華為云Web應(yīng)用防火墻 WAF：基于IP限速的配置

當(dāng)WAF與訪問者之間并無代理設(shè)備時，通過源IP來檢測攻擊行為較為精確，建議直接使用IP限速的方式進行訪問頻率限制。

攻擊案例

競爭對手控制數(shù)臺主機，持續(xù)向網(wǎng)站“www.hwexample.com”發(fā)起HTTP Post請求，網(wǎng)站并無較大的負載能力，網(wǎng)站連接數(shù)、帶寬等資源均被該攻擊者大量占用，正常用戶無法訪問網(wǎng)站，最終競爭力急劇下降。

防護措施

1.根據(jù)服務(wù)訪問請求統(tǒng)計，判斷網(wǎng)站是否有大量單IP請求發(fā)生，如果有則說明網(wǎng)站很有可能遭受了CC攻擊。

2.登錄華為云控制臺，將您的網(wǎng)站成功接入Web應(yīng)用防火墻，關(guān)于域名接入的具體操作請參見添加防護域名。

3.選擇“安全>Web應(yīng)用防火墻>域名配置”，進入“域名配置”頁面，在您需要防護的域名（網(wǎng)站）所在行的“防護策略”欄中，單擊“配置防護策略”，進入“防護配置”頁面，確認“CC攻擊防護”的“狀態(tài)”為“開啟”，單擊可切換防護狀態(tài)，如圖1所示。

圖1 CC防護規(guī)則配置框

4.開啟WAF的“CC攻擊防護”后，添加CC防護規(guī)則，配置對指定路徑下的請求進行基于IP限速的檢測，針對業(yè)務(wù)特性，設(shè)置限速頻率，并配置人機驗證，防止誤攔截正常用戶，針對網(wǎng)站所有url進行防護，配置如圖2所示。

圖2 IP限速

路徑：CC防護的URL鏈接，不包含域名。

前綴匹配：以*結(jié)尾代表以該路徑為前綴。例如，需要防護的路徑為“/admin/test.php”或“/adminabc”，則路徑可以填寫為“/admin*”。

精準(zhǔn)匹配：需要防護的路徑需要與此處填寫的路徑完全相等。例如，需要防護的路徑為“/admin”，該規(guī)則必須填寫為“/admin”。

說明：

·該路徑不支持正則，僅支持前綴匹配和精準(zhǔn)匹配的邏輯。

·路徑里不能含有連續(xù)的多條斜線的配置，如“///admin”，WAF引擎會將“///”轉(zhuǎn)為“/”。

限速模式：選擇“IP限速”，根據(jù)IP區(qū)分單個Web訪問者。

限速頻率：單個Web訪問者在限速周期內(nèi)可以正常訪問的次數(shù)，如果超過該訪問次數(shù)，Web應(yīng)用防火墻服務(wù)將暫停該Web訪問者的訪問。

防護動作：防止誤攔截正常用戶，選擇“人機驗證”。

人機驗證：表示在指定時間內(nèi)訪問超過次數(shù)限制后彈出驗證碼，進行人機驗證，完成驗證后，請求將不受訪問限制。

阻斷：表示在指定時間內(nèi)訪問超過次數(shù)限制將直接阻斷。

僅記錄：表示在指定時間內(nèi)訪問超過次數(shù)限制將只記錄不阻斷。

當(dāng)用戶訪問超過限制后需要輸入驗證碼才能繼續(xù)訪問。

進入防護事件頁面，可以查看攻擊事件詳情，如圖3所示。

圖3查看CC攻擊事件日志