tencent cloud

操作场景

DDoS 高防包支持 CC 防护功能，当高防包统计的 HTTP 请求量超过设定的【http 请求数阈值】时，自动触发 CC 防护。同时，DDoS 高防包还支持 URL 白名单、IP 白名单和 IP 黑名单策略：

• 白名单中的 URL，其访问请求将无需执行 CC 攻击检测，直接被放行。
• 白名单中 IP，其 HTTP 访问请求将无需执行 CC 攻击检测，直接被放行。
• 黑名单中 IP，其 HTTP 访问请求将直接被拒绝。

用户可根据业务特点和防护需求，自定义防护策略实现更精准的 CC 攻击拦截。

操作步骤

1. 登录 DDoS 防护管理控制台，选择【DDoS 高防包】>【防护配置】，在【CC 防护】页签，选择目标地域和高防包实例，进行 CC 防护配置。
   

2. 单击【CC 防护】右侧的开启 CC 防护。

   • CC 防护默认关闭。
   • 开启 CC 防护后，才可设置 HTTP 请求数阈值、自定义 CC 防护策略以及黑白名单。

3. 单击【http 请求数阈值】右侧的下拉框选择合适的阈值。

4. 单击【添加访问控制策略】，在【添加访问控制策略】弹出框中，根据实际业务需求设置以下参数，单击【确定】完成配置。
   

   • 仅在该高防包正在被攻击状态时，自定义策略才会生效。

   • 匹配模式下，每个自定义策略最多可以设置4个策略条件进行特征控制，且多个条件之间是“与”的关系，需要所有条件全部匹配策略才生效。

   • 限速模式下，每个自定义策略只允许设置1条策略条件。

   • 策略名称
     输入策略名称，长度为1 - 20字符，不限制字符类型。

   • 模式

     • 匹配模式：匹配到 HTTP 对应字段头的请求，执行拦截或人机识别操作。
     • 限速模式：对源 IP 访问进行限速处理。

   • 策略

     • 当选择【匹配模式】时，支持从 HTTP 报文的 host 参数、CGI 参数、Referer 和 User-Agent 等多个特征进行组合，组合逻辑包括包含、不包含和等于。最多可以设置4个策略条件进行特征控制，字段描述如下：

       匹配字段	字段描述	适用的逻辑符
       host	访问请求的域名。	包含、不包含、等于。
       CGI	访问请求的 URL 地址。	包含、不包含、等于。
       Referer	访问请求的来源网址，表示该访问请求是从哪个页面跳转产生的。	包含、不包含、等于。
       User-Agent	发起访问请求的客户端浏览器标识等相关信息。	包含、不包含、等于。

     • 当选择【限速模式】时，对每个源 IP 访问进行限速处理。只允许设置1个策略条件。
       

5. 单击【URL 白名单】、【IP 白名单】或【IP 黑名单】页签，进行黑白名单配置，支持添加、删除。

   DDoS 高防包添加 URL 白名单时，可以带 HTTP 协议头信息，也可以不带 HTTP 协议头信息，但 DDoS 高防包仅支持 HTTP 协议。例如可以填写 http://test.com/index.php或www.test.com/index.php。