一份详细的EdgeOne安全配置指南与教程

前言

腾讯云EdgeOne，作为一款集成CDN加速和全方位安全防护于一体的产品，不仅可以确保用户访问的流畅与快速响应，还能有效抵御DDoS攻击、WEB攻击等网络攻击，本文就以上功能详细介绍如何配置及应用，希望可以让大家直观感受到EdgeOne的魅力。

接入 EdgeOne

套餐内容

EdgeOne套餐分为个人版、基础版、标准版和企业版，套餐内容为下图：

本人购买的是标准版，其 Web 安全防护服务也是本文重点要说明以及配置应用的。

有需求的可以自行前往购买。

站点绑定

套餐购买成功后，即可将你的站点接入EdgeOne，这里有非常详细的接入说明，就不过多赘述了。

接入成功后，就可以在站点列表中看到，如下图

注意：你的网站域名接入EdgeOne的前提条件是：需要该域名已在工信部完成域名备案（备案时常大概15个工作日）。

Web 安全防护配置

EdgeOne 的 Web 防护策略是非常丰富的，经过 DDoS 防护清洗后，EdgeOne 会按顺序执行包括例外规则、自定义规则、速率限制规则、BOT管理以及托管规则。

在此，对各规则进行配置说明及演示。

例外规则配置

防护例外规则是指：对匹配条件的请求，将不经过指定的防护规则处理。

例如，对某个IP的客户端不做速率限制可以这样设置。

自定义规则配置

自定义规则配置目前包括基础访问管控和精确匹配规则。

基础访问管控

基础访问管控支持单一条件匹配请求，适用于简单场景下的防护处置。例如：配置访问 IP 黑白名单、Referer 黑名单、UA 黑白名单或地域限制。

如下，我配置了对陕西地区可访问的规则，当我在北京进行访问域名时将会被拦截。

效果如下

精确匹配规则

精确匹配规则支持多个条件组合匹配请求，适用于复杂场景下的防护配置，例如：指定路径下文件仅允许指定用户访问。

如下，我配置了只有内部员工（公司IP）才可以访问管理系统（/admin），当我在其他IP下访问时将会被拦截。

效果如下，可以正常请求其他URL(/)。

速率规则配置（CC 防护）

自适应频控&智能分析

速率规则中，自适应频控和智能客户端过滤默认是开启的。

• 自适应频控会根据最近 7 天请求速率基线，每 24 小时自动更新。
• 智能分析会识别请求速率异常的可疑客户端，自动生成处置规则，短时间内限制可疑客户端访问。

如下，我将访问限制等级设置为紧急（40次/10秒），当某一客户端请求超过该限制时就会被拦截。

效果如下

各限制等级说明如下：

• 宽松（默认配置，推荐）：适用于大部分 Web 业务场景。
• 适中：适用于页面内容较为简单，动态数据或动态加载内容较少的业务场景。
• 攻击紧急：当攻击发生时，或者其他限制等级防护有防护透传造成业务影响时，可选择该限制等级进行紧急防护。由于该等级的速率限制较为严格，可能存在误杀风险，不建议长期使用。

精准速率限制

除此之外，还可以选择精准速率限制，例如下述场景：

对于撞库和暴力破解攻击的场景中，攻击者通常会频繁地使用访问登录 API 接口尝试获取或破解信息。通过限制对登录接口的请求频率，可以大幅缓解攻击者的破解尝试，从而有效抵御这类攻击。

如下面的配置中，/login接口允许的访问调用频次为10次/分钟，当超过频次限制后，将封禁该 IP 10分钟。

受限效果同上。

托管规则配置

托管规则是 EdgeOne 内置的预设防护策略，包括Webshell检测防护、XXE攻击防护、不合规协议、文件上传攻击防护、命令/代码注入攻击防护、开源组件漏洞、服务器端请求伪造、xss跨站脚本攻击防护、SQL注入攻击防护等18个规则以及500+安全防护规则，可以说是涵盖了大部分的Web安全攻击防护，并且还会不断持续更新。

下面，我们看一下最常见XSS攻击防护配置及应用。

XSS攻击是攻击者将恶意脚本注入到用户浏览的网页中，执行其他恶意操作（如重定向用户到钓鱼网站、在用户设备上安装恶意软件等）。

模拟XSS攻击：假设有一个简单的PHP页面，它接受用户输入并显示在页面上，代码如下：

<?php$input=$_GET['user_input'];echo"Welcome, ".$input."!";?>

在URL中，输入恶意代码：

http://{站点}/testXSS.php?user_input=<script>alert('XSS');</script>

现在将全局观察模式关闭，并确认xss跨站脚本攻击防护中的规则登记和处置方式。

再次输入URL：

http://{站点}/testXSS.php?user_input=<script>alert('XSS');</script>

，就会看到该攻击被拦截。

拦截页面自定义配置

上述的拦截页面都是EdgeOne提供的默认页面，EdgeOne还支持自定义拦截页面，响应页面支持text/html、application/json、text/plain、text/xml这几种格式，非常灵活，可以通过下图进行配置。

效果如下

Web 安全分析

EdgeOne 还提供了 Web 安全分析面板，可以基于此了解攻击面数据，包括攻击来源、攻击方式等，通过对各维度的指标以及访问日志进行分析，持续制定更有效的安全策略。

总结

EdgeOne 的安全防护可以用一句话总结：大而全，全而简。除了默认开启的 DDoS 攻击防护，在Web安全防护方面更是提供了500+防护规则以及灵活的自定义配置，配置简单、即时生效，对于小白来讲是非常友好的。