概述

最近更新时间：2023-11-07 19:12:44

我的收藏

安全防护为接入 EdgeOne 的应用提供安全策略配置、安全事件告警选项，帮助您在边缘校验流量和请求，避免外部攻击和安全风险对您的业务和敏感数据造成影响。
﻿
接入 EdgeOne 安全加速服务并订阅相关安全防护服务后，您可以配置下列安全策略：
说明：
DDoS 防护为网络层 DDoS 防护，适用于四层代理应用（TCP/UDP 应用），DDoS 防护相关配置仅开通 独立 DDoS 防护 用户可配置。
如果您需要通过 Web 防护配置 Referer 黑白名单、UA 黑白名单、IP 黑白名单或区域封禁，请使用 Web 防护 > 自定义规则 > 基础访问管控。详情参考 Web 防护-自定义规则。
可配置的规则和执行方式选项可能根据您订阅的 EdgeOne 套餐有所不同。套餐规格请参考 套餐选型对比。
分类
功能
使用场景
默认配置
﻿DDoS 防护
（网络层 DDoS 防护）
﻿DDoS 防护等级﻿
自动防护清洗针对四层业务（TCP/UDP 应用）的 DDoS 攻击。
例如：
日常防护：使用适中防护等级丢弃具有明显 DDoS 攻击特征的流量。
攻击透传时应急恢复：使用严格防护等级丢弃所有疑似 DDoS 攻击的流量。
防护等级：适中
﻿
﻿IP 黑白名单﻿
丢弃或放行指定 IP 的流量。
例如：
内部调用放行：放行内部服务 IP11.11.11.11，允许服务间高频访问。
无
﻿
﻿区域封禁﻿
禁止指定地区客户端访问。
例如：
境外封禁：丢弃源 IP 位于中国大陆以外地区的流量。
无
﻿
﻿端口过滤﻿
丢弃或放行指定源端口/目的端口流量。
例如：
高危反射端口丢弃：丢弃源端口匹配 UDP 53 的流量，禁止访问私有 UDP 协议应用。
无
﻿
﻿特征过滤﻿
丢弃包含指定数据或参数的流量。
例如：
丢弃异常长度 UDP 包：丢弃长度超过 500 的 UDP 流量。
无
﻿
﻿协议封禁﻿
丢弃指定 IP 协议的流量。
例如：
禁止外部 PING 指令：配置封禁 ICMP 协议流量。
无
﻿
﻿连接类攻击防护﻿
拦截高频建连，高频异常连接等异常 TCP 行为。
无
﻿Web 防护﻿
﻿CC 攻击防护﻿
缓解 HTTP/HTTPS DDoS 攻击，包括高频访问和慢速请求攻击。
高频访问请求限制
限制等级：自适应 - 宽松
处置方式：JavaScript 挑战
慢速攻击防护
未启用
智能客户端过滤
处置方式：JavaScript 挑战
﻿
﻿托管规则﻿
拦截针对 Web 应用的漏洞攻击（SQL 注入、跨站点脚本执行、远程命令执行等）。
例如：
拦截 Apache log4j 漏洞：将开源组件漏洞中 log4j 相关规则启用为拦截。
全部规则启用为观察模式
﻿
﻿自定义规则﻿
根据头部内容和 IP 处置请求。
例如：
防盗链：按 Referer 头部匹配请求进行拦截。
区域封禁：按区域匹配请求客户端 IP 进行拦截。
IP 黑名单：按指定 IP 或者 IP 分组拦截。
无
﻿
﻿速率限制﻿
拦截访问超过预设速率的客户端。
例如：
拦截造成源站短时间内大量错误的客户端：设定每个 IP 允许造成源站错误的速率，超过阈值后拦截 IP 访问。
拦截访问特定 API 频率过高的账户 ID：设定每个账户（指定账户 ID 所在参数位置）允许访问指定 API 的频率，超过阈值后拦截账号访问。
拦截访问频率过高的客户端指纹（JA3 指纹）：设定每个 JA3 指纹（即 TLS 指纹）的访问速率，超过阈值后拦截相同指纹访问。
无
﻿
﻿防护例外规则 - 跳过防护模块﻿
按模块跳过 Web 防护中的防护规则。
例如：
放行内部服务：设定内部服务 IP 列表和指定 API 路径，允许列表内客户端不受限制访问该路径。
无
﻿
﻿防护例外规则 - 跳过指定托管规则﻿
跳过指定托管规则。
例如：
放行用户内容上传：请求中包含用户撰写内容的参数时，配置业务路径和误报规则，放行请求。
无
﻿Bot 管理﻿
﻿Bot 智能分析﻿
按风险等级拦截 Bot 请求。（适合快速启用 Bot 管理策略，并建立 Bot 访问画像）
例如：
拦截 CDN 资源滥用（盗刷）：拦截来自恶意 Bot 请求。
无
﻿
﻿Bot 基础管理﻿
处置搜索引擎、开源开发工具和商业用途的爬虫。
例如：
允许 Google 搜索引擎爬虫访问：使用搜索引擎特征规则库，将 Google 搜索引擎爬虫配置为放行。
拦截 cURL 工具访问：使用 UA 特征库，拦截 Web 开发工具访问。
无
﻿
﻿客户端画像分析﻿
根据 IP 威胁情报，对有恶意行为历史或高危特征的客户端请求进行处置。
例如：
拦截 VPN / 代理 请求：拦截识别为恶意代理、秒拨 IP、代理 IP 池的客户端请求。
无
﻿
﻿主动特征识别﻿
拦截浏览器运行环境和访问行为异常的请求。
例如：
Cookie 挑战：启用 Cookie 校验，拦截不支持 Cookie 的客户端。
拦截自动工具访问：启用客户端行为校验，识别JavaScript 运行环境异常和访问行为异常的自动化工具。
无
﻿
﻿自定义 Bot 规则﻿
根据请求的 Bot 访问特征、头部和客户端 IP，对抗 Bot 工具。功能提供了更多处置方式选项用于 Bot 对抗。
例如：
对抗访问敏感业务的高危Bot：按访问路径和客户端画像进行匹配，按一定权重配置观察、静默和等待后响应。
无
﻿
﻿Bot 管理例外规则﻿
跳过 Bot 管理的各类防护规则。
例如：
放行内部爬虫工具：允许来自内部服务 IP 的爬虫工具访问指定 API。
无
﻿

