接入防护前提条件
防护能力概览
下表将为您描述目前边缘安全加速平台-安全与加速服务具备的防护能力以及应用场景
模块 防护能力 说明 应用场景 DDoS防护 DDoS防护 DDoS防护可有效防御畸形报文攻击、SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL、DNS等应用层攻击 自动防御大流量网络层攻击 Web防护 设置规则防护 目前已维护6套防护规则集,基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护,能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 设置网页防篡改 位于高级防护模块下,能够保护网站核心静态页面,避免因为源站页面被恶意篡改带来的负面影响 希望网站防止被恶意篡改页面内容时配置 设置防护敏感信息泄露 位于高级防护模块下,支持对网站返回的内容进行脱敏展示,过滤内容包括敏感信息(如身份证、手机号、银行卡、邮箱等) 希望网站避免泄露身份证、手机号等敏感信息时配置 设置合规检测策略 支持检查HTTP协议头部,对HTTP请求信息中的方法以及参数长度等信息进行检测,对不符合的请求项进行拦截或告警 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 设置Cookie防护 采用Cookie加密、Cookie签名等方式对Cookie字段的字进行加密或签名,防护一些使用Cookie中的弱key进行权限绕过的漏洞利用,也能在一定程度上限制基于Cookie修改的爬虫 可以防护Cookie盗用、Cookie篡改、Cookie信息泄露等攻击事件。需要客户端支持携带Cookie,通常小程序、APP、API可能不支持 设置攻击挑战 支持自动阻断短时间内发起多次Web攻击的IP,快速应对恶意扫描及代理、Web 攻击威胁等行为,可提升攻防对抗效率 攻防演练、恶意扫描及代理、Web攻击行为等 设置CSRF防护 支持防护跨站请求伪造(英语:Cross-site request forgery,简称CSRF)攻击 针对发起CSRF攻击进行防护 设置广告防护 支持解析源站响应页面代码,在body中插入广告检测js代码,实现广告防护和监测功能 针对网站出现的恶意广告(网站中出现未被网站所有者允许的广告内容)进行防护 设置账户安全防护 从撞库、暴力破解两个攻击角度进行防护,保障用户的账户安全 针对账户安全的场景进行防护 Bot防护
设置高频爬虫限制 防止攻击者盗用合法Cookie进行大量请求,限制不同粒度的访问速率 当出现搜索引擎爬取粒度过大导致服务宕机时,可以通过此功能限制爬虫频率
设置爬虫陷阱 在页面里面嵌入不可见链接,当爬虫触碰链接时进行防护 防护网页爬虫 设置人机识别策略 通过cookie挑战、跳转挑战、人机挑战等防爬策略,精准命中爬虫流量,拦截各类恶意爬虫 针对支持携带cookie的客户端请求,小程序、APP、API可能不支持;
对于无法正常执行跳转的请求,可以设置跳转挑战
设置爬虫情报规则 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁,目前爬虫情报库已维护接近10万条数据 对已知搜索引擎IP放行处理,不经过Bot防护策略,提升网站SEO权重;
对已知恶意Bot请求IP拦截处理
设置IP情报规则 支持针对已维护的IP信誉库,从威胁类型维度(IDC服务器、傀儡机、漏洞利用等十几类)进行IP封禁,目前IP信誉库已维护接近120万条数据 对已知IDC IP进行封禁处理;拦截傀儡机、漏洞利用等已知恶意IP 访问控制/限流 设置CC安全防护 支持根据请求的URL,频率、行为等访问特征,迅速识别CC攻击并进行拦截 防护大规模CC攻击,避免源站资源耗尽,保证企业网站的正常访问 设置访问控制 支持针对指定IP以及指定地域IP进行封禁处理 封禁来自国外访问的IP 设置扫描防护 支持识别常见的扫描器类型,也支持自定义扫描器识别规则,做到精准拦截 拦截常见的扫描器类型,避免网站受到外部扫描 设置频率控制 支持控制请求的访问频率 设置客户端IP访问域名首页的次数限制 防护白名单
设置网站白名单 支持在访问控制中,针对特定请求设置为白名单,则不经过全局防护策略的检测 对于可信任流量可以设置为白名单,将不经过任务防护策略 设置Web规则白名单 支持针对防护规则集中的具体规则设置白名单,则指定请求不经过该规则的检测 某条域名规则出现误拦截时,可以将误拦截的请求设置为白名单 设置Bot策略白名单 支持针对Bot防护策略设置白名单,则指定请求将不经过Bot防护策略的检测 明确不需要经过Bot防护策略的请求,可以在Bot功能模块中设置为白名单 API安全 API自发现 API自发现功能能够帮助用户从访问日志中自动发现API接口的请求,并生成API资产,无需用户手动新增 梳理站点API资产 业务监测 API业务监测功能帮助用户实时查看API的业务运行数据包括QPS趋势图、源站状态码响应趋势图、天翼云节点状态码响应趋势图、响应时长趋势图、QPS峰值排行、响应时长排行,同时帮助用户发现和分析业务异常。 协助用户识别API业务是否运行正常 网站风险监测 漏洞扫描 支持远程扫描Web漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞,全面覆盖OWASP Top 10 Web应用风险
协助用户识别站点漏洞情况
安全能力配置入口
方式一:在域名-->域名管理-->安全防护进入;
方式二:在安全-->安全能力菜单中,选择您要配置的原子能力,并进入对应的页面。
