一份详细的EdgeOne安全设置指南与教程
媒介腾讯云EdgeOne,作为一款集成CDN加速和全方位安全防护于一体的产品,不仅可以确保用户访问的流畅与快速响应,还能有用抵御DDoS攻击、WEB攻击等网络攻击,本文就以上功能详细先容如何设置及应用,希望可以让大家直观感受到EdgeOne的魅力。
接入 EdgeOne
套餐内容
EdgeOne套餐分为个人版、底子版、尺度版和企业版,套餐内容为下图:
https://i-blog.csdnimg.cn/direct/38d0de27d38540599328abb5c3f2db54.png
本人购买的是尺度版,其 Web 安全防护服务也是本文重点要阐明以及设置应用的。
有需求的可以自行前往购买。
站点绑定
套餐购买乐成后,即可将你的站点接入EdgeOne,这里有非常详细的接入阐明,就不过多赘述了。
接入乐成后,就可以在站点列表中看到,如下图
https://i-blog.csdnimg.cn/direct/a654c0e83adb44ac89f23d48df66d559.png
注意:你的网站域名接入EdgeOne的前提条件是:必要该域名已在工信部完成域名存案(存案时常大概15个工作日)。
Web 安全防护设置
EdgeOne 的 Web 防护策略是非常丰富的,经过 DDoS 防护清洗后,EdgeOne 会按顺序执行包括破例规则、自定义规则、速率限定规则、BOT管理以及托管规则。
在此,对各规则进行设置阐明及演示。
破例规则设置
防护破例规则是指:对匹配条件的请求,将不经过指定的防护规则处置惩罚。
例如,对某个IP的客户端不做速率限定可以这样设置。
https://i-blog.csdnimg.cn/direct/78b4f03af96f452a843a3fc176599831.png
自定义规则设置
自定义规则设置现在包括底子访问管控和准确匹配规则。
底子访问管控
底子访问管控支持单一条件匹配请求,适用于简单场景下的防护处置。例如:设置访问 IP 好坏名单、Referer 黑名单、UA 好坏名单或地域限定。
如下,我设置了对陕西地域可访问的规则,当我在北京进行访问域名时将会被拦截。
https://i-blog.csdnimg.cn/direct/2733f1ec9ca748be98c7ec220f18eb4c.png
结果如下
https://i-blog.csdnimg.cn/direct/d8f9f1624b574589b45228965c856221.png
准确匹配规则
准确匹配规则支持多个条件组合匹配请求,适用于复杂场景下的防护设置,例如:指定路径下文件仅答应指定用户访问。
如下,我设置了只有内部员工(公司IP)才可以访问管理系统(/admin),当我在其他IP下访问时将会被拦截。
https://i-blog.csdnimg.cn/direct/9e111bae585f4e999fdb8b5034e5679b.png
结果如下,可以正常请求其他URL(/)。
https://i-blog.csdnimg.cn/direct/72a9b9bea87b4ae3a6c21c189e8af53a.png
速率规则设置(CC 防护)
自适应频控&智能分析
速率规则中,自适应频控和智能客户端过滤默认是开启的。
[*] 自适应频控会根据最近 7 天请求速率基线,每 24 小时自动更新。
[*] 智能分析会识别请求速率非常的可疑客户端,自动天生处置规则,短时间内限定可疑客户端访问。
如下,我将访问限定品级设置为紧急(40次/10秒),当某一客户端请求凌驾该限定时就会被拦截。
https://i-blog.csdnimg.cn/direct/9df1d3f5ec1348cbb6ab65cfced16409.png
结果如下
https://i-blog.csdnimg.cn/direct/7b146fb290014944ad545e0b659da14c.png
各限定品级阐明如下:
[*]宽松(默认设置,保举):适用于大部分 Web 业务场景。
[*]适中:适用于页面内容较为简单,动态数据或动态加载内容较少的业务场景。
[*]攻击紧急:当攻击发生时,或者其他限定品级防护有防护透传造成业务影响时,可选择该限定品级进行紧急防护。由于该品级的速率限定较为严格,大概存在误杀风险,不建议长期使用。
精准速率限定
除此之外,还可以选择精准速率限定,例如下述场景:
对于撞库和暴力破解攻击的场景中,攻击者通常会频仍地使用访问登录 API 接口实验获取或破解信息。通过限定对登录接口的请求频率,可以大幅缓解攻击者的破解实验,从而有用抵御这类攻击。
如下面的设置中,/login接口答应的访问调用频次为10次/分钟,当凌驾频次限定后,将封禁该 IP 10分钟。
https://i-blog.csdnimg.cn/direct/e855e788795f4ded8b802131430a8cbf.png
受限结果同上。
托管规则设置
托管规则是 EdgeOne 内置的预设防护策略,包括Webshell检测防护、XXE攻击防护、不合规协议、文件上传攻击防护、命令/代码注入攻击防护、开源组件漏洞、服务器端请求伪造、xss跨站脚本攻击防护、SQL注入攻击防护等18个规则以及500+安全防护规则,可以说是涵盖了大部分的Web安全攻击防护,并且还会不停持续更新。
下面,我们看一下最常见XSS攻击防护设置及应用。
XSS攻击是攻击者将恶意脚本注入到用户浏览的网页中,执行其他恶意操纵(如重定向用户到钓鱼网站、在用户设备上安装恶意软件等)。
模拟XSS攻击:假设有一个简单的PHP页面,它担当用户输入并显示在页面上,代码如下:
<?php
$input = $_GET['user_input'];
echo "Welcome, " . $input . "!";
?>
在URL中,输入恶意代码:http://{站点}/testXSS.php?user_input=<script>alert('XSS');</script>
https://i-blog.csdnimg.cn/direct/d31bbb3e4bb6489490ae4651f6645310.png
如今将全局观察模式关闭,并确认xss跨站脚本攻击防护中的规则登记和处置方式。
https://i-blog.csdnimg.cn/direct/8e4ced0ababd426b830908f0d72222ec.png
再次输入URL:http://{站点}/testXSS.php?user_input=<script>alert('XSS');</script>,就会看到该攻击被拦截。
https://i-blog.csdnimg.cn/direct/5f5ebc82599f41d6a77973ad5c257bb4.png
拦截页面自定义设置
上述的拦截页面都是EdgeOne提供的默认页面,EdgeOne还支持自定义拦截页面,响应页面支持text/html、application/json、text/plain、text/xml这几种格式,非常灵活,可以通过下图进行设置。
https://i-blog.csdnimg.cn/direct/39a0f6d6e43947569198d56bc804f9d7.png
结果如下
https://i-blog.csdnimg.cn/direct/1ecb7461219c4716968e7311330a57e2.png
Web 安全分析
EdgeOne 还提供了 Web 安全分析面板,可以基于此相识攻击面数据,包括攻击泉源、攻击方式等,通过对各维度的指标以及访问日志进行分析,持续制定更有用的安全策略。
https://i-blog.csdnimg.cn/direct/f6c2e22ff8bb49898dedfc538dabd81c.png
总结
EdgeOne 的安全防护可以用一句话总结:大而全,全而简。除了默认开启的 DDoS 攻击防护,在Web安全防护方面更是提供了500+防护规则以及灵活的自定义设置,设置简单、即时生效,对于小白来讲是非常友好的。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]