Web 防护功能提供对 HTTP/HTTPS 协议的应用层防护,您可以使用 EdgeOne 预设的安全策略,或者自己定义安全策略,识别并处置有风险的请求,保护您站点的敏感数据,并确保服务稳定运行。
说明:
EdgeOne 对被安全策略拦截的请求不会计费。
使用场景
Web 防护可对多种风险进行管控和缓解,典型场景包括:
漏洞攻击防护:对于涉及客户数据或敏感业务数据的站点,可以通过开启托管规则,拦截注入攻击、跨站点脚本攻击、远程代码运行攻击、第三方组件漏洞等恶意攻击请求。
访问管控:区分合法和未授权请求,避免敏感业务暴露到未授权的访客。包括外部站点链接管控、合作方访问管控、攻击客户端过滤等。
缓解资源占用:限制每个访客的访问频率,避免过度占用资源,导致服务可用性下降。EdgeOne 提供的 CC 攻击防护和速率限制可以有效缓解站点资源耗尽,以保障服务可用稳定。
缓解服务滥用:限制会话或者业务维度滥用,包括批量注册、批量登录、过度使用 API 等恶意使用场景。并强化单一会话(如用户、订阅实例等)的用量限制,确保用户在合理限度内使用服务资源。
API 参数校验:校验 API 参数,确保请求合法性,控制接口暴露风险。
Web 防护功能
Web 防护提供下列功能,建议根据业务类型和业务预期的访问客户端类型进行配置:
说明:
防护模块 | 功能介绍 |
识别请求头部或正文中的攻击特征(包括 SQL 注入、XSS 攻击、开源组件漏洞等多种攻击特征类别),并进行处置。规则由 EdgeOne 定义并自动更新。 | |
识别 CC 攻击(七层 DDoS 攻击),并进行处置。 | |
按指定方式处置匹配条件的请求。 | |
统计一段时间内匹配条件的请求数量,当超过指定阈值时规则生效,处置匹配条件的请求。请求数量低于阈值后,处置动作维持生效一段时间,然后不再生效,直到再次触发。 | |
识别非人类访问行为( Bot 客户端),根据 Bot 客户端类型或行为特征进行处置。 | |
匹配条件的请求跳过指定安全模块扫描,不会命中对应模块中的规则。对于托管规则,可以配置更精细的例外,跳过指定托管规则扫描。 |