新BGP高防IP服务针对HTTP(S) flood攻击(CC攻击)提供四种防护模式供您选择。

  • 正常模式:默认的CC安全防护模式。网站无明显流量异常时建议采用此模式。

    正常模式的CC攻击防护策略相对宽松,可以防御一般的CC攻击,对于正常请求不会造成误杀。

  • 攻击紧急模式:当发现网站响应、流量、CPU、内存等指标出现异常时,可切换至此模式。

    攻击紧急模式的CC攻击防护策略相对严格。相比正常模式,此模式可以防护更为复杂和精巧的CC攻击,但可能会对少部分正常请求造成误杀。

  • 严格模式:严格模式的CC攻击防护策略较为严格。同时,该模式会对被保护网站的所有访问请求实行全局级别的人机识别验证,即针对每个访问者进行验证,只有通过认证后访问者才允许访问网站。
    说明 对于严格模式的全局算法认证,如果是真人通过浏览器的访问请求均可以正常响应;但如果被访问网站的业务是API或原生app应用,将无法正常响应该算法认证,导致网站业务无法正常访问。
  • 超级严格模式:超级严格模式的CC攻击防护策略非常严格。同时,该模式会对被保护网站的所有访问请求实行全局级别的人机识别验证,即针对每个访问者都将进行验证,只有通过认证后后才允许访问网站。
    相比于严格模式,超级严格模式所使用的全局算法认证在验证算法中还增加反调试、反机器验证等功能。
    说明 对于超级严格模式的全局算法认证,如果是真人通过浏览器的访问请求均可以正常响应(可能存在极少部分浏览器处理异常导致无法访问,关闭浏览器后再次重试即可正常访问);但如果被访问网站的业务是API或原生app应用,将无法正常响应该算法认证,导致网站业务无法正常访问。

操作步骤

默认情况下,您的新BGP高防IP实例所防护的网站域名采用正常CC安全防护模式,您可以根据实际情况自由调整防护模式。

  1. 登录云盾新BGP高防IP控制台
  2. 定位到管理 > 网站配置页面,选择已接入防护的网站域名配置记录,单击防护设置

  3. CC防护策略页签,定位到CC安全防护区块,选择CC攻击防护模式。
    说明 如果您不想使用CC安全防护功能,可以单击状态开关关闭该功能。


自定义规则

新BGP高防IP服务的CC安全防护功能还支持通过自定义防护规则进行更精准的HTTP Flood攻击拦截。您可以通过自定义CC攻击防护规则,针对需要重点保护的URL配置防护策略。

您可以在已接入防护的域名的防护设置页面的CC防护策略页签,定位到CC安全防护区块,启用自定义规则防护,并单击设置来配置自定义CC防护规则。

CC安全防护设置最佳实践

CC安全防护各模式的防护效果排序依次为:超级严格模式 > 严格模式 > 紧急模式 > 正常模式。同时,各防护模式导致误杀的可能性排序依次为:超级严格模式 > 严格模式 > 紧急模式 > 正常模式。

正常情况下,建议您为已接入防护的域名选择正常CC安全防护模式。该模式的防护策略较为宽松,只会针对访问频次较大的IP进行封禁。当您的网站遭遇大量HTTP Flood攻击时,且正常模式的安全防护效果已经无法满足要求,建议您切换至攻击紧急模式或严格模式。
说明 如果您的网站业务是API或原生app应用,由于无法正常响应严格模式中的相关算法认证,无法使用严格或超级严格模式进行防护。因此,需要通过配置CC安全防护自定义规则对被攻击的URL配置针对性的防护策略拦截攻击请求。