上一篇: 通过边缘函数实现自适应图片格式转换下一篇: DDoS 防护概述

分类	功能	使用场景	默认配置
DDoS 防护（网络层 DDoS 防护）	DDoS 防护等级	自动防护清洗针对四层业务（TCP/UDP 应用）的 DDoS 攻击。例如：日常防护：使用`适中`防护等级丢弃具有明显 DDoS 攻击特征的流量。攻击透传时应急恢复：使用`严格`防护等级丢弃所有疑似 DDoS 攻击的流量。	防护等级：适中
		IP 黑白名单	丢弃或放行指定 IP 的流量。例如：内部调用放行：放行内部服务 IP`11.11.11.11`，允许服务间高频访问。	无
		区域封禁	禁止指定地区客户端访问。例如：境外封禁：丢弃源 IP 位于中国大陆以外地区的流量。	无
		端口过滤	丢弃或放行指定源端口/目的端口流量。例如：高危反射端口丢弃：丢弃`源端口匹配 UDP 53` 的流量，禁止访问私有 UDP 协议应用。	无
		特征过滤	丢弃包含指定数据或参数的流量。例如：丢弃异常长度 UDP 包：丢弃长度超过 500 的 UDP 流量。	无
		协议封禁	丢弃指定 IP 协议的流量。例如：禁止外部 PING 指令：配置封禁 ICMP 协议流量。	无
		连接类攻击防护	拦截高频建连，高频异常连接等异常 TCP 行为。	无
Web 防护	CC 攻击防护	缓解 HTTP/HTTPS DDoS 攻击，包括高频访问和慢速请求攻击。	高频访问请求限制限制等级：自适应 - 宽松处置方式：JavaScript 挑战慢速攻击防护未启用智能客户端过滤处置方式：JavaScript 挑战
		托管规则	拦截针对 Web 应用的漏洞攻击（SQL 注入、跨站点脚本执行、远程命令执行等）。例如：拦截 Apache log4j 漏洞：将开源组件漏洞中 log4j 相关规则启用为拦截。	全部规则启用为观察模式
		自定义规则	根据头部内容和 IP 处置请求。例如：防盗链：按 Referer 头部匹配请求进行拦截。区域封禁：按区域匹配请求客户端 IP 进行拦截。 IP 黑名单：按指定 IP 或者 IP 分组拦截。	无
		速率限制	拦截访问超过预设速率的客户端。例如：拦截造成源站短时间内大量错误的客户端：设定每个 IP 允许造成源站错误的速率，超过阈值后拦截 IP 访问。拦截访问特定 API 频率过高的账户 ID：设定每个账户（指定账户 ID 所在参数位置）允许访问指定 API 的频率，超过阈值后拦截账号访问。拦截访问频率过高的客户端指纹（JA3 指纹）：设定每个 JA3 指纹（即 TLS 指纹）的访问速率，超过阈值后拦截相同指纹访问。	无
		防护例外规则 - 跳过防护模块	按模块跳过 Web 防护中的防护规则。例如：放行内部服务：设定内部服务 IP 列表和指定 API 路径，允许列表内客户端不受限制访问该路径。	无
		防护例外规则 - 跳过指定托管规则	跳过指定托管规则。例如：放行用户内容上传：请求中包含用户撰写内容的参数时，配置业务路径和误报规则，放行请求。	无
Bot 管理	Bot 智能分析	按风险等级拦截 Bot 请求。（适合快速启用 Bot 管理策略，并建立 Bot 访问画像）例如：拦截 CDN 资源滥用（盗刷）：拦截来自恶意 Bot 请求。	无
		Bot 基础管理	处置搜索引擎、开源开发工具和商业用途的爬虫。例如：允许 Google 搜索引擎爬虫访问：使用搜索引擎特征规则库，将 Google 搜索引擎爬虫配置为放行。拦截 cURL 工具访问：使用 UA 特征库，拦截 Web 开发工具访问。	无
		客户端画像分析	根据 IP 威胁情报，对有恶意行为历史或高危特征的客户端请求进行处置。例如：拦截 VPN / 代理请求：拦截识别为恶意代理、秒拨 IP、代理 IP 池的客户端请求。	无
		主动特征识别	拦截浏览器运行环境和访问行为异常的请求。例如： Cookie 挑战：启用 Cookie 校验，拦截不支持 Cookie 的客户端。拦截自动工具访问：启用客户端行为校验，识别JavaScript 运行环境异常和访问行为异常的自动化工具。	无
		自定义 Bot 规则	根据请求的 Bot 访问特征、头部和客户端 IP，对抗 Bot 工具。功能提供了更多处置方式选项用于 Bot 对抗。例如：对抗访问敏感业务的高危Bot：按访问路径和客户端画像进行匹配，按一定权重配置观察、静默和等待后响应。	无
		Bot 管理例外规则	跳过 Bot 管理的各类防护规则。例如：放行内部爬虫工具：允许来自内部服务 IP 的爬虫工具访问指定 API。	无