为ECS实例接入WAF防御CC攻击

CC攻击（Challenge Collapsar攻击）是DDoS攻击的一种，通过持续发送高并发请求，耗尽服务器的计算资源或数据库连接，导致业务响应延迟、页面加载缓慢，典型特征包括QPS飙升和带宽占用增加。为保护暴露在公网的云服务器ECS实例免受此类攻击，可为其开启Web应用防火墙（Web Application Firewall，简称WAF）防护，有效抵御CC攻击，保障业务稳定运行。

适用范围

• ECS实例已部署Web服务，通过公网IP对外提供服务。

• ECS实例位于以下地域：西南1（成都）、华北2（北京）、华北3（张家口）、华东1（杭州）、华东2（上海）、华南1（深圳）、华北1（青岛）、中国（香港）、马来西亚（吉隆坡）、印度尼西亚（雅加达）、新加坡。若不满足以上要求，请使用CNAME接入。

步骤一：开通按量付费WAF实例

1. 访问Web应用防火墙3.0（按量付费）购买页。

2. 选择商品类型为Web应用防火墙3.0，并选择付费模式为按量付费后，完成如下配置。

   配置项	说明
   地域	决定WAF防护节点的位置，若部署网站的ECS实例位于中国内地，请选择中国内地，其他情况下，请选择非中国内地。
   WAF版本	默认为按量3.0，无需配置。
   流量计费保护阈值	保持默认值即可，后续支持修改。
   服务关联角色	为了提供流量访问控制、监控分析等服务，WAF需要访问您的云服务资源，请点击创建服务关联角色，系统会自动创建角色AliyunServiceRoleForWaf，无需手动对此角色做任何修改。

3. 单击立即购买并完成下单。

步骤二：接入ECS实例

1. 登录Web应用防火墙3.0控制台，在顶部菜单栏选择资源组和地域（中国内地、非中国内地），然后在左侧导航栏单击接入管理。选择云产品接入页签，在左侧云产品类型列表，选择云服务器ECS。

2. 在右侧列表，找到目标ECS实例，在操作列单击立即接入。如果找不到目标实例，请单击页面右上角同步资产，若仍无法找到，说明实例不满足适用范围。

3. 在选择需要添加的实例&端口区域，单击操作列的添加端口。

4. 在弹出的添加端口页面，根据网站的端口与协议类型进行配置。

   • 标准 HTTP 网站

     如果您的网站地址为 http://yourdomain.com，请选择协议类型为HTTP，端口为 80。

   • 标准 HTTPS 网站

     如果您的网站地址为https://yourdomain.com，请选择协议类型为HTTPS，端口为 443。

   • 非标准端口网站

     如果访问网址中明确包含端口号（格式为 域名:端口号），则需按实际端口填写。例如：

     • http://yourdomain.com:8080 ，协议类型：HTTP，端口：8080。

     • https://yourdomain.com:8443，协议类型：HTTPS，端口：8443。

   HTTP网站

   1. 在端口区域，填写网站使用的端口。

   2. 在协议类型区域，选择HTTP。

   HTTPS网站

   1. 在端口区域，填写网站使用的端口。

   2. 在协议类型区域，选择HTTPS。

   3. 保持HTTP2、TLS协议版本、加密套件、扩展证书配置为默认设置。

   4. 在默认证书区域，选择证书上传方式：

      • 手动上传：适用于证书未上传至阿里云数字证书管理服务（原 SSL 证书）的场景。

      • 选择已有证书：从阿里云数字证书管理服务（原 SSL 证书）中选择已签发或已上传的证书。

        手动上传

        • 证书名称：为证书设置一个唯一的名称，不能与已上传的证书名称重复。

        • 证书文件：请使用文本编辑器打开并粘贴 PEM、CER、CRT 格式的证书文本内容。

          格式示例：-----BEGIN CERTIFICATE-----......-----END CERTIFICATE-----

          • 格式转换：若证书是 PFX、P7B 等格式，请使用证书工具将其转换为 PEM 格式。

          • 证书链：若包含中间证书，请按照 “服务器证书、中间证书” 的顺序拼接后粘贴。

        • 私钥文件：请使用文本编辑器打开并粘贴 PEM 格式的私钥文本内容。

          格式示例：-----BEGIN RSA PRIVATE KEY-----......-----END RSA PRIVATE KEY-----

        选择已有证书

        从证书下拉列表中选择要上传到WAF的证书。

        说明

        若WAF控制台提示“证书链完整性校验失败，使用该证书可能会影响您的业务访问”，表示证书链存在完整性问题。请检查证书内容的正确性与完整性后，在数字证书管理服务控制台重新上传。具体操作，请参见上传、同步和共享SSL证书。

