概述
安全防护为接入 EdgeOne 的应用提供安全策略配置、安全事件告警选项,帮助您在边缘校验流量和请求,避免外部攻击和安全风险对您的业务和敏感数据造成影响。
接入 EdgeOne 安全加速服务并订阅相关安全防护服务后,您可以配置下列安全策略:
说明:
DDoS 防护为网络层 DDoS 防护,适用于四层代理应用(TCP/UDP 应用),DDoS 防护相关配置仅开通 独立 DDoS 防护 用户可配置。
如果您需要通过 Web 防护配置 Referer 黑白名单、UA 黑白名单、IP 黑白名单或区域封禁,请使用 Web 防护 > 自定义规则 > 基础访问管控。详情参考 Web 防护-自定义规则。
可配置的规则和执行方式选项可能根据您订阅的 EdgeOne 套餐有所不同。套餐规格请参考 套餐选型对比。
分类 | 功能 | 使用场景 | 默认配置 |
自动防护清洗针对四层业务(TCP/UDP 应用)的 DDoS 攻击。 例如: 日常防护:使用 适中 防护等级丢弃具有明显 DDoS 攻击特征的流量。攻击透传时应急恢复:使用 严格 防护等级丢弃所有疑似 DDoS 攻击的流量。 | 防护等级:适中 | ||
| 丢弃或放行指定 IP 的流量。 例如: 内部调用放行:放行内部服务 IP 11.11.11.11 ,允许服务间高频访问。 | 无 | |
| 禁止指定地区客户端访问。 例如: 境外封禁:丢弃源 IP 位于中国大陆以外地区的流量。 | 无 | |
| 丢弃或放行指定源端口/目的端口流量。 例如: 高危反射端口丢弃:丢弃 源端口匹配 UDP 53 的流量,禁止访问私有 UDP 协议应用。 | 无 | |
| 丢弃包含指定数据或参数的流量。 例如: 丢弃异常长度 UDP 包:丢弃长度超过 500 的 UDP 流量。 | 无 | |
| 丢弃指定 IP 协议的流量。 例如: 禁止外部 PING 指令:配置封禁 ICMP 协议流量。 | 无 | |
| 拦截高频建连,高频异常连接等异常 TCP 行为。 | 无 | |
缓解 HTTP/HTTPS DDoS 攻击,包括高频访问和慢速请求攻击。 | 自适应频控 限制等级:自适应 - 宽松 处置方式:JavaScript 挑战 慢速攻击防护 未启用 智能客户端过滤 处置方式:JavaScript 挑战 | ||
| 拦截针对 Web 应用的漏洞攻击(SQL 注入、跨站点脚本执行、远程命令执行等)。 例如: 拦截 Apache log4j 漏洞:将开源组件漏洞中 log4j 相关规则启用为拦截。 | 全部规则启用为观察模式 | |
| 根据头部内容和 IP 处置请求。 例如: 防盗链:按 Referer 头部匹配请求进行拦截。 区域封禁:按区域匹配请求客户端 IP 进行拦截。 IP 黑名单:按指定 IP 或者 IP 分组拦截。 | 无 | |
| 拦截访问超过预设速率的客户端。 例如: 拦截造成源站短时间内大量错误的客户端:设定每个 IP 允许造成源站错误的速率,超过阈值后拦截 IP 访问。 拦截访问特定 API 频率过高的账户 ID:设定每个账户(指定账户 ID 所在参数位置)允许访问指定 API 的频率,超过阈值后拦截账号访问。 拦截访问频率过高的客户端指纹(JA3 指纹):设定每个 JA3 指纹(即 TLS 指纹)的访问速率,超过阈值后拦截相同指纹访问。 | 无 | |
| 按模块跳过 Web 防护中的防护规则。 例如: 放行内部服务:设定内部服务 IP 列表和指定 API 路径,允许列表内客户端不受限制访问该路径。 | 无 | |
| 跳过指定托管规则。 例如: 放行用户内容上传:请求中包含用户撰写内容的参数时,配置业务路径和误报规则,放行请求。 | 无 | |
按风险等级拦截 Bot 请求。(适合快速启用 Bot 管理策略,并建立 Bot 访问画像) 例如: 拦截 CDN 资源滥用(盗刷):拦截来自恶意 Bot 请求。 | 无 | ||
| 处置搜索引擎、开源开发工具和商业用途的爬虫。 例如: 允许 Google 搜索引擎爬虫访问:使用搜索引擎特征规则库,将 Google 搜索引擎爬虫配置为放行。 拦截 cURL 工具访问:使用 UA 特征库,拦截 Web 开发工具访问。 | 无 | |
| 根据 IP 威胁情报,对有恶意行为历史或高危特征的客户端请求进行处置。 例如: 拦截 VPN / 代理 请求:拦截识别为恶意代理、秒拨 IP、代理 IP 池的客户端请求。 | 无 | |
| 拦截浏览器运行环境和访问行为异常的请求。 例如: Cookie 挑战:启用 Cookie 校验,拦截不支持 Cookie 的客户端。 拦截自动工具访问:启用客户端行为校验,识别JavaScript 运行环境异常和访问行为异常的自动化工具。 | 无 | |
| 根据请求的 Bot 访问特征、头部和客户端 IP,对抗 Bot 工具。功能提供了更多处置方式选项用于 Bot 对抗。 例如: 对抗访问敏感业务的高危Bot:按访问路径和客户端画像进行匹配,按一定权重配置观察、静默和等待后响应。 | 无 |