边缘安全
  • 概述
  • DDoS 防护
    • DDoS 防护概述
    • 使用独立 DDoS 防护
    • 配置独立 DDoS 防护策略
      • 调整 DDoS 防护等级
      • 独立 DDoS 攻击流量告警
      • 配置 IP 黑白名单
      • 配置区域封禁
      • 配置端口过滤
      • 配置特征过滤
      • 配置协议封禁
      • 配置连接类攻击防护
      • 相关参考
        • 处置方式
        • 相关概念介绍
  • Web 防护
    • 概述
    • 托管规则
    • CC 攻击防护
    • 自定义规则
    • 自定义速率限制规则
    • 防护例外规则
    • 托管定制规则
    • Web 安全监控告警
    • 相关参考
      • Web 防护请求处理顺序
      • 处置方式
      • 匹配条件
  • Bot 管理
    • 概述
    • Bot 智能分析
    • Bot 基础特征管理
    • 客户端画像分析
    • 主动特征识别
    • 自定义 Bot 规则
    • Bot 管理例外规则
    • 相关参考
      • 处置方式
  • 策略模板
  • IP 和网段分组
  • 源站防护
  • 自定义响应页面
  • 告警通知推送
  • SSL/TLS
    • 概述
    • 部署/更新 SSL 托管证书至 EdgeOne 域名
    • 使用免费证书部署至 EdgeOne 域名
    • HTTPS 配置
      • 强制 HTTPS 访问
      • 启用 HSTS
      • SSL/TLS 安全配置
        • 配置 SSL/TLS 安全等级
        • TLS 版本及密码套件说明
      • 开启 OCSP 装订

概述

安全防护为接入 EdgeOne 的应用提供安全策略配置、安全事件告警选项,帮助您在边缘校验流量和请求,避免外部攻击和安全风险对您的业务和敏感数据造成影响。

接入 EdgeOne 安全加速服务并订阅相关安全防护服务后,您可以配置下列安全策略:
说明:
DDoS 防护为网络层 DDoS 防护,适用于四层代理应用(TCP/UDP 应用),DDoS 防护相关配置仅开通 独立 DDoS 防护 用户可配置。
如果您需要通过 Web 防护配置 Referer 黑白名单、UA 黑白名单、IP 黑白名单或区域封禁,请使用 Web 防护 > 自定义规则 > 基础访问管控。详情参考 Web 防护-自定义规则
可配置的规则和执行方式选项可能根据您订阅的 EdgeOne 套餐有所不同。套餐规格请参考 套餐选型对比
分类
功能
使用场景
默认配置
DDoS 防护 (网络层 DDoS 防护)
自动防护清洗针对四层业务(TCP/UDP 应用)的 DDoS 攻击。
例如:
日常防护:使用适中防护等级丢弃具有明显 DDoS 攻击特征的流量。
攻击透传时应急恢复:使用严格防护等级丢弃所有疑似 DDoS 攻击的流量。
防护等级:适中
丢弃或放行指定 IP 的流量。
例如:
内部调用放行:放行内部服务 IP11.11.11.11,允许服务间高频访问。
禁止指定地区客户端访问。
例如:
境外封禁:丢弃源 IP 位于中国大陆以外地区的流量。
丢弃或放行指定源端口/目的端口流量。
例如:
高危反射端口丢弃:丢弃源端口匹配 UDP 53 的流量,禁止访问私有 UDP 协议应用。
丢弃包含指定数据或参数的流量。
例如:
丢弃异常长度 UDP 包:丢弃长度超过 500 的 UDP 流量。
丢弃指定 IP 协议的流量。
例如:
禁止外部 PING 指令:配置封禁 ICMP 协议流量。
拦截高频建连,高频异常连接等异常 TCP 行为。
缓解 HTTP/HTTPS DDoS 攻击,包括高频访问和慢速请求攻击。
自适应频控
限制等级:自适应 - 宽松
处置方式:JavaScript 挑战
慢速攻击防护
未启用
智能客户端过滤
处置方式:JavaScript 挑战
拦截针对 Web 应用的漏洞攻击(SQL 注入、跨站点脚本执行、远程命令执行等)。
例如:
拦截 Apache log4j 漏洞:将开源组件漏洞中 log4j 相关规则启用为拦截。
全部规则启用为观察模式
根据头部内容和 IP 处置请求。
例如:
防盗链:按 Referer 头部匹配请求进行拦截。
区域封禁:按区域匹配请求客户端 IP 进行拦截。
IP 黑名单:按指定 IP 或者 IP 分组拦截。
拦截访问超过预设速率的客户端。
例如:
拦截造成源站短时间内大量错误的客户端:设定每个 IP 允许造成源站错误的速率,超过阈值后拦截 IP 访问。
拦截访问特定 API 频率过高的账户 ID:设定每个账户(指定账户 ID 所在参数位置)允许访问指定 API 的频率,超过阈值后拦截账号访问。
拦截访问频率过高的客户端指纹(JA3 指纹):设定每个 JA3 指纹(即 TLS 指纹)的访问速率,超过阈值后拦截相同指纹访问。
按模块跳过 Web 防护中的防护规则。
例如:
放行内部服务:设定内部服务 IP 列表和指定 API 路径,允许列表内客户端不受限制访问该路径。
跳过指定托管规则。
例如:
放行用户内容上传:请求中包含用户撰写内容的参数时,配置业务路径和误报规则,放行请求。
按风险等级拦截 Bot 请求。(适合快速启用 Bot 管理策略,并建立 Bot 访问画像)
例如:
拦截 CDN 资源滥用(盗刷):拦截来自恶意 Bot 请求。
处置搜索引擎、开源开发工具和商业用途的爬虫。
例如:
允许 Google 搜索引擎爬虫访问:使用搜索引擎特征规则库,将 Google 搜索引擎爬虫配置为放行。
拦截 cURL 工具访问:使用 UA 特征库,拦截 Web 开发工具访问。
根据 IP 威胁情报,对有恶意行为历史或高危特征的客户端请求进行处置。
例如:
拦截 VPN / 代理 请求:拦截识别为恶意代理、秒拨 IP、代理 IP 池的客户端请求。
拦截浏览器运行环境和访问行为异常的请求。
例如:
Cookie 挑战:启用 Cookie 校验,拦截不支持 Cookie 的客户端。
拦截自动工具访问:启用客户端行为校验,识别JavaScript 运行环境异常和访问行为异常的自动化工具。
根据请求的 Bot 访问特征、头部和客户端 IP,对抗 Bot 工具。功能提供了更多处置方式选项用于 Bot 对抗。
例如:
对抗访问敏感业务的高危Bot:按访问路径和客户端画像进行匹配,按一定权重配置观察、静默和等待后响应。