一份详细的EdgeOne安全设置指南与教程

媒介

腾讯云EdgeOne，作为一款集成CDN加速和全方位安全防护于一体的产品，不仅可以确保用户访问的流畅与快速响应，还能有用抵御DDoS攻击、WEB攻击等网络攻击，本文就以上功能详细先容如何设置及应用，希望可以让大家直观感受到EdgeOne的魅力。
接入 EdgeOne

套餐内容

EdgeOne套餐分为个人版、底子版、尺度版和企业版，套餐内容为下图：

本人购买的是尺度版，其 Web 安全防护服务也是本文重点要阐明以及设置应用的。
有需求的可以自行前往购买。
站点绑定

套餐购买乐成后，即可将你的站点接入EdgeOne，这里有非常详细的接入阐明，就不过多赘述了。
接入乐成后，就可以在站点列表中看到，如下图

注意：你的网站域名接入EdgeOne的前提条件是：必要该域名已在工信部完成域名存案（存案时常大概15个工作日）。
Web 安全防护设置

EdgeOne 的 Web 防护策略是非常丰富的，经过 DDoS 防护清洗后，EdgeOne 会按顺序执行包括破例规则、自定义规则、速率限定规则、BOT管理以及托管规则。
在此，对各规则进行设置阐明及演示。
破例规则设置

防护破例规则是指：对匹配条件的请求，将不经过指定的防护规则处置惩罚。
例如，对某个IP的客户端不做速率限定可以这样设置。

自定义规则设置

自定义规则设置现在包括底子访问管控和准确匹配规则。
底子访问管控

底子访问管控支持单一条件匹配请求，适用于简单场景下的防护处置。例如：设置访问 IP 好坏名单、Referer 黑名单、UA 好坏名单或地域限定。
如下，我设置了对陕西地域可访问的规则，当我在北京进行访问域名时将会被拦截。

结果如下

准确匹配规则

准确匹配规则支持多个条件组合匹配请求，适用于复杂场景下的防护设置，例如：指定路径下文件仅答应指定用户访问。
如下，我设置了只有内部员工（公司IP）才可以访问管理系统（/admin），当我在其他IP下访问时将会被拦截。

结果如下，可以正常请求其他URL(/)。

速率规则设置（CC 防护）

自适应频控&智能分析

速率规则中，自适应频控和智能客户端过滤默认是开启的。

• 自适应频控会根据最近 7 天请求速率基线，每 24 小时自动更新。
  
• 智能分析会识别请求速率非常的可疑客户端，自动天生处置规则，短时间内限定可疑客户端访问。
  

如下，我将访问限定品级设置为紧急（40次/10秒），当某一客户端请求凌驾该限定时就会被拦截。

结果如下

各限定品级阐明如下：

• 宽松（默认设置，保举）：适用于大部分 Web 业务场景。
  
• 适中：适用于页面内容较为简单，动态数据或动态加载内容较少的业务场景。
  
• 攻击紧急：当攻击发生时，或者其他限定品级防护有防护透传造成业务影响时，可选择该限定品级进行紧急防护。由于该品级的速率限定较为严格，大概存在误杀风险，不建议长期使用。
  

精准速率限定

除此之外，还可以选择精准速率限定，例如下述场景：
对于撞库和暴力破解攻击的场景中，攻击者通常会频仍地使用访问登录 API 接口实验获取或破解信息。通过限定对登录接口的请求频率，可以大幅缓解攻击者的破解实验，从而有用抵御这类攻击。
如下面的设置中，/login接口答应的访问调用频次为10次/分钟，当凌驾频次限定后，将封禁该 IP 10分钟。

受限结果同上。
托管规则设置

托管规则是 EdgeOne 内置的预设防护策略，包括Webshell检测防护、XXE攻击防护、不合规协议、文件上传攻击防护、命令/代码注入攻击防护、开源组件漏洞、服务器端请求伪造、xss跨站脚本攻击防护、SQL注入攻击防护等18个规则以及500+安全防护规则，可以说是涵盖了大部分的Web安全攻击防护，并且还会不停持续更新。
下面，我们看一下最常见XSS攻击防护设置及应用。
XSS攻击是攻击者将恶意脚本注入到用户浏览的网页中，执行其他恶意操纵（如重定向用户到钓鱼网站、在用户设备上安装恶意软件等）。
模拟XSS攻击：假设有一个简单的PHP页面，它担当用户输入并显示在页面上，代码如下：

1. <?php  
2. $input = $_GET['user_input'];  
3. echo "Welcome, " . $input . "!";  
4. ?>

复制代码

在URL中，输入恶意代码：http://{站点}/testXSS.php?user_input=<script>alert('XSS');</script>

如今将全局观察模式关闭，并确认xss跨站脚本攻击防护中的规则登记和处置方式。

再次输入URL：http://{站点}/testXSS.php?user_input=<script>alert('XSS');</script>，就会看到该攻击被拦截。

拦截页面自定义设置

上述的拦截页面都是EdgeOne提供的默认页面，EdgeOne还支持自定义拦截页面，响应页面支持text/html、application/json、text/plain、text/xml这几种格式，非常灵活，可以通过下图进行设置。

结果如下

Web 安全分析

EdgeOne 还提供了 Web 安全分析面板，可以基于此相识攻击面数据，包括攻击泉源、攻击方式等，通过对各维度的指标以及访问日志进行分析，持续制定更有用的安全策略。

总结

EdgeOne 的安全防护可以用一句话总结：大而全，全而简。除了默认开启的 DDoS 攻击防护，在Web安全防护方面更是提供了500+防护规则以及灵活的自定义设置，设置简单、即时生效，对于小白来讲是非常友好的。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。