更新时间:2023-06-05
操作场景
为了对使用HTTP协议的应用进行安全保护,我们可以配置[HTTP防护策略]对访问该虚拟服务的流量进行控制。
操作步骤
在[应用负载]菜单下,点击[安全策略],在右边[安全策略]窗口中,选择[HTTP防护策略],点击<新增>。
界面如下图所示。
[HTTP防护策略]下显示的HTTP防护策略的[名称]、[描述]、[慢速攻击DDOS防护]、[泛洪攻击DDOS防护]、[防护动作]、[操作],其中[操作]栏有“复制”按钮用于快速复制创建同样的HTTP防护策略,“删除”按钮用于删除该单条配置。此处定义的[HTTP防护策略],可用于HTTP和HTTPS类型的“虚拟服务”配置部分。
点击<新增>按钮,如下图所示。
慢速攻击触发DDOS防护:配置是否启用慢速攻击防护。
连接超时时间:配置TCP连接最大空闲时间,超过此时间无数据传输的连接将执行防护动作,默认1800,单位秒,范围1-65535。
请求超时时间:配置TCP连接上接收一个完整HTTP请求的最大时间,超过此时间未发送完HTTP请求的TCP连接将执行防护动作,默认300,单位秒,范围。
最小传输速率:配置TCP连接上发送HTTP请求的最小速率,一段时间内持续低于此速率的TCP连接将执行防护动作,默认100,单位byte/s,范围1-65535。
泛洪攻击触发DDOS防护:配置是否启用泛洪攻击防护。
防护方式:配置[防护动作]为[拦截]时所使用的拦截方式,可选插入HTTP头部(返回302重定向)或注入JS脚本(返回一段JS脚本由浏览器执行)。
每秒请求个数阈值:全局配置,配置当每秒请求个数超过该值后执行防护动作,默认500,单位个,范围1-4294967295。
每秒请求个数增长率:全局配置,配置当每秒请求个数超过阈值的一半,且增长率超过该值时执行防护动作,默认1000,单位%,范围1-65535。
缓存URL控制列表:配置需要防护的URL,支持通配符*和?,匹配形式为www.test.com/index.html,可选是否区分大小写。
防护动作:配置当流量被上述条件判断为DDOS攻击后执行的动作,可选告警和拦截。