近期,百度云防护在精准自定义 CC 规则中新增了以 国家 和 省份 为维度的统计信息选项。站长可以在创建 CC 防护规则时,将匹配条件的统计口径从传统的 IP、UA、URI PATH 等扩展到地理位置维度,配合秒级阈值和多种处置动作,实现对特定地区来源流量的精细化管控。这对有明确业务地域范围、遭遇区域性攻击或需要做海外流量分流的站点来说,是一个相当实用的能力升级。
一、功能概览:规则配置界面的新变化
在百度云防护后台的「CC 防护 → 精准自定义 CC → 添加规则」页面,核心字段结构如下:
| 字段 | 说明 |
|---|---|
| 规则名称 | 1–40 位字符,支持中文、英文及数字 |
| 优先级 | 范围 0–200,数值越小优先级越高。同一请求命中多个规则时以高优为准 |
| 防护类型 | 智能CC(自动调参) / 精准自定义CC(本次重点) |
| 匹配条件 | 支持 IP 属于、IP 不属于等多种逻辑;单条规则最多填写 200 个值,支持英文逗号分隔批量输入 |
| 统计信息(核心更新) | IP、JA3、JA4、User-Agent、URI PATH、国家、省份、自定义 header-key |
| 统计条件 | 「X 秒超过 N 次请求」即触发处置动作,N 范围 2–50000 次 |
| 生效范围 | 作用于整个防护站点,或指定部分站点(可选站点) |
| 生效模式 | 永久生效 / 按周期生效(设置时长 60–3600 秒) |
| 处置动作 | 观察 / 拦截 / 其他可选动作 |
其中统计信息下拉菜单里新增的「国家」和「省份」两个选项,正是这次更新的核心。它们允许站长把 CC 限频的计数粒度从「单个 IP」「单个 UA」升级到「某个国家的所有 IP 汇总」「某个省的所有 IP 汇总」,在规则层面直接实现地理围栏式流量管控。
下图展示了以「省份」为统计信息、处置动作设为「拦截」时的规则配置界面(统计信息下拉菜单展开后可看到国家、省份等全部选项):

二、「国家 / 省份」统计的工作原理
当选择统计信息为「国家」时:
系统会自动对每一条入站请求进行 GeoIP 解析,提取来源 IP 对应的国家代码(如 CN、US、JP),然后以国家为单位聚合计算请求频率。比如规则设定「60 秒内来自同一个国家的请求超过 10000 次」,那么只要某国 IP 在这个时间窗口内的总请求数触达阈值,无论这些请求分散在多少个不同 IP 上,都会被判定为异常并执行预设处置动作。
同理,选择「省份」时:
系统解析到中国国内省级精度(如北京、广东、浙江),以省份为聚合单位做频次判断。这对只面向特定省份用户的业务尤其有价值——非目标省份的高频访问可以直接标记或拦截。
百度云防护本身拥有覆盖全球的 GeoIP 库和国内运营商级别的省份定位能力,解析延迟在亚毫秒级别,不会成为性能瓶颈。
三、典型使用场景
场景一:纯国内业务,直接屏蔽境外高频扫描
很多电商、论坛、企业官网的业务对象就是国内用户,但每天会收到大量来自境外 IP 的自动化探测——目录遍历、API 爆破、漏洞扫描工具轮询。这些请求通常分散在成百上千个境外 IP 上,传统「单 IP 限频」很难拦住(每个 IP 只来几次就不超阈值)。
用国家维度统计可以一步解决:
- 统计信息选「国家」
- 匹配条件留空(或不限制 IP,作用于全量流量)
- 统计条件设为「60 秒超过 5000 次」(根据正常境外流量基线调整)
- 处置动作选「拦截」
- 生效范围选整个防护站点
效果:境外来源的总请求一旦出现突发式爬取或扫描,整批流量会被直接阻断,而分散到单个境外 IP 的低频探测也会因为同国聚合计数而被捕获。
场景二:区域型平台,仅开放特定省份访问
一些地方性服务平台(如省内政务入口、区域生活服务、地方招聘网)的用户基本集中在 1–3 个省份。对于这类站点,来自其他省份的高频访问大概率是爬虫或无效流量。
配置示例:
- 统计信息选「省份」
- 可以结合匹配条件进一步限定(如排除本省 IP 段,或直接针对非目标省份设规则)
- 统计条件:「120 秒超过 3000 次」
- 处置动作先设「观察」,观察几天确认无误后再切「拦截」
这样既能把跨省爬虫挡在门外,又不影响真实用户的正常访问体验。
场景三:跨境电商 / 出海业务,按国家差异化限频
面向多国用户的站点(如外贸商城、出海工具站)往往面临一个问题:某些国家的爬虫密度远高于其他国家。如果用全局统一限频,要么太松拦不住,要么太严误伤正常用户。
解决方案是按国家分别建规则:
- 规则 A(针对高风险国家):统计信息「国家」,匹配条件填对应国家 IP 或利用 GeoIP 自动识别,阈值设低(如 30 秒 1000 次),处置动作「拦截」
