【已记录】Nginx防火墙 CC防御

关于  单URL CC防御  
为什么是只有全局的呀？而且只是单URL，不可能每个站点都一样的吧？

建议：
正则匹配，一条正则等于一条规则进行匹配。
单条规则就按现在这样单独设置速率。
正则匹配直接匹配完整的URL，包含 $host $request_uri 。一条正则等于一条规则进行URL匹配进行速率匹配，进行单ip封禁。

比如 规则：  ^(aaa\.com|bbb\.com)\/aaa\/\w*   速率设置 为 5秒内限制5请求
ip 1.1.1.1  5秒内 请求的URL   和  ^(aaa\.com|bbb\.com)\/aaa\/\w*  是匹配的   并且超过5次   就进行封禁。

请求类型好像也挺重要。可以后续再改进。上面才是刚需。

（（还可以加个单条规则单独设置封锁时间，还不够完美就再加个单条规则单独配置响应内容。）这两个都无所谓，不奢求！）

这样就可以完全自由地配置防CC规则，因为每个网站的每个目录/路径/接口所需的速率限制都不一样。


当前的防CC功能真的很局限。当前的防CC功能真的很局限。当前的防CC功能真的很局限。

感谢您的反馈和支持！已经记录当前的的反馈，会联系开发看下当前的需求！

大炮运维V587 发表于 2023-3-11 20:22
感谢您的反馈和支持！已经记录当前的的反馈，会联系开发看下当前的需求！ ...

你们好像基本都只是 记录 反馈 看下。能或不能可以给个准信吗？这个功能应该每一个用户都需要吧。我也看到论坛有人反馈过类似的请求了。

waterqaq 发表于 2023-3-11 20:34
你们好像基本都只是 记录 反馈 看下。能或不能可以给个准信吗？这个功能应该每一个用户都需要吧。我也看 ...

每周都会有修复的，我们记录的信息开发会根据四项工作法进行排挡的

大炮运维V587 发表于 2023-3-11 20:39
每周都会有修复的，我们记录的信息开发会根据四项工作法进行排挡的

我把帖子编辑地更详细了，大佬看一下怎么样。采纳几率大吗？

waterqaq 发表于 2023-3-11 21:06
我把帖子编辑地更详细了，大佬看一下怎么样。采纳几率大吗？

这个单URL配置到站点里，这个建议好，采纳几率大

大炮运维V587 发表于 2023-3-11 21:08
这个单URL配置到站点里，这个建议好，采纳几率大

把当前现有的 单URL移到单站点吗？这个发展方向不好吧？这样还是很局限。
如果仅仅把当前现有的 单URLCC防御 移到单站点，那就是说还是不支持正则匹配，一条规则还只是单个地址，根本做不到高效的CC防御。

其实就放在全局，然后正则匹配 $host $request_uri 。就好了。
这样想设置多站点一样也可以，或者 某个目录/路径/接口 或者 什么字符开头或者结尾的  或者 字符串范围 都可以匹配  进行防御。

正则才是王道。正则才是王道。正则才是王道。

一条正则等于一条规则设置单独的速率限制。这才是WAF该有的样子。 而不是 单URL单地址，正则一样可以写成单URL单地址。

是 一条正则就等于一条规则，不再是单地址单URL。比如  ^aaa\.com\/\w*  速率限制5秒5请求，不是 aaa.com/aa 可以请求5次  aaa.com/bb 又可以请求5次 。是周期5秒内只要跟 ^aaa\.com\/\w* 匹配的请求超出速率限制5次就进行封禁了。

大炮运维V587 发表于 2023-3-11 21:08
这个单URL配置到站点里，这个建议好，采纳几率大

把当前现有的 单URL移到单站点吗？这个发展方向不好吧？这样还是很局限。
如果仅仅把当前现有的 单URLCC防御 移到单站点，那就是说还是不支持正则匹配，一条规则还只是单个地址，根本做不到高效的CC防御。

其实就放在全局，然后正则匹配 $host $request_uri 。就好了。
这样想设置多站点一样也可以，或者 某个目录/路径/接口 或者 什么字符开头或者结尾的  或者 字符串范围 都可以匹配  进行防御。

