EdgeOne 有哪些安全功能?
EdgeOne 为 Web 应用服务 和 TCP/UDP 应用服务提供反向代理和服务对应协议的安全防护。
接入服务类型 | (七层 CC 攻击防护) | |||
四层代理 (TCP/UDP 应用服务) | - | - | - | |
七层站点 (Web 应用服务) | ✓ | ✓ |
我已经在源站配置了 Web 应用防火墙,是否需要使用 EdgeOne 安全防护?
EdgeOne 旨在提供一体化的加速和安全能力,因此当您将应用和服务接入 EdgeOne 时,EdgeOne 即开始提供防护服务。在您源站已有的防护基础上,EdgeOne 提供:
分布式安全防护:提供分布在全球可用区的多个独立清洗中心在内的防护资源,通过分布式接入架构提供高效的冗余和灾备。
对缓存资源的防护能力:可以同时检查访问已缓存资源的请求。EdgeOne 的安全策略拦截的用量不会计费,减少不必要的内容分发费用。
最靠近客户端的威胁识别:EdgeOne 通常由客户端直接发起访问,能够对客户端的四层连接会话信息进行采集分析,辅助策略识别恶意访问。
兼容您的源站安全策略:支持对回源请求进行标记3,您可以在源站对请求进行进一步分析。
说明:
如何配置 IP 黑白名单?能否配置网段黑白名单?
注意:
IP 白名单的可能应用在不同的场景下:
如何配置区域封禁?如何封禁中国大陆以外地区的访问?
您可以使用 自定义规则 中的基础访问管控,选择区域管控选项,配置需要拦截的客户端地区列表,并选择拦截处置方式。如您需要封禁中国大陆以外地区的访问,可以选择区域不匹配选项,匹配内容选择中国大陆地区区域,并选择拦截处置方式。
如何配置防盗链?如何仅允许本域名和指定域名的链接访问?
防盗链,主要用于避免静态资源被外部站点页面加载。
常见的防盗链技术
基础的防盗链策略通过请求 Referer 头部判断是否来自页面加载,拦截外部站点引用资源的请求以及不通过页面加载直接访问的请求(例如:在浏览器中输入 URL 直接访问静态资源)。您可以使用 自定义规则 中的基础访问管控功能,拦截 Referer 头部不在指定域名列表中的请求。
进一步验证数据访问安全性
通过 HTTP 头部字段可以应对常见盗链场景,但是恶意请求仍可通过技术手段生成合法 HTTP 请求,从而获取站点资源。为了进一步提升站点资源访问安全性,您可以通过动态生成 URL ,在 URL 中包含具有时效性的随机签名。在提供资源访问之前,确认签名合法性和有效性,从而识别请求是否有访问资源的权限。 EdgeOne 的 规则引擎 功能提供了 Token 鉴权 选项,可帮助您生成签名 URL,并提供签名验证机制。您也可以使用 边缘函数 实现自定义的动态访问鉴权。
什么是“观察”,“观察”处置动作会进行拦截吗?
“观察”处置动作仅记录日志,不会拦截请求。这对于评估策略很有帮助,设置为“观察”的规则不会对您的业务造成影响,因此您可以通过检查日志中该规则的匹配情况判断它对正常业务的影响,以及对恶意请求的匹配情况,帮助您判断是否需要启用为拦截。详见 处置方式。
什么是“JavaScript 挑战”,“JavaScript 挑战”处置动作会对业务有什么影响?
“JavaScript 挑战”处置动作会响应一个页面,该页面会校验请求客户端是否支持 Cookie 和 JavaScript 运行环境,满足校验条件的浏览器可以继续访问,其他工具(例如:cURL 等)会被拦截。该方式可以识别一些非浏览器的工具。
注意:
API 无法处理 JavaScript 挑战,因此会被 “JavaScript挑战” 动作拦截。