一、功能描述
CC防火墙是知道创宇安全研究团队通过十余年时间的防御经验积累,综合多种业务场景为抗D保自主研发的Nightwatch Anti-CC防护引擎,它可以根据访问者的URL、频率、行为等访问特征,发挥大数据优势,智能迅速的识别CC攻击并进行拦截,在大规模CC攻击时可以避免源站资源耗尽,保证企业网站的正常访问。用户可仅开启标准防护策略,亦可按需定制防护策略,实现多种类型CC攻击的完美防御。
二、功能配置
配置入口:https://defense.yunaq.com/kdb_manage/manage/。
CC防火墙分为【标准防护】和【超级防护】。
【标准防护】是知道创宇自主研发的Nightwatch Anti-CC基础防护引擎,它通过对用户的请求日志进行实时采集分析,根据请求速率、请求路径分布、请求来源等行为特征动态建模,能快速识别并拦截常见的CC攻击,该引擎采用多纬度的分析模型,误拦截率极低。CC基础防护引擎默认开启。
【超级防护】是用户自定义进行防护设置,点击超级防护设置右侧【设置】按钮,可进入CC防火墙设置界面,设置更高的防护级别。
操作步骤:
- 首先选择防护等级:高级防护或AI防护任选其一。
- 填写防护范围(非必填项):如http://example.com/example.jpg需要防护,则可以在网址中抽取关键词“example”填写到URL设置中。若不填写,即对所有URL进行防护,详细填写规则可参考模糊匹配详细说明。
- 打开超级防护开关:默认是关闭状态,打开此处开关后表示开启超级防护。
- 保存:保存步骤123的所有配置,点击保存所有配置才会生效。
三、超级防护控制面板介绍
1、风险IP数检测总览:该模块进行数据动态展示,数据库中风险IP是知道创宇通过高级风险分析引擎及评估算法,结合大数据对以往发起过CC攻击的恶意IP标记为不同的危险等级,如高危、中危、低危,并动态更新调整,用户可以根据不同安全等级进行自定义防护设置,在标准防护的基础上提高CC防护级别。
2、超级防护开关:超级防护等级分为【高级防护】和【AI防护】。
A.高级防护:针对所有请求IP进行浏览器人机识别,它可以零识别时间差拦截CC攻击。仅选择「高级防护」为JS人机识别验证,勾选「是否开启验证码识别」开关后为JS 和验证码双重验证。若对防护要求极为严苛,可进一步选择开启验证码识别。
B.AI防护:可针对不同访客IP进行防护动作的设置,防护动作又分为「常态防护」和「动态防护」,点击右侧【设置】,可进入AI防护策略设置界面。
B-1.常态防护:
常态防护策略可针对正常访客IP、低危IP、中危IP、高危IP四类IP分别进行人机识别、验证码识别、AI识别三种防护动作,共4*3=12种防护方案,用户可灵活使用。
B-2.动态防护:
动态防护策略可对攻击情况进行自定义设置,触发条件包括攻击IP数,攻击次数和攻击流量数,统计周期:10s,30s,60s,300s,复选框可以勾选多个触发条件,所勾选的条件需要设置阈值和统计周期,任意选择一个或多个触发条件,只要达到触发阈值,则进行防护动作。
AI动态防护策略分为“人机识别”,“验证码”,“AI识别”。
注意事项:
1.动态防护策略执行时间的范围为30-1440分钟。
2.AI动态防护触发条件、AI动态防护策略和动态防护策略执行时间均为必填项。
3.开启AI动态防护时需先设置常态防护。
3、防护范围:配置好防护等级后,可填写防护范围,对某些特定网址进行CC防护,例如:攻击者对指定的网址“http://www.example.com/login.jsp”进行攻击时,则可以在网址中抽取关键词“/login.jsp”填写到防护范围中,若不填写,即对所有URL生效,如下图所示。
四、防护动作
1、人机识别
动作开启后会为每一个访客生成唯一指纹,并写入浏览器COOKIE中,浏览器(客户端)的每次访问均需验证指纹,因此只有遵循国际RFC标准的浏览器、H5封装的APP或封装开启COOKIE功能浏览器的客户端才能正常通过验证。人机识别会消耗短暂时间,访客基本无感知。
该防护动作会返回HTML+JS代码,进行浏览器人机识别校验,JS代码会检查客户端的行为特征,校验通过才会放行。
2、验证码
防护动作是在“人机识别”防护动作的基础之上增加了与访客进行验证码交互的识别动作,在“人机识别”效果不佳时可选择此防护动作。
访问时云防御平台会先返回验证码页面,访客需要在页面中输入正确的验证码。
3、AI识别
AI识别为“人机识别”的动态展示。开启“AI识别”校验后,会出现5s的倒计时界面,若遭受攻击,“AI识别”能有效防御部分攻击和降低攻击速度。
CC防火墙最佳实践可参考:http://help.yunaq.com/faq/3899/index.html
CC防火墙拦截说明可参考:http://help.yunaq.com/faq/3905/index.html
CC防御方案介绍可参考:http://help.yunaq.com/faq/5278/index.html