检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
客户端和服务器之间,服务器的真实IP被隐藏起来,Web访问者只能看到边缘安全的IP地址。 通常情况下,网站访问并不是简单地从用户的浏览器直达服务器,中间可能部署有CDN、EdgeSec、高防。例如,采用这样的架构:“用户 > CDN/EdgeSec/高防 > 源站服务器” 。那么
CDN(Content Delivery Network,内容分发网络)是构建在现有互联网基础之上的一层智能虚拟网络,通过在网络各处部署节点服务器,实现将源站内容分发至所有CDN节点,使用户可以就近获得所需的内容。 DDoS攻击 分布式拒绝服务攻击(Distributed Denial
内容分发网络(Content Delivery Network,CDN)是构建在现有互联网基础之上的一层智能虚拟网络,通过在网络各处部署节点服务器,实现将源站内容分发至所有CDN节点,使用户可以就近获得所需的内容。CDN服务缩短了用户查看内容的访问延迟,提高了用户访问网站的响应速
按国家维度统计攻击日志里的地理位置信息。 请求的客户端IP 发起请求的客户端源IP地址。 请求URL 收到请求的URL。 请求的服务器域名 收到请求的服务器域名。 自定义的策略类型描述 类型结构为策略ID-策略名。 用户代理 HTTP请求头,包含了发出请求的用户代理应用程序的信息、
SQL(Structured Query Language)注入攻击是一种常见的Web攻击方法,攻击者通过把SQL命令注入到数据库的查询字符串中,最终达到欺骗服务器执行恶意SQL命令的目的。例如,可以从数据库获取敏感信息,或者利用数据库的特性执行添加用户、导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。
当您发现网站处理速度下降,网络带宽占用过高时,很有可能已经遭受CC攻击,此时可查看Web服务器的访问日志或网络连接数量,如果访问日志或网络连接数量显著增加,则可确定遭受CC攻击,可以按照以下策略进行配置,利用边缘WAF阻断CC攻击,保障网站业务的正常运行。 边缘WAF防护应用层流量的拒绝服务攻击,适合防御HTTP
responseSize long 攻击响应体大小 - upstreamStatus string 上游服务器攻击响应码 Nginx作为反向代理服务器时,客户端的请求转发给上游服务器,由上游服务器返回的响应码。 upstreamResponseTime string 攻击响应时间 - processTime
为什么Cookie中有HWEdgeSecSESID或HWEdgeSecSESTIME字段? HWEdgeSecSESID:会话ID;HWEdgeSecSESTIME:会议时间戳;这两个字段用于标记请求,如CC防护规则中用户计数。 防护域名/IP接入边缘安全后,边缘安全会在客户请求
边缘WAF和边缘DDoS,并根据业务场景配置适用的防护策略。 添加防护网站 配置防护规则 05 实践 弹性云服务器(Elastic Cloud Server)是一种可随时自动获取、计算能力可弹性伸缩的云服务器。 部署web环境 什么是ECS 创建容器应用基本流程 快速创建一个kubernetes集群
开启N项防护”,进入“防护策略”页面。 图3 网站列表 在“网站反爬虫”配置框中,用户可根据自己的需要参照图4更改网站反爬虫的“状态”,单击“BOT设置”,进入网站反爬虫规则配置页面。 图4 网站反爬虫配置框 在“特征反爬虫”页签,根据您的业务场景,开启合适的防护功能,如图5所示,检测项说明如表1所示。
的可靠性,因此具有更高的可用性、容错性和可扩展性。 华为云EdgeSec已面向全球用户服务,并在多个分区部署,同时EdgeSec的所有管理面、引擎等组件均采用主备或集群方式部署。 父主题: 安全
√:表示在当前版本中支持。 ×:表示在当前版本中不支持。 表2 安全功能特性 功能模板 企业版 域名扩展包 √ 支持添加泛域名 √ 批量灵活配置防护策略 √ 为防护策略批量配置适用的防护域名 √ 常见的Web应用攻击防护,包括SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远
予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 EdgeSec部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区域级项目”,然后在指定区域对应的项目中设置相关权限,并且该权限仅对此项目
mask:命中规则后对相关敏感信息进行脱敏处理。 防护规则配置方式 为了简化您的配置过程,边缘安全提供了自定义防护规则的配置方式。 此种方式适合域名业务较少或者域名业务适用的配置规则不相同的用户。 域名添加后,边缘安全会自动为该域名绑定一个防护策略,为域名配置的防护规则默认也添加到绑定该域名的防护策
”,进入“防护策略”页面。 图1 网站列表 在“精准访问防护”配置框中,用户可根据自己的需要更改“状态”,单击“自定义精准访问防护规则”,进入精准访问防护规则配置页面。 图2 精准访问防护配置框 在“精准访问防护配置”页面,设置“检测模式”,如图3所示。 精准访问防护规则提供了两种检测模式:
配置地理位置访问控制规则拦截特定区域请求 您可以通过配置地理位置访问控制规则。可针对指定国家、地区的来源IP自定义访问控制。 前提条件 已添加防护网站,详情操作请参见添加防护网站 。 约束条件 同一个地区只能配置到一条地理位置访问控制规则中。例如,如果某个地理位置访问控制规则已设
配置攻击惩罚标准 当访问者的IP、Cookie或Params恶意请求被拦截时,您可以通过配置攻击惩罚,使边缘安全按配置的攻击惩罚时长来自动封禁访问者。例如,访问者的源IP(192.168.1.1)为恶意请求,如果您配置了IP攻击惩罚拦截时长为500秒,该攻击惩罚生效后,则该IP被
入“Web基础防护”界面。 在“防护配置”页签,根据您的业务场景,开启合适的防护功能,检测项说明如表3所示。 图3 Web基础防护 当“模式”设置为“拦截”时,您可以根据需要选择已配置的攻击惩罚。有关配置攻击惩罚的详细操作,请参见配置攻击惩罚标准。 防护等级设置。 在页面右上角,
配置防护策略 配置引导 配置Web基础防护规则防御常见Web攻击 配置CC攻击防护规则防御CC攻击 配置精准访问防护规则 创建引用表对防护指标进行批量配置 配置IP黑白名单规则规则拦截指定IP 配置攻击惩罚标准 配置地理位置访问控制规则拦截特定区域请求 配置网站反爬虫防护规则防御爬虫攻击
图1 网站列表 在“CC攻击防护”配置框中,用户可根据自己的需要更改“状态”,单击“自定义CC攻击防护规则”,进入CC防护规则配置页面。 图2 CC防护规则配置框 在“CC攻击防护”规则配置页面左上角,单击“添加规则”。 在弹出的对话框中,根据表1配置CC防护规则。 表1 CC防护规则参数说明