请选择
边缘安全
  • 概述
  • DDoS 防护
    • DDoS 防护概述
    • 使用独立 DDoS 防护
    • 配置独立 DDoS 防护策略
      • 调整 DDoS 防护等级
      • 独立 DDoS 攻击流量告警
      • 配置 IP 黑白名单
      • 配置区域封禁
      • 配置端口过滤
      • 配置特征过滤
      • 配置协议封禁
      • 配置连接类攻击防护
      • 相关参考
        • 处置方式
        • 相关概念介绍
  • Web 防护
    • 概述
    • 托管规则
    • CC 攻击防护
    • 自定义规则
    • 自定义速率限制规则
    • 防护例外规则
    • 托管定制规则
    • Web 安全监控告警
    • 相关参考
      • Web 防护请求处理顺序
      • 处置方式
      • 匹配条件
  • Bot 管理
    • 概述
    • Bot 智能分析
    • Bot 基础特征管理
    • 客户端画像分析
    • 主动特征识别
    • 自定义 Bot 规则
    • Bot 管理例外规则
    • 相关参考
      • 处置方式
  • 策略模板
  • IP 和网段分组
  • 源站防护
  • 自定义响应页面
  • 告警通知推送
  • SSL/TLS
    • 概述
    • 部署/更新 SSL 托管证书至 EdgeOne 域名
    • 使用免费证书部署至 EdgeOne 域名
    • HTTPS 配置
      • 强制 HTTPS 访问
      • 启用 HSTS
      • SSL/TLS 安全配置
        • 配置 SSL/TLS 安全等级
        • TLS 版本及密码套件说明
      • 开启 OCSP 装订
Docs Overview/
边缘安全/
Web 防护/
托管规则/

托管规则

概述

暴露的站点漏洞可能导致源站被入侵、敏感数据丢失,并可能进一步严重伤害您和用户的关系。托管规则为您的网站提供全面且实时的漏洞攻击防护,涵盖OWASP TOP 10 注1常见漏洞和攻击类型,如 SQL 注入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等。通过持续更新,这套规则库能有效应对新兴安全威胁,确保您的站点运行环境和敏感数据受到可靠保护。
说明:

注1:
OWASP TOP 10 列出了网络应用中常见和严重安全风险。这些风险代表了当前网络安全威胁的主要部分,因此覆盖这些场景对于保护网络应用的安全性至关重要。EdgeOne 提供的漏洞攻击防护规则集覆盖了全部 OWASP Top 10 风险场景,并针对 0-day 漏洞自动更新规则列表。
注2:托管规则默认仅扫描请求正文中前 10KB 内容。如果您订阅了企业版套餐,并且需要扫描更多请求正文数据,请联系您的商务进行扩展。
注3:不同套餐可支持的托管规则集不一致,详情请参考:套餐选型对比

优化托管规则策略

如果您需要根据自身的实际业务情况和防护要求,自定义配置防护规则策略,您可以通过以下方式配置:
说明:
当新接入站点、新建策略模板、新建安全策略时,托管规则默认启用全局观察模式。规则命中请求不会实际处置,仅记录日志观察。
请尽快完成策略评估和调优后关闭全局观察模式,使防护规则正常生效,拦截恶意请求。

场景一:按规则类型配置全局防护等级策略

根据托管规则划分的规则类型,可针对该类型包含的所有规则,根据防护等级启用拦截。例如:当前站点域名 www.example.com 经常爆出开源组件漏洞,可以将开源组件漏洞内的所有规则,拦截严格及以下防护等级的所有规则。
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 单击安全防护 > Web 防护。默认为站点级防护策略,单击域名级防护策略 Tab,在域名级防护策略中,单击目标域名进入目标域名防护策略配置界面,例如:www.example.com
3. 在托管规则-规则集卡片中,搜索“开源组件漏洞”,单独配置 防护等级处置方式,调整防护等级为严格,处置方式为拦截,即可完成规则配置。


场景二:按照单条规则自定义优化防护策略

如果您需要自定义针对单条规则灵活配置防护策略,可以自定义进行规则优化。例如:当前站点域名 www.example.com 存在文件上传场景,当前对文件上传攻击防护策略希望为严格拦截策略,但是正常的文件上传时因为名称存在 .exe 后缀会被拦截,希望针对该规则单独配置为观察,仅记录日志即可。
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 单击安全防护 > Web 防护。默认为站点级防护策略,单击域名级防护策略 Tab,在域名级防护策略中,单击目标域名进入目标域名防护策略配置界面,例如:www.example.com
3. 在托管规则-规则集卡片中,搜索“文件上传攻击防护”,修改防护等级为自定义

4. 单击右上角的详细规则,进入详细规则优化页面,自定义修改不同规则的处置方式,选择将规则 ID:10628069的处置方式为观察,即可完成配置。


使用深度分析自动识别未知漏洞

深度分析采用先进的语义分析技术,深入理解 SQ L和 XSS 语句的意图。不仅能有效应对已知攻击手法,还具备对未知攻击的防护能力。这种方法超越了传统基于模式匹配的检测方式,提高了对复杂和新型攻击的识别准确性。借助深度分析,您将获得更高级别的安全防护,降低误报和漏报风险,确保网站免受恶意攻击和数据泄露的威胁。
说明:
深度分析功能仅标准版和企业版套餐支持。

启用深度分析

1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 单击安全防护 > Web 防护。默认为站点级防护策略,若需为当前站点下特定域名配置差异化的防护策略,请进入域名级防护策略 Tab,单击相应域名进入域名级防护策略配置页,后续步骤一致。
3. 在托管规则-深度分析卡片中,单击编辑
4. 选择防护模式为启用,单击保存,即可启用深度分析。
观察(默认):只对识别的恶意请求进行日志记录,不拦截。
启用:对识别的恶意请求进行拦截。
关闭:关闭深度分析。

相关参考

全局观察模式

说明:
全局观察模式默认开启。如需按拦截方式处置请求,请关闭全局观察模式。
全局观察模式开启时,所有配置为拦截的托管规则策略也仅记录日志,不会实际处置请求。该模式可帮助您全面评估当前漏洞策略配置,避免因为正常业务请求包含漏洞特征而被误拦截。
对于新接入业务,建议您保持全局观察模式并观察 48 小时(请根据实际情况评估时间长度调整),覆盖完整客户端访问场景。当发现有正常业务请求持续匹配特定规则时,将该规则调整为观察。

防护等级说明

托管规则为不同攻击和漏洞类型提供多重防护等级,包括宽松、正常、严格和超严格。选择某一防护等级时,将启用对应等级及其以下等级的规则。例如,选择严格防护等级将启用宽松、正常和严格等级的规则,实现分层保护。建议根据业务场景启用对应防护等级:
宽松:满足最基础防护需要,并尽量避免误报。建议所有对外 HTTP 服务至少启用该等级全部规则。
正常(推荐):防护较为全面,适用大多数场景。建议涉及客户数据的服务启用该等级。该等级规则可能会在特定场景产生误报,可通过观察模式调试优化。
严格:全力防护,适用较严格的防护场景,确保无攻击绕过。建议涉及金融数据(如:网上银行)的服务使用该等级。该防护等级下,规则可能产生一定误报,建议结合观察模式和自定义规则调试优化。
超严格:适用于严格控制环境下的访问场景。该等级规则可能造成较多误报,请根据具体防护需要开启,并结合防护例外规则、观察和自定义规则调试部署。
如需更精细的控制,您还可以使用自定义防护等级,按业务特定需要,自定义不同规则的处置方式。