检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
服务版本差异 边缘安全提供的服务版本为:企业版,详细的版本说明请参见版本说明,各版本支持的功能特性请参见各版本支持的功能特性。 版本说明 边缘安全各个版本的相关说明如表 版本说明所示。 表1 版本说明 业务规格 企业版 域名个数 20个 CC攻击防护规则 100条 精准访问防护规则
Tank Service,简称LTS)中,通过LTS记录的日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 LTS对于采集的日志数据,通过海量日志数据的分析与处理,可以为您提供一个实时、高效、安全的日志处理能力。LTS默认存储日志的时间为7天,存储时间可以在1~30
攻击事件。 根据内置的Web基础防护规则和网站反爬虫的特征反爬虫,以及自定义防护规则(CC攻击防护规则、精准访问防护规则、黑白名单规则、地理位置访问控制规则等)检测到符合规则的恶意攻击时,会按照规则中的防护动作(仅记录、拦截等)在“防护事件”页面中记录检测到的攻击事件。 前提条件
“全部域名”:默认防护当前策略下绑定的所有域名。 “指定域名”:配置当前策略下需要防护的是泛域名对应的单域名。 指定域名 防护域名 “防护方式”选择“指定域名”时,需要配置此参数。 需要手动输入当前策略下绑定的需要防护的泛域名对应的单域名,且需要输入完整的域名。 www.example
)。 防护域名 选择防护域名,仅支持选择在CDN服务中“域名管理”页面“业务类型”为“网站加速”的域名。 网站备注 网站补充信息。 策略配置 选择已创建的防护策略,默认为“系统自动生成策略”。 单击“确定”,完成防护网站的添加。 父主题: 域名接入
用户在使用云服务时,账户的可用额度小于待结算的账单,即被判定为账户欠费。欠费后,可能会影响云服务资源的正常运行,请及时充值。 欠费原因 已购买资源包,但请求数或访问流量超出账户中的余额费用。 欠费影响 对于包年/包月EdgeSec资源,用户已经预先支付了资源费用,因此在账户出现欠费的情况下,已
局负载均衡,当某个CDN边缘站点的业务受攻击流量到达清洗阈值时,就近调度流量至更大带宽的高防机房,应对超大流量DDoS攻击,保障突发攻击时的业务访问流畅稳定。 CC攻击防护 CC攻击防护规则支持通过限制访问者对防护网站上特定路径(URL)的访问频率,精准识别CC攻击以及有效缓解C
确认提示框中内容后,单击“确认”,添加的策略会展示在策略列表中。 在目标策略所在行,单击策略名称,进入防护规则配置页面,参见配置防护规则为策略添加防护规则。 相关操作 若想修改策略名称,单击目标策略名称后的,在弹出的对话框中,重新输入新的策略名称即可。 若想删除添加的防护策略,在
名称 用户自定义引用表的名字。 test 类型 路径:设置的防护路径,不包含域名。 User Agent:设置为需要防护的扫描器的用户代理。 IP:设置为需要防护的访问者IP地址。 Params:设置为需要防护的请求参数。 Cookie:根据Cookie区分的Web访问者。 Ref
“name”匹配的内容将被屏蔽。 屏蔽字段名 根据“屏蔽字段”设置字段名,被屏蔽的字段将不会出现在日志中。 须知: 子字段的长度不能超过2048字节,且只能由数字、字母、下划线和中划线组成。 规则描述 可选参数,设置该规则的备注信息。 -- 单击“确认”,添加的隐私屏蔽规则展示在隐私屏蔽规则列表中。
事件类型 发生攻击的类型。 默认选择“全部”,查看所有攻击类型的日志信息,也可以根据需要,选择攻击类型查看攻击日志信息。 防护动作 防护配置中设置的防护动作,包含:拦截、仅记录、人机验证等。 源IP Web访问者的公网IP地址(攻击者IP地址)。 默认选择“全部”,查看所有的日志信息,
引擎检测机制 边缘安全服务内置的防护规则,可帮助您防范常见的Web应用攻击,包括XSS攻击、SQL注入、爬虫检测、Webshell检测等。同时,您也可以根据自己网站防护的需要,灵活配置防护规则,边缘安全根据您配置的防护规则更好的防护您的网站业务。边缘安全引擎内置防护规则的检测流程如图 引擎检
地理位置 IP访问的地理范围。 - 防护动作 可以根据需要选择“拦截”、“仅记录”。 “拦截” 单击“确认”,添加的地理位置访问控制规则展示在地理位置访问控制规则列表中。 若需要修改添加的地理位置访问控制规则时,可单击待修改的地理位置访问控制规则所在行的“修改”,修改地理位置访问控制规则。
STIME:会议时间戳;这两个字段用于标记请求,如CC防护规则中用户计数。 防护域名/IP接入边缘安全后,边缘安全会在客户请求Cookie中插入HWEdgeSecSESID(会话ID),HWEdgeSecSESTIME(会话时间戳)等字段,这些字段服务于边缘安全统计和安全特性。 父主题:
过EdgeSec的数据安全可靠。 表1 EdgeSec的数据保护手段和特性 数据保护手段 简要说明 静态数据保护 EdgeSec通过敏感数据加密保证用户流量中敏感数据的安全性。 传输中的数据保护 微服务间数据传输进行加密,防止数据在传输过程中泄露或被篡改。用户的配置数据传输采用安全协议HTTPS,防止数据被窃取。
间以及时间粒度。 所有防护网站:默认统计的是该账号所有项目下添加到边缘安全的所有网站的相关数据。 查询时间:可选择昨天、今天、3天、7天、30天、自定义。 可以选择的最大时间范围跨度为30天。 时间粒度:根据查询时间的不同而不同,具体请参见表1。 表1 时间粒度 时间范围 时间粒度
边缘安全如何拦截请求内容? 边缘安全通过检测请求的首部和body体,对不符合防护规则的请求内容进行拦截,例如body的表单、xml、json等数据。 有关边缘安全防护流程的详细介绍,请参见配置引导。 父主题: 功能咨询
精准访问防护规则提供了两种检测模式: 短路检测:当用户的请求符合精准防护中的拦截条件时,便立刻终止检测,进行拦截。 当用户的请求符合精准防护中的拦截条件时,依然会进行CC防护检测。 全检测:当用户的请求符合精准防护中的拦截条件时,不会立即拦截,它会继续执行其他防护的检测,待其他防护的检测完成后进行拦截。 图3
如果发现攻击日志中存在正常业务流量,建议调整防护等级或者设置全局白名单(原误报屏蔽)来避免正常业务的误拦截。 业务操作方面应注意以下问题: 正常业务的HTTP请求中尽量不要直接传递原始的SQL语句、JAVA SCRIPT代码。 正常业务的URL尽量不要使用一些特殊的关键字(UPDA
续费简介 购买的包年/包月边缘安全到期后会影响边缘安全的防护。如果您想继续使用,需要在指定的时间内为边缘安全续费。 边缘安全在到期前续费成功,所有资源得以保留,且边缘安全的防护不受影响。边缘安全到期后的状态说明,请参见到期后影响。 续费相关的功能 包年/包月边缘安全续费相关的功能如表1所示。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
