前一段时间拿我受邀参加ants2.0的内测(其实是硬着头皮参加的)然后大家来看看ants2.0 cdn系统策略怎么配置?ants2.0 cdn系统策略详解,目前的官方的开发文档还没有出来,那么我提前教大家怎么弄这个策略。
目前来看的我应该是了,我在百度上谷歌里面挨个查了一下,并没有发现和我一样的,并且这个内测人员并不是很多,直到我发文章的这一时候,官方文档都还没发,所以我可以暂定为,然后大家如果转载的话建议留下原文链接,或者说尽量别直接复制粘贴。
首先我们来看一下他们这个策略都有什么,,我来给大家详解一下这个策略。
这里呢,前面是匹配类型,是选择是什么类型,后面是匹配值,是匹配成什么,我来给大家详解一下上面这些匹配类型。
第一个url,是网址比如说我们这里填写wp-admin那么是匹配成为hcnote.cn/wp-admin,然后下面可以选择处置方式,如果我们选择放行,也是说,只要有人访问我的后台,那么一律不拦截,如果选择是拦截,那么是直接给你拦截掉,大家如果家里有固定IP的话,可以通过这个把自己ip设置成白名单,其他人访问后台全部拦截。
第二个ip,是输入IP,然后选择是拦截还是直接放行,这里可以用来设置黑名单ip和白名单ip第三个referer是匹配来源,有一些攻击是故意整个来源来攻击,那么我们可以把这个来源的攻击全部封禁。
user -agent是ua头,是咱们的设备的前缀,我们连访问网站的时候都是有ua头的,比如windowsxp的ua头之类的,有一些攻击是伪造的ua头,,他们一般都是伪造的特别老的设备,那么我们可以把这些不常见的,比较老的ua头全部拦截,或者设置成数字验证。
访客区域,这里是选择访客的地方,比如我选择所有海外,然后下面处置方法是封禁,那么也是咱们经常说的封海外,海外攻击进不来了,大家也可以给他设置成数字验证,是海外访问的用户全部进行数字验证。
下一个是后缀,我们可以选择什么后缀,比如选择后缀为jpg,然后下面选处置方法拦截,也是说,只要有人访问我们的图片那么会全部拦截,这个可以用来配置针对某一个占一个文件攻击来配置防御。
再下一个是返回状态码,这个一般是配合其他策略一块使用,比如添加一个访问后台一分钟次数超过10次返回错误码444然后再添加一个错误码拦截是如果一个人访问你后台不停的访问直接弹出444码如果继续不停的访问直接拉黑。
然后下一个是请求类型,选择请求类型为什么,然后下面选择处置方法,比如检测到你的请求方式是get那么进行无感验证,大家看下图
这是上面我说的策略,get一般你们访问我的网站都是get,这样设置相当于每一个访问都进行了无感验证,我们网站如果没什么大攻击可以直接只配置一个这个,这个策略很适合养老,并且对于小攻击很管用。
下一个是请求类型比
大家看图片,这个是请求类型万分之多少,然后来匹配,比如设置成post万分之4000也是五分之二,你的访问有五分之二是post那么拦截,这样可以防止那种恶心的post攻击攻击,然后再看下一个策略,名字叫做人机验证失败次数,比如我们设置了每一个访问都要进行数字验证,这个数字验证默认不通过也不会拦截,这个数字验证叫做人机验证,我们设置人机验证失败次数大于五那么拦截,也是我5次访问都没验证成功那么拦截。
再往下是as权重这个东西很邪乎,我也不懂,这个属于ai防cc的一部分,这个以后再讲
下一个是单ip请求总数,是一个ip访问你网站的总数,这个不建议设置这个策略,容易误封,不过可以设置成大于多少对这个ip开启无感验证这里呢,大家可以看一下我下面这张图。
我这个意思呢是当你访问我的网站总共超过100次,那么对你开启无感验证,再往下一个是单IP五分钟之内访问总数,比如我们可以设置成五分钟之内超过几百,那么拦截,然后再下一个是一分钟之内访问的总数,这个可不是单个IP一分钟总数这个是指的是你这一个分钟里面总共的IP数,比如我们可以设置成60秒内访问超过200,然后下面的处置方法设置成数字验证,那么也是说一分钟之内你的网站总共请求超过了两百ip,那么你的网站会打开数字验证盾。
