0


一份详细的EdgeOne安全配置指南与教程

前言

腾讯云EdgeOne,作为一款集成CDN加速和全方位安全防护于一体的产品,不仅可以确保用户访问的流畅与快速响应,还能有效抵御DDoS攻击、WEB攻击等网络攻击,本文就以上功能详细介绍如何配置及应用,希望可以让大家直观感受到EdgeOne的魅力。

接入 EdgeOne

套餐内容

EdgeOne套餐分为个人版、基础版、标准版和企业版,套餐内容为下图:

本人购买的是标准版,其 Web 安全防护服务也是本文重点要说明以及配置应用的。

有需求的可以自行前往购买。

站点绑定

套餐购买成功后,即可将你的站点接入EdgeOne,这里有非常详细的接入说明,就不过多赘述了。

接入成功后,就可以在站点列表中看到,如下图

注意:你的网站域名接入EdgeOne的前提条件是:需要该域名已在工信部完成域名备案(备案时常大概15个工作日)

Web 安全防护配置

EdgeOne 的 Web 防护策略是非常丰富的,经过 DDoS 防护清洗后,EdgeOne 会按顺序执行包括例外规则、自定义规则、速率限制规则、BOT管理以及托管规则。

在此,对各规则进行配置说明及演示。

例外规则配置

防护例外规则是指:对匹配条件的请求,将不经过指定的防护规则处理。

例如,对某个IP的客户端不做速率限制可以这样设置。

自定义规则配置

自定义规则配置目前包括基础访问管控和精确匹配规则。

基础访问管控

基础访问管控支持单一条件匹配请求,适用于简单场景下的防护处置。例如:配置访问 IP 黑白名单、Referer 黑名单、UA 黑白名单或地域限制。

如下,我配置了对陕西地区可访问的规则,当我在北京进行访问域名时将会被拦截。

效果如下

精确匹配规则

精确匹配规则支持多个条件组合匹配请求,适用于复杂场景下的防护配置,例如:指定路径下文件仅允许指定用户访问。

如下,我配置了只有内部员工(公司IP)才可以访问管理系统(/admin),当我在其他IP下访问时将会被拦截。

效果如下,可以正常请求其他URL(/)。

速率规则配置(CC 防护)

自适应频控&智能分析

速率规则中,自适应频控和智能客户端过滤默认是开启的。

  • 自适应频控会根据最近 7 天请求速率基线,每 24 小时自动更新。
  • 智能分析会识别请求速率异常的可疑客户端,自动生成处置规则,短时间内限制可疑客户端访问。

如下,我将访问限制等级设置为紧急(40次/10秒),当某一客户端请求超过该限制时就会被拦截。

效果如下

各限制等级说明如下:

  • 宽松(默认配置,推荐):适用于大部分 Web 业务场景。
  • 适中:适用于页面内容较为简单,动态数据或动态加载内容较少的业务场景。
  • 攻击紧急:当攻击发生时,或者其他限制等级防护有防护透传造成业务影响时,可选择该限制等级进行紧急防护。由于该等级的速率限制较为严格,可能存在误杀风险,不建议长期使用。

精准速率限制

除此之外,还可以选择精准速率限制,例如下述场景:

对于撞库和暴力破解攻击的场景中,攻击者通常会频繁地使用访问登录 API 接口尝试获取或破解信息。通过限制对登录接口的请求频率,可以大幅缓解攻击者的破解尝试,从而有效抵御这类攻击。

如下面的配置中,/login接口允许的访问调用频次为10次/分钟,当超过频次限制后,将封禁该 IP 10分钟。

受限效果同上。

托管规则配置

托管规则是 EdgeOne 内置的预设防护策略,包括Webshell检测防护、XXE攻击防护、不合规协议、文件上传攻击防护、命令/代码注入攻击防护、开源组件漏洞、服务器端请求伪造、xss跨站脚本攻击防护、SQL注入攻击防护等18个规则以及500+安全防护规则,可以说是涵盖了大部分的Web安全攻击防护,并且还会不断持续更新。

下面,我们看一下最常见XSS攻击防护配置及应用。

XSS攻击是攻击者将恶意脚本注入到用户浏览的网页中,执行其他恶意操作(如重定向用户到钓鱼网站、在用户设备上安装恶意软件等)。

模拟XSS攻击:假设有一个简单的PHP页面,它接受用户输入并显示在页面上,代码如下:

<?php$input=$_GET['user_input'];echo"Welcome, ".$input."!";?>

在URL中,输入恶意代码:

http://{站点}/testXSS.php?user_input=<script>alert('XSS');</script>

现在将全局观察模式关闭,并确认xss跨站脚本攻击防护中的规则登记和处置方式。

再次输入URL:

http://{站点}/testXSS.php?user_input=<script>alert('XSS');</script>

,就会看到该攻击被拦截。

拦截页面自定义配置

上述的拦截页面都是EdgeOne提供的默认页面,EdgeOne还支持自定义拦截页面,响应页面支持text/html、application/json、text/plain、text/xml这几种格式,非常灵活,可以通过下图进行配置。

效果如下

Web 安全分析

EdgeOne 还提供了 Web 安全分析面板,可以基于此了解攻击面数据,包括攻击来源、攻击方式等,通过对各维度的指标以及访问日志进行分析,持续制定更有效的安全策略。

总结

EdgeOne 的安全防护可以用一句话总结:大而全,全而简。除了默认开启的 DDoS 攻击防护,在Web安全防护方面更是提供了500+防护规则以及灵活的自定义配置,配置简单、即时生效,对于小白来讲是非常友好的。

标签: 安全 数据库

本文转载自: https://blog.csdn.net/qq_28314431/article/details/140550972
版权归原作者 王二蛋! 所有, 如有侵权,请联系我们删除。

“一份详细的EdgeOne安全配置指南与教程”的评论:

还没有评论