5. 保持其他配置为默认设置，单击确定。

6. （可选）查看防护对象：此时ECS实例已完成接入，WAF已自动创建一个名为实例id-端口-资产类型的防护对象，并为该防护对象默认启用Web核心防护规则等模块的防护规则，可以在防护配置 > 防护对象页面查看。

7. 验证基础防护效果：在浏览器访问ECS实例上托管的网站，并在其URL后附加Web攻击测试代码（例如http://yourdomain.com/alert(xss)），若返回WAF的405拦截提示页面，表示攻击被拦截，WAF防护成功。

步骤三：配置CC防护规则

1. 在左侧导航栏，选择防护配置 > Web 核心防护。

2. 在页面下方CC防护区域，单击新建模板。

3. 在新建模板 - CC防护面板，完成以下配置。

   配置项	说明
   模板名称	为该模板设置一个便于您识别的名称。
   是否设置为默认模板	保持默认未开启状态。
   规则动作	选择当请求命中该规则时，要执行的防护动作。可选项： 防护：适用于日常防护场景，只拦截高度异常的请求，误拦截率较低。 防护-紧急：适用于高频CC攻击导致业务异常的紧急恢复场景，可高效拦截CC攻击，但可能产生较多误拦截。当防护模式无法有效阻断攻击，且出现网站响应延迟、流量激增、CPU或内存使用率异常等情况时，可启用此模式。 说明 防护-紧急模式适用于网页或H5页面，但不适用于API或Native App业务。
   生效对象	在待选择对象区域勾选ECS实例对应的防护对象，单击图标将其移至右侧已选择区域。

   

4. 单击确定。

步骤四：查看攻击防护数据

配置完成后，可以前往左侧导航栏总览页面。查看防护总览、攻击情况Top10等信息，进行业务安全分析。

您已完成本快速入门教程的全部步骤，请根据实际需求选择后续操作：

• 继续使用WAF(推荐)：前往进阶优化。

• 暂不使用WAF：前往释放资源以停止计费。

进阶优化：增强防护与成本控制

在本文提供的配置基础上，若希望继续使用WAF，可按以下方式进一步调整配置，以适配具体业务特征，从而获取更强的安全防护能力与更低的成本。

• 多模块协同防护：本文仅启用CC防护模块，可结合以下多个防护模块实现协同防御。

  • 自定义规则：基于灵活的匹配条件与规则动作，针对特定攻击特征实施精准防护。例如，通过配置频率控制规则实现访问限流。 

  • 白名单：允许符合指定特征的请求通过，如可信IP地址。 

  • IP黑名单：阻断已知恶意IP的访问。 

  • 区域封禁：一键封禁来自特定地理区域的请求。例如，当业务仅面向中国境内用户，且检测到大量境外攻击时，可启用该功能。

• 进阶接入配置：WAF提供多种资源接入方式，可根据业务需求进行选择。

  • 云产品接入ECS实例：本文采用此接入方式，旨在快速接入云产品实例。如存在TLS版本、加密套件、多证书配置需求，请参见增强安全防护等级（HTTPS）；如存在WAF前七层代理设置（如CDN）、流量标记等配置需求，请参见获取真实客户端信息。

  • CNAME接入：通过域名接入，适用场景更广、使用限制更少、支持功能更多。

• 成本优化建议：

  • 流量计费保护：为防止大流量攻击导致 QPS激增并产生高额费用，可设置流量计费保护阈值，以限定 WAF 可处理的峰值 QPS。

  • SeCU资源包：SeCU资源包是按量付费版WAF的成本优化方案，在开通按量付费WAF实例后，可购买SeCU资源包抵扣按量付费WAF产生的总费用。

  • 包年包月版WAF：当计划长期使用WAF时，建议购买包年包月版WAF以获得更优单价。

释放资源停止计费

完成快速入门教程后，若您不再需要在教程中开通的WAF，可以参照以下步骤关闭WAF停止计费。

1. 前往左侧导航栏总览页面，在顶部菜单栏，选择WAF实例的资源组和地域（中国内地、非中国内地）。

2. 若显示如下界面，请单击右上角访问控制台。若未显示如下界面，请跳过此步骤。

3. 在页面右侧区域单击关闭WAF，在页面弹出的提示框中勾选相关内容后单击确定。