在下面一个规则是访问距离现在,一ip被认定为是正常IP那么在一个小时之内不会对这个IP进行另外的检测但是如果你想让他变成半个小时,那么可以通过这个功能给他设置一下。
到这里所有的配置我都已经给你们讲完了,那么我们应该怎么利用这些配置来完整的设置一个策略呢?他这个呢是从上往下排,优先进行第一个,然后再进行第二个,你设置了十几个策略,它都是从上往下进行越往上的优先级越高,越往下的优先级越低假设我们第一条和第五条发生了冲突,那么它会优先执行第一条,那么当一个访问在这些策略里面,一个也没有匹配上那是直接不进行任何处理该怎么访问怎么访问,然后呢上边儿我一直给大家讲的那个数字验证我听他们官方说的消息,可能以后会取消这种数字验证以后可能会改成不出现任何影响用户体验的那种验证,然后会把数字验证这些东西全部删掉,这个呢以后咱们再说到时候如果真这样改了我再给你们发篇章章写一下策,到时候如果真这样改了,我再给你们发篇文章写一下策略。
让我跟你说怎么设置策略,我也真的说不清楚,我这里给大家讲几个策略,举个例子让我讲解一下这样大家应该明白了。
这里我先给大家讲一下无效策略,无效策略是指比如说我一个策略互相冲突,最后导致这个策略没什么用,那么这是无效策略。
这个图上两个是一组策略,后两个是一组策略的意思是说这一分钟既要大于一,又要小于一,那么大家凡学过数学都知道不可能这样实现,第二组策略的意思是既等于get,又不等于get.这肯定是无效的,这都是逻辑上的问题,然后还有一种是说既要等于get,又要等于post,这也是没法儿实现的,如果你是get,那么你不可能是post
然后开始给大家讲一个通用的策略和这个策略的解释,我觉得大家看完之后应该也理解了
优先级排到第一的是这个海外验证,如果我们直接封闭海外的话,有可能会导致有一些特别少的海外用户,或者说一些挂了代理的用户没法正常的访问,但是如果我们不封闭的话,大部分的攻击都是海外来的,那么我们可以直接设置成海外来的流量每分钟超过五次,那么给他弹出验证,大家也可以把那个每分钟超过五次删除,直接是每一个海外来的都要进行验证,这样的话更严格一点儿,可以直接杜绝海外的攻击。
然后设置第二个策略是每一个访问都要进行无感验证。
无感验证的是一个特别没有感觉的验证,让用户在访问的时候没有任何感觉攻击流,已经进行了验证,是不是攻击流量;这个验证几乎不会出现拦截错的现象,所以推荐开启每一个访问都进行无感。
然后第三个策略呢设置成大于300开启数字盾,我是不推荐开这个的,我也不建议大家设置这个,这种的非常影响用户体验,但是大家绝大多数服务器配置都是很低的,在这种情况下,你又想扛住超大的攻击,那么只能启动数字盾只能靠着这个来扛,这个是目前来看最有效的策略。
这里再说一下,并不建议设置这个,你的服务器实在是配置太低,可以这样设置。
第四个呢是人机验证次数大于多少然后直接拦截。
这个的意思是说三次没有通过我的数字验证,那么直接把你拉黑。
再下一个策略是HEAD拦截,这个请求方式都是攻击,一般的网站根本用不到这个请求方式,所以全部给他拦截。
最下面这个是最后一个策略了,post拦截
这是防止post攻击的意思是说1万次访问有四千多次是post那么拦截
到这里这个策略也给你们讲完了,我给你们讲的这个策略,是一个通用的策略,如果大家不想去专门理解的话可这,可以直接用这个策略,其实用上这个策略的话,基本可以防止90%以上的攻击。
这个2.0的话,策略非常的细分,如果设置的好几乎可以做到百分,几乎可以做到99%拦截攻击,而且不会有任何的用户不好的体验,现在我们一些内测的人依旧在研究这个,预计上线应该快了,大家再等待一段时间,等以后我会写一些各个程序专用的策略,比如wp,zb程序专用的策略。
然后呢我还是跟大家说我的这篇文章,我真的是强烈要求别直接复制,尽量留一下我这个原文链接,并且我已经在百家号里面发布了这篇文章,然后声明了原创你们是抄过去了也不会对你们有什么好处的。目前我也是比较早发2.0策略详解的,到现在官方的文档都没有写出来呢,我研究了一下午写了三千多字,很不容易了,如果将来有什么错误的地方,大家指点一下,我会继续修改。
