誤攔截,建議提前基於聚類特徵將正常使用者加入白名單。
使用自訂規則防護模組:WAF支援對用戶端IP、訪問URI、User-Agent、地區等欄位設定防護策略,針對特定攻擊特徵進行精準防禦。需要分析訪問日誌以總結攻擊特徵。
使用DDoS高防:面對高頻CC攻擊時,峰值流量可能超過DDoS基礎防護的黑洞閾值,超過後WAF將進入黑洞狀態無法訪問,此時需要使用DDoS高防進行防禦。更多資訊,請參見設定CC安全防護。
严格模式下,正常業務被誤攔截
若严格模式造成大量誤攔截,可採取以下措施:
加白正常流量:基於聚類特徵將正常使用者加入白名單。
切回正常模式,並使用自訂規則防護模組:WAF支援對用戶端IP、訪問URI、User-Agent、地區等欄位設定防護策略,針對特定攻擊特徵進行精準防禦。需要分析訪問日誌以總結攻擊特徵。
使用DDoS高防:面對高頻CC攻擊時,峰值流量可能超過DDoS基礎防護的黑洞閾值,超過後WAF將進入黑洞狀態無法訪問,此時需要使用DDoS高防進行防禦。更多資訊,請參見設定CC安全防護。
日常營運
建立的CC防護模板預設開啟,可通過防護模板列表執行以下操作:
查看防護模板:單擊防護模板名稱左側的
表徵圖,查看該模板包含的規則資訊。開啟或關閉防護模板:通過模板開關開啟或關閉模板。
編輯防護模板:單擊防護模板操作列的編輯,修改模板資訊、規則配置、生效對象等內容。
刪除防護模板:當不再需要某模板時,單擊防護模板操作列的刪除,並在彈出對話方塊中單擊刪除完成操作。
重要若某防護對象所屬的自訂防護模板被刪除,該防護對象將自動加入預設防護模板。
若預設防護模板被刪除,且其中仍包含防護對象,則這些防護對象將不再受CC防護規則保護。