检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
入“Web基础防护”界面。 在“防护配置”页签,根据您的业务场景,开启合适的防护功能,检测项说明如表3所示。 图3 Web基础防护 当“模式”设置为“拦截”时,您可以根据需要选择已配置的攻击惩罚。有关配置攻击惩罚的详细操作,请参见配置攻击惩罚标准。 防护等级设置。 在页面右上角,
SQL(Structured Query Language)注入攻击是一种常见的Web攻击方法,攻击者通过把SQL命令注入到数据库的查询字符串中,最终达到欺骗服务器执行恶意SQL命令的目的。例如,可以从数据库获取敏感信息,或者利用数据库的特性执行添加用户、导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。
域名扩展包 √ 支持添加泛域名 √ 批量灵活配置防护策略 √ 为防护策略批量配置适用的防护域名 √ 常见的Web应用攻击防护,包括SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等 √ 云端自动更新最新0Day
当“不检测模块”配置为“所有检测模块”时,通过EdgeSec配置的其他所有的规则都不会生效,EdgeSec将放行该域名下的所有请求流量。 当“不检测模块”配置为“Web基础防护模块”时,仅对EdgeSec预置的Web基础防护规则和网站反爬虫的“特征反爬虫”拦截或记录的攻击事件可以配置全局白名单规则,防护规则相关说明如下:
攻击、文件包含、Bash漏洞攻击、远程命令执行、目录(路径)遍历、敏感文件访问、命令/代码注入、XML/Xpath注入等攻击检测和拦截。 Webshell检测 防护通过上传接口植入网页木马。 识别精准 内置语义分析+正则双引擎,黑白名单配置,误报率更低。 支持防逃逸,自动还原常见编码,识别变形攻击能力更强。
CDN CDN(Content Delivery Network,内容分发网络)是构建在现有互联网基础之上的一层智能虚拟网络,通过在网络各处部署节点服务器,实现将源站内容分发至所有CDN节点,使用户可以就近获得所需的内容。 DDoS攻击 分布式拒绝服务攻击(Distributed Denial
入“Web基础防护”界面。 在“防护配置”页签,根据您的业务场景,开启合适的防护功能,检测项说明如表4所示。 图4 Web基础防护 当“模式”设置为“拦截”时,您可以根据需要选择已配置的攻击惩罚。有关配置攻击惩罚的详细操作,请参见配置攻击惩罚标准。 防护等级设置。 在页面右上角,
mask:命中规则后对相关敏感信息进行脱敏处理。 防护规则配置方式 为了简化您的配置过程,边缘安全提供了自定义防护规则的配置方式。 此种方式适合域名业务较少或者域名业务适用的配置规则不相同的用户。 域名添加后,边缘安全会自动为该域名绑定一个防护策略,为域名配置的防护规则默认也添加到绑定该域名的防护策
面。 图1 网站列表 在“隐私屏蔽”配置框中,用户可根据自己的需要更改“状态”,单击“自定义隐私屏蔽规则”,进入隐私屏蔽规则配置页面。 图2 隐私设置配置框 在“隐私屏蔽”规则配置页面左上角,单击“添加规则”。 添加隐私屏蔽规则,根据表1配置参数。 图3 添加隐私屏蔽规则 表1 添加隐私屏蔽规则参数说明
配置攻击惩罚标准 当访问者的IP、Cookie或Params恶意请求被拦截时,您可以通过配置攻击惩罚,使边缘安全按配置的攻击惩罚时长来自动封禁访问者。例如,访问者的源IP(192.168.1.1)为恶意请求,如果您配置了IP攻击惩罚拦截时长为500秒,该攻击惩罚生效后,则该IP被
”,进入“防护策略”页面。 图1 网站列表 在“精准访问防护”配置框中,用户可根据自己的需要更改“状态”,单击“自定义精准访问防护规则”,进入精准访问防护规则配置页面。 图2 精准访问防护配置框 在“精准访问防护配置”页面,设置“检测模式”,如图3所示。 精准访问防护规则提供了两种检测模式:
图1 网站列表 在“CC攻击防护”配置框中,用户可根据自己的需要更改“状态”,单击“自定义CC攻击防护规则”,进入CC防护规则配置页面。 图2 CC防护规则配置框 在“CC攻击防护”规则配置页面左上角,单击“添加规则”。 在弹出的对话框中,根据表1配置CC防护规则。 表1 CC防护规则参数说明
开启N项防护”,进入“防护策略”页面。 图3 网站列表 在“网站反爬虫”配置框中,用户可根据自己的需要参照图4更改网站反爬虫的“状态”,单击“BOT设置”,进入网站反爬虫规则配置页面。 图4 网站反爬虫配置框 在“特征反爬虫”页签,根据您的业务场景,开启合适的防护功能,如图5所示,检测项说明如表1所示。
创建引用表对防护指标进行批量配置 该章节指导您创建引用表,即可对路径、User Agent、IP、Params、Cookie、Referer、Header这些单一类型的防护指标进行批量配置,引用表能够被CC攻击防护规则和精准访问防护中的规则所引用。 前提条件 已添加防护网站,详情操作请参见添加防护网站
配置防护策略 配置引导 配置Web基础防护规则防御常见Web攻击 配置CC攻击防护规则防御CC攻击 配置精准访问防护规则 创建引用表对防护指标进行批量配置 配置IP黑白名单规则规则拦截指定IP 配置攻击惩罚标准 配置地理位置访问控制规则拦截特定区域请求 配置网站反爬虫防护规则防御爬虫攻击
配置地理位置访问控制规则拦截特定区域请求 您可以通过配置地理位置访问控制规则。可针对指定国家、地区的来源IP自定义访问控制。 前提条件 已添加防护网站,详情操作请参见添加防护网站 。 约束条件 同一个地区只能配置到一条地理位置访问控制规则中。例如,如果某个地理位置访问控制规则已设
配置IP黑白名单规则规则拦截指定IP IP地址默认全部放行,您可以通过配置黑白名单规则,阻断、仅记录指定IP地址/IP地址段的访问请求。配置黑白名单规则时,边缘安全支持单个添加或通过引用地址组批量导入黑白名单IP地址/IP地址段。 前提条件 已添加防护网站,详情操作请参见添加防护网站
确认“CC攻击防护”的“状态”为“开启”,单击“自定义CC攻击防护规则”,进入CC防护规则配置页面。 图1 CC防护规则配置框 在“CC攻击防护”规则配置页面左上角,单击“添加规则”,配置“用户限速”模式,输入用户标识,即Cookie字段中的变量名。 “防护动作”选择“阻断”,设
开启”,单击“自定义CC攻击防护规则”,进入CC防护规则配置页面。 图1 CC防护规则配置框 在CC防护规则配置页面左上角,单击“添加规则”,配置对指定路径下的请求进行基于IP限速的检测,针对业务特性,设置限速频率,并配置人机验证,防止误拦截正常用户,针对网站所有url进行防护。
标识 说明 配置样例 Session标记 用于Cookie恶意请求的攻击惩罚功能。在选择Cookie拦截的攻击惩罚功能前,必须配置该标识。 jssessionid User标记 用于Params恶意请求的攻击惩罚功能。在选择Params拦截的攻击惩罚功能前,必须配置该标识。 name