处理动作和安全级别说明
更新时间:2025-01-14 15:07:30
处理动作
内置规则的处理动作由非凡安全预先设定,根据每条规则的用途,将设定不同的可选和默认处理动作。
| 处理动作 | 动作说明 进入防护配置>共享配置页面:
- 登录非凡安全控制台,在已开通产品下,找到网站云防护防护并点击进入。
- 前往防护配置>共享配置页面。
- 在App/API例外标签页下,点击新增例外。
- 根据实际业务情况选择业务类别,输入自定义的App/API,并配置特征。
- 配置完成点击确定,完成新增。
- 在App/API例外列表,点击
,从弹出的域名关联对话框选择需要进行APP/API例外的域名,点击确定,完成关联。 | 对应规则用途 |
| ------------- | ---------------------------------- | -------- |
| 拦截 | 阻断请求并响应403。 | 针对已知的攻击特征或发起高频请求的IP进行拦截。|
| 监控 | 记录请求的攻击行为,并继续做进一步的评估。 | 针对已知的攻击特征或发起高频请求的IP进行监控。|
| DDoS托管校验 | 根据请求特征动态选择适当类型的验证算法,包括Cookie验证和JavaScript验证。| 用于检测和缓解大规模的应用层DDoS攻击,保护源站业务。|
| 拒绝连接 | 释放与客户端已建立的TCP连接,并拒绝新的连接。| 用于缓解超大规模的应用层DDoS攻击,保护清洗节点基础设施。|
关于拒绝连接:
- 当应用层DDoS攻击规模超大时可能会影响清洗节点基础设施的性能,网站云防护平台会自动将反复发起攻击的IP在网络层直接封禁,从而大规模自动缓解应用层DDoS攻击。
- 处理动作为“拒绝连接”的内置规则分析的安全策略范围包括:IP/区域封禁、DDoS防护、频率限制、自定义规则。在这些功能中,反复攻击的IP都会在网络层直接封禁。
安全级别
安全级别用于定义每条内置规则的生效场景。平时内置规则不生效(已知攻击特征的内置规则会默认生效),仅当智能防护引擎识别到应用层DDoS攻击时再自适应生效,从而尽量避免内置规则影响正常用户访问。
| 安全级别 | 生效场景 | 用途 |
|---|---|---|
| 默认启用 | 内置规则默认生效。 | 来自已知攻击特征的内置规则,具有非常高的准确性和低误报风险。建议您保持这些内置规则处于默认启用的安全级别。 |
| 攻击时启用 | 当防护模式为“智能托管”时,自适应生效内置规则;当防护模式为“我受到攻击!”时,内置规则默认生效。 | 针对拦截发起高频请求的IP或对网页端请求进行DDoS托管校验的内置规则。为了降低误报风险,建议您保持这些内置规则处于“攻击时启用”的安全级别。 |
| 基本关闭 | 内置规则默认不生效,但当域名攻击规模影响清洗节点基础设施时,仍会生效内置规则。 | 为了在超大规模攻击时内置规则依然能正常生效以保护清洗节点基础设施,通常建议您设置安全级别为“基本关闭”而不是“永久关闭”。 |
| 永久关闭 | 内置规则不生效。 | 针对明确不匹配正常业务,会导致正常用户大面积误拦截的内置规则,可以将对应内置规则的安全级别设置为“永久关闭”。同时通过自定义规则或频率限制功能手动配置适合业务的防护规则。 |
自适应生效内置规则:智能托管模式下,内置规则默认不生效,但当智能防护引擎监测到域名受攻击时,会实时生效【攻击时启用】的内置规则;当智能防护引擎监测到域名攻击停止时,【攻击时启用】的内置规则自动不生效。
域名攻击规模影响清洗节点基础设施时:当智能防护引擎监测到域名受攻击且攻击规模已经影响节点性能时,会实时生效【基本关闭】的内置规则;当智能防护引擎监测到域名攻击规模下降或停止时,【基本关闭】的内置规则自动不生效。