CC攻击防护攻击永久模式
在常规情况下,我们通常将CC防护策略设置为阈值模式。然而,如果您发现阈值模式无法拦截CC攻击,或者正在遭受大规模CC攻击,您可以启用CC永久模式。
CC攻击永久模式意味着所有访问请求都会按照请求方式执行相应的防护校验。永久模式可以高效地拦截CC攻击,但可能会导致较多的误拦截。因此,我们建议您可通过联系技术支持或提交工单咨询,共同解决问题,并根据具体情况制定适合您业务需求的安全策略,以提高网站的安全性和可用性。
Web应用防火墙(边缘云版)如何查询使用的带宽流量?
您可以登录Web应用防火墙(边缘云版)控制台统计分析模块查看已使用的带宽流量情况。
页面路径:统计分析->业务分析
Web应用防火墙(边缘云版)能防护哪些域名后缀的网站?
Web应用防火墙(边缘云版)能支持绝大多数域名后缀的网站接入并提供防护服务,支持的域名后缀包括:com、cn、us、net、org、gov、edu、ink、vip、top、cc、biz、info、co、city、company、online、today、life、video、store、email、press、biz、aero、pro、int、idv、xxx、coop、mil、name、museum、xyz、xin、win、red、wang、mobi、travel、club、post、rec、asia、me、tech、gov.com、gov.cn、edu.com、edu.cn、com.cn、net.cn、org.nz、org.com、org.cn、com.net、ele.me。
Web应用防火墙(边缘云版)服务接入网站时未配置的端口是否会有安全风险?
Web应用防火墙(边缘云版)支持在域名接入时配置请求协议和回源端口,安全防护节点只会转发来自HTTP/HTTPS请求协议对应端口的业务流量给源站服务器。
Web应用防火墙(边缘云版)安全防护节点不会转发任何未配置端口的请求流量到源站,因此,在接入网站时未配置的端口不会对源站产生任何安全风险。
非天翼云服务器可以使用Web应用防火墙(边缘云版)吗?
非天翼云服务器也可以使用Web应用防火墙(边缘云版)服务。
Web应用防火墙(边缘云版)是一种网络应用防火墙,可以通过检测、过滤和阻止来自互联网的恶意网络流量,保护服务器和应用程序免受各种网络攻击和安全威胁。无论您使用哪种云服务器,只要符合Web应用防火墙(边缘云版)的系统要求,就可以部署和配置防护策略来增强网络安全。采用cname的方式接入服务,与客户的源站类型无关,因此,非天翼云服务器也可以使用Web应用防火墙(边缘云版)服务。
Web应用防火墙(边缘云版)可以支持HTTPS双向认证吗?
单向认证:在 SSL 身份验证中,客户端会收到服务器的证书,客户端可能会尝试将服务器的 CA 与客户端的受信任 CA 列表进行匹配。如果颁发CA是可信的,客户端将验证证书是真实的并且没有被篡改。客户端和服务器在消息交换之前都使用9次握手消息来建立加密通道。
双向认证:双向 SSL 身份验证中,客户端和服务器都通过数字证书相互验证,以便双方都确信对方的身份。客户端和服务器在消息交换之前都使用12次握手消息来建立加密通道。
Web应用防火墙(边缘云版)支持HTTPS双向认证。双向认证包括边缘双向认证以及回源双向认证,如果您有该需求,可以联系我们进行后台配置。
Web应用防火墙(边缘云版)可以支持Websocket、HTTP 2.0或SPDY协议吗?
