接入Web应用防火墙(Web Application Firewall,简称WAF)后,您可以设置CC防护规则,拦截针对网站页面请求的CC攻击,并返回405拦截提示页面。本文介绍如何创建CC防护规则。
前提条件
已开通包年包月版WAF 3.0或按量付费版WAF 3.0服务。
已将Web业务添加为WAF 3.0的防护对象和防护对象组。
模板类型
CC防护的防护模板有以下两种类型。
防护模板 | 说明 | 生效对象 |
默认防护模板 | WAF提供的初始默认防护模板。防护模板默认启用。 说明 仅包年包月高级版、包年包月企业版及包年包月旗舰版包含默认开启的初始默认防护模板。 | 新建时,对没有关联自定义防护模板的防护对象/组默认勾选为生效,后续新增的防护对象也会自动加入到默认防护模板中,可手动调整。 |
自定义防护模板 | 根据业务需要,自定义的防护模板。需要手动创建,适用于单一初始默认防护模板无法满足业务需求的场景。 | 需要设置生效对象,只对关联到防护模板的防护对象和对象组生效。 |
创建CC防护模板
WAF提供初始默认防护模板,防护模板默认启用,如需启用自定义的规则,必须新建一个防护模板,并配置相关规则。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择。
在防护规则页面下方CC防护区域,单击新建模板。
在新建模板 - CC防护面板,完成以下配置,单击确定。
配置项
说明
模板名称
为该模板设置一个名称。
长度为1~255个字符,支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。
是否设置为默认模板
默认防护模板无需设置生效对象,默认应用于所有未关联到自定义防护模板的防护对象和对象组(包括后续新增、从自定义防护模板中移除的防护对象和对象组),您也可以手动将它们从默认模板中移出。一个防护模块只允许设置一个默认模板并只能在新建模板时设置。
规则动作
选择当请求命中该规则时,要执行的防护动作。可选项:
防护:只针对特别异常的请求进行拦截,误拦截较少。建议您在网站无明显流量异常时应用此模式,避免误拦截。
防护-紧急:高效拦截CC攻击,可能造成较多误拦截。当您发现有防护模式无法拦截的CC攻击,并出现网站响应缓慢,流量、CPU、内存等指标异常时,可以应用此模式。
说明防护-紧急模式适用于网页或H5页面,但不适用于API或Native App业务,因为会造成大量误拦截。对于后者,建议您使用自定义防护策略。更多信息,请参见自定义规则。
生效对象
从已添加的配置防护对象和防护对象组中,选择要应用该模板的配置防护对象和防护对象组。
一个防护对象或对象组只能关联一个CC防护模板。如果您设置了默认防护模板,默认所有未关联到自定义防护模板的防护对象和对象组勾选为生效;当您没有设置默认模板,则不会默认勾选防护对象与对象组为生效。生效对象均支持手动修改。
新建的防护模板默认开启,您可以在防护模板列表执行如下操作:
查看模板关联的防护对象/组的数量。
通过模板开关,开启或关闭模板。
为该模板新建规则。
编辑、删除或复制防护模板。
单击防护模板名称左侧的
图标,查看该防护模板包含的规则信息。
后续步骤
您可以在安全报表页面的CC防护页签,查询防护规则的防护详情。更多信息,请参见安全报表。
相关文档
防护配置概述:介绍防护对象、防护模块及防护流程等信息。
如何让某个域名的请求不经过CC防护检测?:介绍通过为域名设置白名单规则、CC防护规则,使得访问域名的请求不经过CC防护检测的方法。
创建防护模板:您可以调用该接口,创建防护模板。
创建Web核心防护规则:您可以调用该接口,设置参数DefenseScene为cc,并配置规则内容,创建一个CC防护规则。