- 规则 B(针对正常国家):统计信息「国家」,阈值放宽(如 60 秒 50000 次),处置动作「观察」
- 利用优先级字段确保规则 A 优先匹配
这种分层策略让不同国家的流量享受不同的防护力度,比一刀切的 IP 限频精细得多。
场景四:大促 / 活动期间防羊毛党集中刷票
每逢大促或限时活动,经常出现某个地区的团伙使用大量本地 IP 集中抢购、刷票、薅优惠券。这些 IP 可能是 ADSL 拨号池、代理池,单个 IP 请求数不高但总量巨大。
此时用「省份」维度统计非常有效:
- 统计信息选「省份」
- 统计条件:「10 秒超过 800 次」(活动页面正常用户不会这么频繁)
- 处置动作「拦截」
- 生效模式选「按周期生效」,设置时长与活动持续时间一致(如 3600 秒)
一旦某省出现集中式机器行为,整省相关的高频请求会被立刻压制,且规则到期后自动失效不影响日常运营。
场景五:安全运维中的「地理围栏告警」
不一定要直接拦截,也可以把国家 / 省份规则用作监控告警手段:
- 统计信息选「国家」或「省份」
- 处置动作选「观察」
- 结合百度云防护的指标分析功能,定期查看被命中规则的请求详情,分析是否存在新型攻击手法或异常流量模式
这相当于给站点加了一层基于地理位置的流量基线监控,在攻击尚未造成实际损害前就能发现苗头。
四、与其他统计维度的对比
| 统计维度 | 适用场景 | 优势 | 局限 |
|---|---|---|---|
| IP | 传统 CC 防御,单 IP 高频访问 | 精确到单点 | 对分布式攻击(每 IP 低频)效果差 |
| JA3/JA4 TLS 指纹 | 识别自动化工具、脚本爬虫 | 与 IP 无关,指纹唯一性强 | 仅对 HTTPS 流量有效 |
| User-Agent | 过滤已知恶意 UA / 伪造 UA | 配置简单 | UA 容易伪造,误伤风险较高 |
| URI PATH | 针对敏感接口单独限频 | 保护特定 API / 登录页 | 需逐个路径配置 |
| 国家(新增) | 境外扫描、跨境业务分层 | 按国别聚合,覆盖分布式低频 IP | 正常境外用户可能受影响,需合理设阈值 |
| 省份(新增) | 区域性平台、防本地团伙 | 国内精度高,适合省内业务 | 仅对国内 IP 有省级解析 |
可以看到,国家 / 省份维度不是替代其他维度,而是补上了「地理位置」这一块拼图。在实际防御体系中,它最适合与 JA3/JA4 指纹、IP 限频组合使用,形成多层过滤。
五、实战配置建议
推荐的「三层组合拳」
第一层:智能 CC(兜底)
开启百度云防护的智能 CC 能力,让系统自动学习正常流量基线并动态调整防御参数。这是最省心的一层,适合绝大多数日常场景。
第二层:精准自定义 CC — 国家维度(针对境外威胁)
规则名称:境外高频访问拦截
优先级:10
防护类型:精准自定义 CC
匹配条件:(留空 = 全部流量)
统计信息:国家
统计条件:60 秒超过 5000 次
生效范围:整个防护站点
生效模式:永久
处置动作:拦截
第三层:精准自定义 CC — JA3 指纹 + URI PATH(针对自动化攻击)
规则名称:自动化工具高频探测拦截
优先级:5(更高优先)
防护类型:精准自定义 CC
匹配条件:URI PATH 包含 /wp-login.php,/admin,/api/user
统计信息:JA3
统计条件:30 秒超过 20 次
生效范围:整个防护站点
处置动作:拦截
优先级数字越小越优先。这里 JA3 规则优先级高于国家规则,确保针对登录口和 API 的自动化攻击最先被拦截。
六、主机吧看法
CC 攻击防御的核心矛盾从来都是如何区分「真人」和「机器人」。过去我们只能靠 IP 限频(容易绕过)和 WAF 特征库(滞后于攻击),现在百度云防护把 TLS 指纹(JA3/JA4) 和 地理位置(国家 / 省份) 两个强力维度加入自定义规则引擎,等于给了站长一套可自由组合的多维过滤器。
特别是「省份」维度在国内场景下实用性很强——大部分中文站点的用户分布本身就高度集中于若干省份,用省份做聚合统计既能有效发现区域性异常,又不会像全球 IP 限频那样产生大量碎片化数据。
如果你正在为以下问题头疼:
- 境外 IP 扫描不断,封不完
- 大促期间某地区 IP 池集中刷接口
- 想对不同国家的访客做差异化限频但不知道怎么配
建议直接上百度云防护的精准自定义 CC 功能试试。专业版支持全部统计维度(含 JA3/JA4 / 国家 / 省份 / 自定义 header),通过主机吧购买可享 7.5 折优惠(299 元/月),性价比远高于单独采购国外同类服务的成本。
