CC攻击防护规则支持通过限制单个IP/Cookie/Referer访问者对防护网站上特定路径
(URL)的访问频率,精准识别CC攻击以及有效缓解CC攻击。当您配置完CC攻击防护 规则并开启CC攻击防护后(即“CC攻击防护”配置框的“状态”为 ),WAF才 能根据您配置的CC攻击防护规则进行CC攻击防护。
说明 Cookie标识的用户字段(例如name),当WAF识别到同一name值的用户在60秒 内访问您域名下的URL(例如,/admin*)页面超过10次时,封禁该用户访问目标 网址600秒。
● 标准版(原专业版)不支持高级工作模式。
● 标准版(原专业版)不支持引用表管理功能。
● CC防护规则中的“路径”需要配置为URL链接(不包含域名),且该参数仅支持 前缀匹配和精准匹配,说明如下:
– 前缀匹配:以*结尾代表以该路径为前缀。例如,需要防护的路径为“/
admin/test.php”或 “/adminabc”,则路径可以填写为“/admin*”。
– 精准匹配:需要防护的路径需要与此处填写的路径完全一致。例如,需要防 护的路径为“/admin”,该规则必须填写为“/admin”。
● 网站同时接入WAF和CDN(Content Delivery Network,内容分发网络)时,如 果“防护动作”配置为“人机验证”,请注意:
图10-13 防护策略配置入口
步骤3 在“CC攻击防护”配置框中,用户可根据自己的需要更改“状态”,单击“自定义CC 攻击防护规则”,进入CC防护规则配置页面,如图10-14所示。
图10-14 CC 防护规则配置框
步骤4 在“CC防护”规则配置页面左上角,单击“添加规则”。
步骤5 在弹出的对话框中,根据表10-6配置CC防护规则。
以图10-15的配置为例,其含义为:Cookie标识为“name”字段的同一值的用户访问 目标地址(以/admin为前缀的地址,例如,https://www.example.com/adminlogic)
时,一旦在60秒内访问超过10次,就直接阻断该Cookie用户访问目标URL地址,阻断 操作持续600秒,阻断页面返回自定义的页面内容。
图10-15 添加 CC 防护规则
表10-6 CC 防护规则参数说明
参数 参数说明 取值样例
工作模式 ● 标准:只支持对域名的防护路径做限制。
● 高级:支持对路径、IP、Cookie字段做限 制。 标准版(原专业版)不支持高级模 式。
标准
用户指南 10 配置防护规则
参数 参数说明 取值样例 路径 当“工作模式”选择“标准”时,才配置此
参数。
CC防护的URL链接,不包含域名。
● 前缀匹配:以*结尾代表以该路径为前 缀。例如,需要防护的路径为“/admin/
test.php”或 “/adminabc”,则路径可 以填写为“/admin*”。
● 精准匹配:需要防护的路径需要与此处填 写的路径完全一致。例如,需要防护的路 径为“/admin”,该规则必须填写为“/
admin”。
说明
● 该路径不支持正则,仅支持前缀匹配和精准匹 配的逻辑。
● 路径里不能含有连续多条斜线的配置,如“///
admin”,WAF引擎会将“///”转为“/”。
● 该路径区分大小写。
● 路径设置为“/”时,表示防护网站所有路 径。
/admin*
条件列表 当“工作模式”选择“高级”时,才配置此 参数。
单击“添加”增加新的条件,至少配置一项 条件,最多可添加30项条件,多个条件同时 满足时,本条规则才生效。
● 字段:路径、IP、Cookie。
● 子字段:当“字段”选择“Cookie”时,
请根据实际需求配置子字段。
admin/”
参数 参数说明 取值样例 限速模式 ● IP限速:根据IP区分单个Web访问者。
● 用户限速:根据Cookie键值区分单个Web 访问者。
● 其他:根据Referer(自定义请求访问的 来源)字段区分单个Web访问者。
说明
当“防护模式”选择“其他”时,
“Referer”对应的“内容”填写为包含域名 的完整URL链接,仅支持前缀匹配和精准匹配 的逻辑,“内容”里不能含有连续的多条斜线 的配置,如“///admin”,WAF引擎会将
“///”转为“/”。
例如:防护路径设置为“/admin”,若用户 不希望访问者从“www.test.com”访问该页 面,则“Referer”对应的“内容”设置为
“http://www.test.com”。
用户限速
用户标识 “防护模式”选择“用户限速”时,需要设 置Cookie字段名,即用户需要根据网站实际 情况配置唯一可识别Web访问者的Cookie中 的某属性变量名。用户标识的Cookie,不支 持正则,必须完全匹配。
例如:如果网站使用Cookie中的某个字段 name唯一标识用户,那么可以选取name字 段来区分Web访问者。
name
限速频率 单个Web访问者在限速周期内可以正常访问 的次数,如果超过该访问次数,Web应用防 火墙服务将根据配置的“防护动作”来处 理。
10次/60秒
防护动作 当访问的请求频率超过“限速频率”时,可
参数 参数说明 取值样例
8次/60秒
阻断时长 当“防护动作”选择“阻断”时,可设置阻 断后恢复正常访问页面的时间。
600秒
阻断页面 当“防护动作”选择“阻断”时,需要设 阻断页面的类型“application/json”、
“text/html”或者“text/xml”。
text/html
页面内容 当“阻断页面”选择“自定义”时,可设置 自定义返回的内容。
不同页面类型对应的 页面内容样式:
● text/html:
<html><body>F orbidden</
body></html>
● application/
json:{"msg":
"Forbidden"}
● text/xml:<?xml version="1.0"
encoding="utf-8
"?><error>
<msg>Forbidden
</msg></error>
规则描述 可选参数,设置该规则的备注信息。
--步骤6 单击“确认添加”,添加的CC攻击防护规则展示在CC规则列表中。
图10-16 CC 规则列表
● 规则添加成功后,默认的“规则状态”为“已开启”,若您暂时不想使该规则生 效,可在目标规则所在行的“操作”列,单击“关闭”。
● 若需要修改添加的CC攻击防护规则时,可单击待修改的CC攻击防护规则所在行的
“修改”,修改CC攻击防护规则。
● 若需要删除用户自行添加的CC攻击防护规则时,可单击待删除的CC攻击防护规则 所在行的“删除”,删除CC攻击防护规则。
----结束
配置示例-人机验证
假如防护域名“www.example.com”已接入WAF,您可以参照以下操作步骤验证人机 验证防护效果。
步骤1 添加防护动作为“人机验证”CC防护规则。
图10-17 添加“人机验证”防护规则
步骤2 开启CC攻击防护。
图10-18 CC 防护规则配置框
用户指南 10 配置防护规则
步骤3 清理浏览器缓存,在浏览器中访问“http://www.example.com/admin/”页面。
当您在60秒内访问页面10次,在第11次访问该页面时,页面弹出验证码。此时,您需 要输入验证码才能继续访问。
步骤4 返回Web应用防火墙管理控制台,在左侧导航树中,单击“防护事件”,进入“防护 事件”页面,您可以查看该防护事件。
图10-19 查看防护事件-人机验证
----结束