边缘安全
  • 概述
  • DDoS 防护
    • DDoS 防护概述
    • 使用独立 DDoS 防护
    • 配置独立 DDoS 防护策略
      • 调整 DDoS 防护等级
      • 独立 DDoS 攻击流量告警
      • 配置 IP 黑白名单
      • 配置区域封禁
      • 配置端口过滤
      • 配置特征过滤
      • 配置协议封禁
      • 配置连接类攻击防护
      • 相关参考
        • 处置方式
        • 相关概念介绍
  • Web 防护
    • 概述
    • 托管规则
    • CC 攻击防护
    • 自定义规则
    • 自定义速率限制规则
    • 防护例外规则
    • 托管定制规则
    • Web 安全监控告警
    • 相关参考
      • Web 防护请求处理顺序
      • 处置方式
      • 匹配条件
  • Bot 管理
    • 概述
    • Bot 智能分析
    • Bot 基础特征管理
    • 客户端画像分析
    • 主动特征识别
    • 自定义 Bot 规则
    • Bot 管理例外规则
    • 相关参考
      • 处置方式
  • 策略模板
  • IP 和网段分组
  • 源站防护
  • 自定义响应页面
  • 告警通知推送
  • SSL/TLS
    • 概述
    • 部署/更新 SSL 托管证书至 EdgeOne 域名
    • 使用免费证书部署至 EdgeOne 域名
    • HTTPS 配置
      • 强制 HTTPS 访问
      • 启用 HSTS
      • SSL/TLS 安全配置
        • 配置 SSL/TLS 安全等级
        • TLS 版本及密码套件说明
      • 开启 OCSP 装订

配置特征过滤

功能说明

特征过滤可以精准制定针对业务报文特征或攻击报文特征的防护策略来防止畸形报文攻击透传。EdgeOne 支持针对 IP、TCP 及 UDP 报文头或载荷中的特征自定义拦截策略。开启特征过滤后,您可以将源端口、目的端口、报文长度、IP 报文头或荷载的匹配条件进行组合,并对命中条件的请求设置丢弃、放行、丢弃并拉黑、继续防护等策略动作。
说明:
该功能仅在四层代理开启独立 DDoS 防护时支持,默认平台防护以及七层站点独立 DDoS 防护均不支持配置。

适用场景

站点业务接入 EdgeOne 后,如果您需要针对性地管理具有固定特征的访问请求,则您可以为该站点开启特征过滤并设置精确访问控制规则。特征过滤访问控制规则由匹配条件与匹配动作构成。
匹配条件定义了要识别的请求特征,具体指访问请求中TCP/UDP协议字段的属性特征。
匹配动作定义了访问请求命中匹配条件时,对访问请求执行的动作,具体包括拦截、放行、丢弃并拉黑、继续防护。

操作步骤

例如:针对站点 example.com 下的所有业务域名,对外仅开放的 TCP 业务包长度要求均不大于 512 字节,对不符合该特征的请求全部拦截。操作步骤如下:
1. 登录边缘安全加速平台控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击安全防护> DDoS 防护,进入 DDoS 防护详情页。
3. 在四层代理防护选项卡内,选择需要配置的四层代理防护实例,点击防护配置
4. 在特征过滤卡片中,单击设置,进入特征过滤页面。



5. 在特征过滤页面中,单击新建
6. 在新建特征过滤对话框中,创建特征过滤规则,根据需求,选择不同防护动作并填写相关字段,单击确定



各个特征字段说明如下:
过滤特征
说明
其他参数
源端口
指访问来源端口
支持输入1-65535范围的端口号
支持逻辑等于或介于
/
目标端口
指访问目标端口
支持输入1-65535范围的端口号
支持逻辑等于或介于
包长度
指访问报文的数据包长度
支持输入1-1500范围数字
支持逻辑等于或介于
IP 首部开始检测
支持关键词匹配,其中关键词通过偏移量及检查深度匹配
偏移量:UDP或TCP头部后数据体(payload)的偏移量,可选范围:0~1500,单位:Byte。
偏移量为0时,从数据体的第一字节开始匹配。
载荷内容:要匹配的数据体(payload)内容,可直接输入字符串(如:hello) 或以\x开头的十六进制字符串(如:\x1A2B3C4D)。
检查深度:载荷内容的字符串长度加上偏移量。(如:偏移量为1,字符串长度为6,则深度为7)
TCP/UDP 首部开始检测
支持关键词匹配,其中关键词通过偏移量及检查深度匹配
载荷开始检测
指跳过IP首部和TCP/UDP首部,从报文所携带的载荷开始检测
支持关键词匹配,其中关键词通过偏移量及检查深度匹配