Web应用防火墙(边缘云版)支持WebSocket协议、HTTP 2.0。目前暂不支持SPDY协议。
支持HTTP 2.0协议
如果您对支持HTTP 2.0有需求,可以在客户控制台进行自助配置。
功能具体说明可参考HTTP2.0配置。
功能介绍
HTTP 2.0相对于HTTP 1.1新增了二进制格式传输、HTTP头部压缩、多路复用、服务端推送等特性,优化了请求传输性能,兼容了HTTP 1.1的语法。
HTTP2.0的优势
- 采用二进制格式传输数据,而非 HTTP1.1 的文本格式,二进制格式在协议的解析和优化扩展上带来更多的优势。
- 对消息头采用 HPACK 进行压缩传输,能够节省消息头占用的网络的流量,而 HTTP1.1 每次请求,都会携带大量冗余头信息,浪费了很多带宽资源,头压缩能够很好的解决该问题。
- 多路复用,就是多个请求都是通过一个 TCP 连接并发完成,HTTP1.1 虽然通过pipeline也能并发请求,但是多个请求之间的响应会被阻塞,所以 pipeline 至今也没有被普及应用,而 HTTP2.0做到了真正的并发请求,同时,流还支持优先级和流量控制。
- 服务端推送,服务端能够更快的把资源推送给客户端,例如服务端可以主动把 JS 和 CSS 文件推送给客户端,而不需要客户端解析 HTML 再发送这些请求,当客户端需要的时候,它已经在客户端了。
支持Websocket协议
如果您对支持WebSocket协议有需求,可以提交工单联系我们进行后台配置。
功能具体说明可参考websocket加速。
功能介绍:
功能介绍:天翼云边缘安全加速平台-安全与加速服务支持对websocket协议和http/https协议同时加速,即同一个域名可以既有http/https协议,又有websocket加速,您无需拆分域名,使用天翼云边缘安全加速平台-安全与加速服务就可以实现对域名下http/https协议的应用和websocket协议的应用同时加速。全站加速节点会自动识别客户端与边缘节点通信使用的协议,自动切换协议。通常情况下,websocket协议的应用多为动态业务,对实时性要求很高,天翼云边缘安全加速平台-安全与加速服务的动态探测选路能力可以为websocket应用选择最快的回源路径,提升websocket业务的访问效果。
应用场景:
- 场景一:弹幕。弹幕的流程是终端用户A在自己的客户端广播了一条信息,这条信息需要在与其他N个用户端发送的弹幕信息一并展示在A这边。它需要马上显示到屏幕上,对实时性要求极高。使用websocket可以在有新弹幕产生时,服务器能够迅速推送给所有用户端,保障弹幕实时性。
- 场景二:在线教育。在线教育跨越了时空的限制,学生与老师进行一对多/一对一的在线授课,老师在客户端内编写的笔记、大纲、白板信息等信息,需要实时推送至多个学生的客户端,同时在课堂上,通话、文字聊天、实时解题等交互的实时性要求非常高,需要通过websocket协议来完成。
Web应用防火墙(边缘云版)可以配置哪些TLS协议版本?
Web应用防火墙(边缘云版)平台默认开启TLS 1.0、TLS 1.1、TLS 1.2、TLS 1.3协议。配置TLS协议的前提是需要确保域名已成功开启HTTPS功能。
如果您有特殊需求(例如,不需要TLS 1.0版本,只开启TLS 1.2和TLS 1.3等),可以提交工单联系我们进行后台配置。
功能具体说明可参考配置TLS协议版本。
| 协议 | 说明 | 支持的主流服务器 |
|---|---|---|
| TLSv1.3 | RFC8446,2018年发布,最新的TLS版本,支持0-RTT模式(更快),只支持完全前向安全性密钥交换算法(更安全)。 | * Chrome 70+* Firefox 63+ |
| TLSv1.2 | RFC5246,2008年发布,目前广泛使用的版本。 | * IE 11+* Chrome 30+* Firefox 27+* Safri 7+ |
| TLSv1.1 | RFC4346,2006年发布,修复TLSv1.0若干漏洞。 | * IE 11+* Chrome 22+* Firefox 24+* Safri 7+ |
| TLSv1.0 | RFC2246,1999年发布,基于SSLv3.0,该版本易受各种攻击(如BEAST和POODLE),除此之外,支持较弱加密,对当今网络连接的安全已失去应有的保护效力。不符合PCI DSS合规判定标准。 | * IE6+* Chrome 1+* Firefox 2+ |
Web应用防火墙(边缘云版)支持的QPS上限是多少?
Web应用防火墙(边缘云版)基于边缘节点,并且结合智能调度,支持动态调整边缘节点,无缝扩展QPS 防护能力,可达亿级别规模。
Web应用防火墙(边缘云版)依托天翼云的云安全节点形成云安全网络,结合云端大数据分析平台,为用户提供应对 Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及 Web 业务安全防护问题,从而保障网站安全。并区别于传统WAF需要在源站前端部署,Web应用防火墙把安全能力赋能在所有边缘节点。
利用分布式节点部署使计算能力更强,有效降低源站计算压力,提升了用户访问质量的同时保护了源站数据的安全。
