CC防护部署清单（含规则配置、监控指标、应急流程）

发布时间:2026-01-06 10:39

一、 基础防护配置（WAF+高防IP 核心规则）

1. 请求频率限制

◦ 单IP/单会话 1分钟内请求数阈值：普通业务设 60-120次，高频API设 200-300次，超阈值直接封禁10-30分钟。

◦ 针对登录/下单/支付等核心接口，单独设置 30-50次/分钟 严格阈值，防止针对性攻击。

2. 请求特征过滤

◦ 拦截 User-Agent 为空、异常爬虫标识（如无合规爬虫协议）、重复参数请求。

◦ 过滤 Referer 伪造请求，仅允许白名单内域名发起跨域请求。

◦ 限制 Cookie 缺失、Session 异常的高频访问，防范无状态攻击。

3. 人机验证（挑战机制）

◦ 对疑似攻击IP（超阈值80%）触发 滑动验证/验证码，验证通过后恢复访问，避免误封正常用户。

◦ 核心业务接口默认开启 无感验证（如设备指纹校验），不影响用户体验。

4. 黑白名单管理

◦ 白名单：添加企业办公IP、合法爬虫IP（如百度/谷歌爬虫）、合作平台服务器IP。

◦ 黑名单：永久封禁多次触发攻击阈值、恶意扫描的IP段，定期更新黑名单库。

二、 资源层防护（服务器+数据库 优化）

1. 服务器资源隔离

◦ 核心业务与非核心业务部署在不同服务器集群，避免攻击波及核心系统。

◦ 开启 CPU/内存/连接数 资源限制，单个进程最大占用率不超过60%。

2. 数据库防护

◦ 对查询语句做 缓存优化，高频查询结果缓存至Redis，减少数据库压力。

◦ 限制单IP数据库连接数不超过10个，禁止长连接无操作占用资源。

◦ 禁止直接暴露数据库端口，通过内网API网关转发访问请求。

三、 监控告警指标（实时监测 提前预警）
监控维度 核心指标 预警阈值 告警方式 
流量指标 单IP请求频率、请求总量波动 较基线增长50%以上 短信+邮件+运维平台弹窗 
资源指标 CPU使用率、内存使用率、TCP连接数 CPU≥80%、内存≥85%、连接数超阈值 实时告警，5分钟未恢复升级 
业务指标 页面响应时间、接口错误率 响应时间＞3s、错误率＞5% 邮件告警，同步业务监控平台 

四、 应急处置流程（攻击发生 快速响应）

1. 预警阶段（指标异常）

◦ 运维人员10分钟内排查异常IP来源、请求特征，判断是否为CC攻击。

◦ 临时上调防护阈值10%-20%，开启人机验证，观察流量变化。

2. 攻击确认阶段（服务异常）

◦ 立即切换至高防IP，启用 流量清洗 功能，过滤恶意请求。

◦ 封禁攻击IP段，对核心接口临时限流，保障合法用户访问。

◦ 同步通知业务部门，说明情况及预计恢复时间。

3. 攻击结束阶段（指标恢复）

◦ 逐步下调防护阈值至正常水平，关闭临时限流策略。

◦ 分析攻击日志，提取攻击特征，更新WAF规则库。

◦ 复盘攻击过程，优化防护策略，完善应急预案。

五、 日常运维与优化

1. 每日查看防护日志，统计攻击次数、拦截成功率，调整阈值与规则。

2. 每周更新黑白名单，同步最新恶意IP库与攻击特征库。

3. 每月进行一次 模拟攻击演练，验证防护策略有效性。