当多条自定义规则、CC 防护规则或 Bot 管理规则同时命中同一个请求时,谁先谁后?执行哪个动作?过去,这往往取决于规则创建顺序,难以精确控制。现在,百度云防护为自定义规则、精准自定义 CC、Bot 管理三大模块同步引入优先级功能(范围 0-200,数值越小优先级越高)。同一请求命中多个防护场景时,系统将严格按照优先级高低顺序执行,让安全策略真正“说了算”。
一、 优先级功能是什么?
在百度云防护控制台中,当你创建或编辑一条规则(自定义规则、精准自定义 CC 或 Bot 管理规则)时,可以设置一个 优先级 数值,范围为 0 到 200。
- 数值越小,优先级越高。例如优先级 10 的规则会先于优先级 50 的规则执行。
- 当多个规则同时匹配同一请求时,系统仅执行优先级最高(数值最小)的那条规则(除非高优先级规则设置了“放行”或“观察”,才可能继续向下匹配,具体取决于规则逻辑)。
该功能已全面上线,适用于 百度云防护 WAF。
二、 为什么需要优先级?—— 解决策略冲突的“指挥棒”
在实际安全运维中,我们常常会配置多条规则:
- 既要放行信任 IP(如公司出口 IP、合作伙伴回调 IP)。
- 又要拦截恶意 IP(如代理池、扫描器 IP)。
- 还要对某些敏感 URI 单独限频(如登录接口)。
- 甚至针对不同时段、不同来源区域执行不同的处置动作。
没有优先级时,规则的生效顺序不可控,可能出现“本应放行的请求被拦截”“本应拦截的请求却只记录”等混乱情况。优先级功能正是为了解决这一痛点,让你可以像编排交响乐一样,精确指挥每条规则的执行顺序。
三、 典型应用场景
场景一:白名单优先于黑名单 —— 确保绝对信任
需求:公司内部办公 IP(1.2.3.4)和支付回调 IP(5.6.7.8)必须无条件放行,无论其他规则如何定义。
配置方案:
| 规则类型 | 匹配条件 | 优先级 | 处置动作 |
|---|---|---|---|
| 自定义规则(白名单) | IP 属于 信任地址簿 | 10 | 放行(跳过所有检测) |
| 自定义规则(黑名单) | IP 动态情报 属于 代理IP | 100 | 拦截 |
效果:即使代理 IP 规则命中,由于白名单优先级更高(10 < 100),信任 IP 的请求会被直接放行,不会进入后续黑名单检测。
场景二:紧急拦截压倒一切 —— 快速止血
需求:遭遇突发 CC 攻击时,需要临时启用一个“超级严格”规则,立即阻断所有海外 IP 的访问。平时则使用常规规则。
配置方案:
| 规则类型 | 匹配条件 | 优先级 | 生效模式 | 处置动作 |
|---|---|---|---|---|
| 精准自定义 CC(紧急) | 区域 属于 海外 | 5 | 按时间段(攻击时段) | 拦截 |
| 智能 CC(常规) | 无特殊条件 | 100 | 永久 | JS 挑战 |
效果:攻击期间,优先级 5 的规则接管所有海外流量直接拦截;攻击结束后禁用该规则,恢复常规防护。
场景三:敏感接口精细限频 + 全局兜底
需求:登录接口(/login)单 IP 每分钟限制 10 次,其他接口每分钟限制 100 次。
配置方案:
| 规则类型 | 匹配条件 | 优先级 | 统计时长/阈值 | 处置动作 |
|---|---|---|---|---|
| 精准自定义 CC(登录) | URI 包含 /login | 20 | 60秒 / 10次 | 拦截 |
| 精准自定义 CC(全站) | URI 包含 / | 100 | 60秒 / 100次 | JS 挑战 |
效果:登录接口的请求优先匹配优先级 20 的规则,执行更严格的限频;其他 URI 才走优先级 100 的兜底规则。
场景四:先检测 Bot 特征,再执行 CC 限频
需求:先识别出已知的恶意爬虫工具(JA4 指纹),直接拦截;未识别的再根据行为进行 CC 限频。
配置方案:
| 规则类型 | 匹配条件 | 优先级 | 处置动作 |
|---|---|---|---|
| Bot 管理规则 | JA4 等于 恶意指纹 | 15 | 拦截 |
| 智能 CC | 无特殊条件 | 100 | JS 挑战 |
效果:JA4 指纹命中的请求被优先拦截,不会进入 CC 检测流程,节省计算资源。
四、 如何配置优先级?
在百度云防护控制台中,创建或编辑规则时,可以看到 “优先级” 输入框,范围 0-200。
- 数值越小,优先级越高。
- 同一请求命中多个规则时,只执行优先级最高的规则(除非高优先级规则设置为“观察”或“放行”且未终止检测,具体取决于产品逻辑)。
- 建议对绝对信任的规则(如白名单)设置 10-20,对紧急拦截规则设置 1-10,常规规则设置 50-100,兜底规则设置 150-200。
五、 注意事项
- 优先级仅在相同模块内生效?实际上,百度云防护的自定义规则、CC 防护、Bot 管理各自独立,但它们的执行顺序也受整体流程影响(通常 Bot 管理 → 自定义规则 → CC 防护)。目前优先级功能主要在每个模块内部比较,跨模块顺序由产品架构决定,建议咨询官方文档。
- 避免数值冲突:虽然可以重复,但建议建立企业内部优先级规范,如白名单 10、紧急拦截 20、常规 50、兜底 100。
- 测试先行:修改优先级前,可先在“观察”模式下验证,确认逻辑符合预期后再改为“拦截”。
六、 总结
百度云防护优先级功能的加入,让安全策略从“无序执行”升级为“精准编排”。无论是白名单与黑名单的冲突解决,还是紧急攻击的快速响应,抑或是精细化限频的逐级递进,优先级都提供了灵活且强大的控制能力。
搭配使用百度云防护的 JA4 指纹、IP 情报库、智能 CC 等功能,你的网站安全体系将更加智能、高效。
如果你对优先级配置还有疑问,或者想为网站量身定制一套分级的防御策略,欢迎联系主机吧。我们提供免费安全评估和规则优化服务。
主机吧 | 百度云防护官方合作伙伴
提供 WAF 接入、高防 CDN、高防 IP、高防服务器、SSL 证书一站式服务
让每一条规则都精准执行,让每一次攻击都无处遁形。
