边缘安全
  • 概述
  • DDoS 防护
    • DDoS 防护概述
    • 使用独立 DDoS 防护
    • 配置独立 DDoS 防护策略
      • 调整 DDoS 防护等级
      • 独立 DDoS 攻击流量告警
      • 配置 IP 黑白名单
      • 配置区域封禁
      • 配置端口过滤
      • 配置特征过滤
      • 配置协议封禁
      • 配置连接类攻击防护
      • 相关参考
        • 处置方式
        • 相关概念介绍
  • Web 防护
    • 概述
    • 托管规则
    • CC 攻击防护
    • 自定义规则
    • 自定义速率限制规则
    • 防护例外规则
    • 托管定制规则
    • Web 安全监控告警
    • 相关参考
      • Web 防护请求处理顺序
      • 处置方式
      • 匹配条件
  • Bot 管理
    • 概述
    • Bot 智能分析
    • Bot 基础特征管理
    • 客户端画像分析
    • 主动特征识别
    • 自定义 Bot 规则
    • Bot 管理例外规则
    • 相关参考
      • 处置方式
  • 策略模板
  • IP 和网段分组
  • 源站防护
  • 自定义响应页面
  • 告警通知推送
  • SSL/TLS
    • 概述
    • 部署/更新 SSL 托管证书至 EdgeOne 域名
    • 使用免费证书部署至 EdgeOne 域名
    • HTTPS 配置
      • 强制 HTTPS 访问
      • 启用 HSTS
      • SSL/TLS 安全配置
        • 配置 SSL/TLS 安全等级
        • TLS 版本及密码套件说明
      • 开启 OCSP 装订

概述

Web 防护功能提供对 HTTP/HTTPS 协议的应用层防护,您可以使用 EdgeOne 预设的安全策略,或者自己定义安全策略,识别并处置有风险的请求,保护您站点的敏感数据,并确保服务稳定运行。
说明:
EdgeOne 对被安全策略拦截的请求不会计费。

使用场景

Web 防护可对多种风险进行管控和缓解,典型场景包括:
漏洞攻击防护:对于涉及客户数据或敏感业务数据的站点,可以通过开启托管规则,拦截注入攻击、跨站点脚本攻击、远程代码运行攻击、第三方组件漏洞等恶意攻击请求。
访问管控:区分合法和未授权请求,避免敏感业务暴露到未授权的访客。包括外部站点链接管控、合作方访问管控、攻击客户端过滤等。
缓解资源占用:限制每个访客的访问频率,避免过度占用资源,导致服务可用性下降。EdgeOne 提供的速率限制可以有效缓解站点资源耗尽,以保障服务可用稳定。
缓解服务滥用:限制会话或者业务维度滥用,包括批量注册、批量登陆、过度使用 API 等恶意使用场景。并强化单一会话(如用户、订阅实例等)的用量限制,确保用户在合理限度内使用服务资源。
API 参数校验:校验 API 参数,确保请求合法性,控制接口暴露风险。

Web 防护功能

Web 防护提供下列功能,建议根据业务类型和业务预期的访问客户端类型进行配置:
说明:
不同的防护模块处置顺序优先级以及模块内相同优先级策略的处置动作执行优先级,详情请参见 Web 防护请求处理顺序
防护模块
功能介绍
匹配条件的请求跳过指定安全模块扫描,不会命中对应模块中的规则。对于托管规则,可以配置更精细的例外,跳过指定托管规则扫描。
按指定方式处置匹配条件的请求。
识别 CC 攻击(七层 DDoS 攻击),并进行处置。
统计一段时间内匹配条件的请求数量,当超过指定阈值时规则生效,处置匹配条件的请求。请求数量低于阈值后,处置动作维持生效一段时间,然后不再生效,直到再次触发。
识别非人类访问行为( Bot 客户端),根据 Bot 客户端类型或行为特征进行处置。
识别请求头部或正文中的攻击特征(包括 SQL 注入、XSS 攻击、开源组件漏洞等多种攻击特征类别),并进行处置。规则由 EdgeOne 定义并自动更新。