接入防护前提条件
您需要先在控制台新增域名并接入边缘云WAF,具体操作可见WAF接入
防护能力概览
下表将为您描述目前边缘云WAF具备的防护能力以及应用场景
模块 防护能力 说明 应用场景 Web安全
安全基础配置 支持配置Web安全的防护开关,可调整防护处理动作以及防护规则集、无需检测的静态文件后缀 为Web安全的基础配置,您需要使用任何防护能力都需要先进行基础配置 规则防护 目前已维护6套防护规则集,基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护,能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 网页防篡改 位于高级防护模块下,能够保护网站核心静态页面,避免因为源站页面被恶意篡改带来的负面影响 希望网站防止被恶意篡改页面内容时配置 防护敏感信息泄露 位于高级防护模块下,支持对网站返回的内容进行脱敏展示,过滤内容包括敏感信息(如身份证、手机号、银行卡、邮箱等) 希望网站避免泄露身份证、手机号等敏感信息时配置 合规检测配置 支持检查HTTP协议头部,对HTTP请求信息中的方法以及参数长度等信息进行检测,对不符合的请求项进行拦截或告警 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 cookie防护 位于高级防护模块下,采用cookie加密、cookie签名等方式对cookie字段的字进行加密或签名,防护一些使用cookie中的弱key进行权限绕过的漏洞利用,也能在一定程度上限制基于cookie修改的爬虫 可以防护cookie盗用、cookie篡改、cookie信息泄露等攻击事件。需要客户端支持携带cookie,通常小程序、APP、API可能不支持 攻击挑战 位于高级防护模块下,支持自动阻断短时间内发起多次Web攻击的IP,快速应对恶意扫描及代理、Web 攻击威胁等行为,可提升攻防对抗效率 攻防演练、恶意扫描及代理、Web攻击行为等 CSRF防护 位于高级防护模块下,支持防护跨站请求伪造(英语:Cross-site request forgery,简称CSRF)攻击 针对发起CSRF攻击进行防护 广告防护 位于高级防护模块下,支持解析源站响应页面代码,在body中插入广告检测js代码,实现广告防护和监测功能 针对网站出现的恶意广告(网站中出现未将网站所有者允许的广告内容)进行防护 设置账户安全防护 从撞库、暴力破解两个攻击角度进行防护,保障用户的账户安全 针对账户安全的场景进行防护 Bot管理
Bot防护策略 通过cookie挑战、跳转挑战、人机挑战、爬虫阈值限制、爬虫陷阱等防爬策略,精准命中爬虫流量,拦截各类恶意爬虫 针对支持携带cookie的客户端请求,小程序、APP、API可能不支持
对于无法正常执行跳转的请求,可以设置跳转挑战
爬虫情报规则 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁,目前爬虫情报库已维护接近10万条数据 对已知搜索引擎IP放行处理,不经过Bot防护策略,提升网站SEO权重;
对已知恶意Bot请求IP拦截处理
IP情报规则 支持针对已维护的IP信誉库,从威胁类型维度(IDC服务器、傀儡机、漏洞利用等十几类)进行IP封禁,目前IP信誉库已维护接近120万条数据 对已知IDC IP进行封禁处理;拦截傀儡机、漏洞利用等已知恶意IP 访问控制/限流 CC防护规则设置 支持根据请求的URL,频率、行为等访问特征,迅速识别CC攻击并进行拦截 防护大规模CC攻击,避免源站资源耗尽,保证企业网站的正常访问 IP黑名单 支持针对指定IP以及指定地域IP进行封禁处理 封禁来自国外访问的IP 扫描防护 支持识别常见的扫描器类型,也支持自定义扫描器识别规则,做到精准拦截 拦截常见的扫描器类型,避免网站受到外部扫描 防护白名单
网站白名单 支持在访问控制中,针对特定请求设置为白名单,则不经过全局防护策略的检测 对于可信任流量可以设置为白名单,将不经过任务防护策略 Web规则白名单 支持针对防护规则集中的具体规则设置白名单,则指定请求不经过该规则的检测 某条域名规则出现误拦截时,可以将误拦截的请求设置为白名单 Bot策略白名单 支持针对Bot防护策略设置白名单,则指定请求将不经过Bot防护策略的检测 明确不需要经过Bot防护策略的请求,可以在Bot功能模块中设置为白名单 开启IPv6防护 开启IPv6防护 提供IPv4/IPv6双栈服务,能够解决网站“天窗”问题,并可以有效提升网站IPv6链接支持率 政策驱动,各地市对于当地企业网站的IPv6浓度有一定指标
