WAF企业版旗舰版支持CC自定义防护功能。您可以在控制台自定义防护规则,限制单个IP对您的网站上特定路径(URL)的访问频率。例如,您可以配置如下规则:当单个源IP在10秒内访问www.yourdomain.com/login.html超过20次时,封禁该IP一小时。

背景信息

对于WAF高级版,您必须升级到企业版或旗舰版,才能使用自定义CC防护功能。具体操作请参考续费与升级

对于按量付费的WAF实例,您必须登录 云盾Web应用防火墙控制台,前往 设置 > 功能与规格页面,启用 缓解CC攻击高级防护,才能使用自定义CC防护功能。具体操作,请参考功能与规格配置

执行以下操作前,请确保已将网站接入WAF进行防护。具体操作请参考CNAME接入指南

操作步骤

  1. 登录云盾Web应用防火墙控制台
  2. 前往管理 > 网站配置页面,并在页面上方选择WAF所在地区(中国大陆、海外地区)。
  3. 选择要操作的域名,单击其操作列下的防护配置
  4. CC安全防护下,选择正常防护模式,并单击前去配置配置自定义规则。

  5. 单击新增规则,添加一条规则。参数描述如下:
    配置 说明
    规则名称 为该规则命名。
    URI 指定需要防护的具体地址,如/register。支持在地址中包含参数,如/user?action=login
    匹配规则
    • 完全匹配:即精确匹配,请求地址必须与配置的URI完全一样才会被统计。
    • 前缀匹配:即包含匹配,只要是请求的URI以此处配置的URI开头就会被统计。例如,如果设置URI为/register,则/register.html会被统计。
    检测时长 指定统计访问次数的周期。需要和单一IP访问次数配合。
    单一IP访问次数 指定在检测时长内,允许单个源IP访问被防护地址的次数。
    阻断类型 指定触发条件后的操作(封禁、人机识别),以及请求被阻断后阻断动作的时长。
    • 封禁:触发条件后,直接断开连接。
    • 人机识别:触发条件后,用重定向的方式去访问客户端(WAF返回302状态),通过验证后才放行。例如,单个IP在20s内访问超过5次则进行人机识别判断,在10分钟内该IP的访问请求都需要通过人机识别,如果被识别为非法将会被WAF拦截,只有被识别为合法才会放行。


    以图中的配置为例,其含义为:单个IP访问目标地址(精确匹配)时,一旦在10秒内访问超过20次,就直接阻断该IP的访问,阻断操作持续600分钟。

    由于WAF需要将集群中的多台服务器的数据进行汇总来统计单一IP的访问频率,统计过程中可能存在一定延时,因此封禁的实际生效时间可能稍有滞后。

执行结果

规则添加成功后即时生效,您可以选择 编辑或者 删除规则。