边缘安全
  • 概述
  • DDoS 防护
    • DDoS 防护概述
    • 使用独立 DDoS 防护
    • 配置独立 DDoS 防护策略
      • 调整 DDoS 防护等级
      • 独立 DDoS 攻击流量告警
      • 配置 IP 黑白名单
      • 配置区域封禁
      • 配置端口过滤
      • 配置特征过滤
      • 配置协议封禁
      • 配置连接类攻击防护
      • 相关参考
        • 处置方式
        • 相关概念介绍
  • Web 防护
    • 概述
    • 配置Web防护策略
    • 托管规则
    • CC 攻击防护
    • 带宽滥用防护
    • 自定义规则
    • 自定义速率限制规则
    • 防护例外规则
    • 托管定制规则
    • Web 安全监控告警
    • 相关参考
      • Web 防护请求处理顺序
      • 处置方式
      • 匹配条件
  • Bot 管理
    • 概述
    • Bot 智能分析
    • Bot 基础特征管理
    • 客户端画像分析
    • 主动特征识别
    • 自定义 Bot 规则
    • Bot 管理例外规则
    • 相关参考
      • 处置方式
  • 策略模板
  • IP 和网段分组
  • 源站防护
  • 自定义响应页面
  • 告警通知推送
  • SSL/TLS
    • 概述
    • 部署/更新 SSL 托管证书至 EdgeOne 域名
    • 使用免费证书部署至 EdgeOne 域名
    • 双向认证
    • HTTPS 配置
      • 强制 HTTPS 访问
      • 启用 HSTS
      • SSL/TLS 安全配置
        • 配置 SSL/TLS 安全等级
        • TLS 版本及密码套件说明
      • 开启 OCSP 装订
    • 引用
      • 使用OpenSSL生成自签名证书
      • 证书格式要求
    • 使用无密钥证书

IP 和网段分组

功能简介

IP 组包含了 IP 或 CIDR 网段列表,您可以在 DDoS 防护、Web 防护规则中引用 IP 组,简化配置维护。
说明:
1. IP 组支持跨站点使用。您可以在新建 IP 组后,在其它站点内直接引用该 IP 组,来保证不同站点的策略一致。
2. 同一账号下,支持配置最多 100 个分组;每个 IP 组中,最多配置 2000 个 IP 或 CIDR 网段。如需在 Web 防护规则中配置匹配 IP 组,请参考匹配条件中相关限制。

场景 1:分组管理具有业务威胁的 IP 信息

示例场景

某大型游戏客户已接入站点 example.comsite.com。目前,通过安全情报库以及自身业务安全,已识别出一批具有业务威胁的黑名单 IP。这些 IP 地址将会动态变化,因此需要实时更新,并应用到所有站点域名中,及时对这些 IP 进行封禁。

操作步骤

1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,进入服务总览,单击网站安全加速内需配置的站点。
2. 在站点详情页面,单击安全防护 > 配置选项
3. 在 IP 组卡片中,单击编辑
4. 单击新建,创建一个新分组,输入分组名称以及该分组包含的 IP 地址或 IP 地址段,例如:1.1.1.1/23 1.2.2.2。多个地址以回车间隔。
5. 单击保存,完成 IP 组创建。



6. IP 组创建完成后,以该场景为例,需禁用该分组内的所有 IP 访问,可分别在 example.comsite.comWeb 防护页面,添加基础访问管控规则。在添加规则时,选择客户端 IP 等于分组名称时进行拦截,即可拦截该分组内的所有 IP 访问,并根据分组内包含 IP 进行动态更新。详细配置步骤可参考自定义规则



7. (可选)配置规则后,如果您识别到新的风险 IP,需要添加到该分组内并应用到所有站点,可参考步骤1~3重新进入创建该模板的站点后,单击编辑,输入需要新增的 IP 地址后,再单击保存,即可将新增的 IP 应用到所有引用该分组的防护策略中。




场景 2:在现有 IP 组中批量添加自动过期的 IP

示例场景

某电商客户在站点 example.com 已配置长期有效的拦截自定义规则,引用名为 block_ip 的 IP 组统一管理黑名单 IP。大促期间,通过监控识别出一批存在恶意爬取、异常下单等风险行为的 IP。由于这些风险仅在活动期间存在,希望将这批 IP 临时加入 block_ip 并设定统一的过期时间,活动结束后自动移除,避免长期阻断正常用户,同时保持原有拦截规则持续生效,无需额外维护新的防护策略。

操作步骤

1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,进入服务总览,单击网站安全加速内需配置的站点
2. 单击安全防护 > 配置选项,进入配置选项详情页面。
3. 在 IP 组 卡片中,定位目标 IP 组(例如:block_ip),单击编辑
4. 在编辑页面中,单击添加



5. 在添加 IP 或网段弹窗中,输入需要临时管控的 IP 地址或网段(可批量录入,多个地址以回车分隔)。勾选定时过期,设置过期时间。



6. 单击确定保存后,临时管控 IP 将立即生效,并在到期后自动从 block_ip 移除。

场景 3:调整已设置过期时间的 IP 的到期时间

示例场景

某站点 example.comblock_ip IP 组中,针对一批异常请求来源的 IP 设置了 7 天后过期。随后续分析发现攻击行为仍在持续,需将这些 IP 的过期时间延长 14 天。

操作步骤

1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,进入服务总览,单击网站安全加速内需配置的站点
2. 单击安全防护 > 配置选项,进入配置选项详情页面。
3. 在 IP 组 卡片中,定位目标 IP 组(例如: block_ip),单击编辑
4. 在编辑页面中,勾选需要调整过期时间的 IP 地址或网段,单击修改过期时间



5. 在修改过期时间弹窗中,设置新的过期时间。



6. 单击确定保存后,这些 IP 将按最新的到期时间自动移除。