正则才是王道。正则才是王道。正则才是王道。

一条正则等于一条规则设置单独的速率限制。这才是WAF该有的样子。 而不是 单URL单地址，正则一样可以写成单URL单地址。

是 一条正则就等于一条规则，不再是单地址单URL。比如  ^aaa\.com\/\w*  速率限制5秒5请求，不是 aaa.com/aa 可以请求5次  aaa.com/bb 又可以请求5次 。是周期5秒内只要跟 ^aaa\.com\/\w* 匹配的请求超出速率限制5次就进行封禁了。
------------
还有 URL增强模式 URL请求类型拦截  API接口防御 这些 在全局也不支持区分 $host 的吗？为什么在全局的 也只是匹配 $request_uri 呢？有多个站点的 $request_uri 是一样的应该怎么办呀？

你觉得呢？

大炮运维V587 发表于 2023-3-11 21:08
这个单URL配置到站点里，这个建议好，采纳几率大

把当前现有的 单URL移到单站点吗？这个发展方向不好吧？这样还是很局限。
如果仅仅把当前现有的 单URLCC防御 移到单站点，那就是说还是不支持正则匹配，一条规则还只是单个地址，根本做不到高效的CC防御。

其实就放在全局，然后正则匹配 $host $request_uri 。就好了。
这样想设置多站点一样也可以，或者 某个目录/路径/接口 或者 什么字符开头或者结尾的  或者 字符串范围 都可以匹配  进行防御。

正则才是王道。正则才是王道。正则才是王道。

一条正则等于一条规则设置单独的速率限制。这才是WAF该有的样子。 而不是 单URL单地址，正则一样可以写成单URL单地址。

是 一条正则就等于一条规则，不再是单地址单URL。比如  ^aaa\.com\/\w*  速率限制5秒5请求，不是 aaa.com/aa 可以请求5次  aaa.com/bb 又可以请求5次 。是周期5秒内只要跟 ^aaa\.com\/\w* 匹配的请求超出速率限制5次就进行封禁了。

还有 URL增强模式 URL请求类型拦截  API接口防御 这些 在全局也不支持区分 $host 的吗？为什么在全局的 也只是匹配 $request_uri 呢？有多个站点的 $request_uri 是一样的应该怎么办呀？

你觉得呢？

大炮运维V587 发表于 2023-3-11 21:08
这个单URL配置到站点里，这个建议好，采纳几率大

把当前现有的 单URL移到单站点吗？这个发展方向不好吧？这样还是很局限。
如果仅仅把当前现有的 单URLCC防御 移到单站点，那就是说还是不支持正则匹配，一条规则还只是单个地址，根本做不到高效的CC防御。

其实就放在全局，然后正则匹配 $host $request_uri 。就好了。
这样想设置多站点一样也可以，或者 某个目录/路径/接口 或者 什么字符开头或者结尾的  或者 字符串范围 都可以匹配  进行防御。

正则才是王道。正则才是王道。正则才是王道。

一条正则等于一条规则设置单独的速率限制。这才是WAF该有的样子。 而不是 单URL单地址，正则一样可以写成单URL单地址。

是 一条正则就等于一条规则，不再是单地址单URL。比如  ^aaa\.com\/\w*  速率限制5秒5请求，不是 aaa.com/aa 可以请求5次  aaa.com/bb 又可以请求5次 。是周期5秒内只要跟 ^aaa\.com\/\w* 匹配的请求超出速率限制5次就进行封禁了。

还有 URL增强模式 URL请求类型拦截  API接口防御 这些 在全局也不支持区分 $host 的吗？为什么在全局的 也只是匹配 $request_uri 呢？有多个站点的 $request_uri 是一样的应该怎么办呀？

感谢您的宝贵建议，这里会将具体的建议信息反馈给开发人员的。具体走向看后续开发那边评估

谢花郎 发表于 2023-3-13 20:42
感谢您的宝贵建议，这里会将具体的建议信息反馈给开发人员的。具体走向看后续开发那边评估 ...

什么时候会有结果呢？

谢花郎 发表于 2023-3-13 20:42
感谢您的宝贵建议，这里会将具体的建议信息反馈给开发人员的。具体走向看后续开发那边评估 ...

有些我用不到的功能，我就没注意看。现在的nginx防火墙很多功能都只能匹配单个$request_uri，不能使用正则，而且不匹配$host，现在基本就只能用那个全局标准CC防御，设大了就得靠硬件支撑，设置小了又误杀。那个CC增强模式的自动开启人机校验希望可以开启滑动验证等等验证方式。

感谢您的反馈