Web 防护

最后更新时间：2023-04-13 11:14:31
Web 防护
最后更新时间： 2023-04-13 11:14:31
功能简介
概述
Web 防护功能提供对 http/https 协议的应用层防护，保护站点安全。包括内含500余条托管规则的规则库和 AI 引擎。
Web/Bot 安全执行动作说明
Web 防护与 Bot 防护具有较多复杂的安全处置方式，可以依据实际业务场景进行选择。具体执行动作介绍如下：
阻断：该流量被拦截，不会向后转发，返回拦截页面，同时记录攻击日志。
观察：该流量被放行，同时记录攻击日志。
放行：该流量被放行，不会记录攻击日志。
Web 基础防护设置
主要用于提供腾讯云多年积累的托管规则，具有极低的漏报、误报率，和快速的0day 响应机制。
1. 登录 边缘安全加速平台控制台，在左侧菜单栏中，单击安全防护 > Web 防护。
2. 在 Web 防护页面，选择所需站点，单击 Web 基础防护设置模块中的
﻿
开关，可以快速的将本防护策略设置为“不可用”，此时该模块将不检测的放行全部流量。该开关不会删除“设置”中的配置。
﻿
﻿
﻿
3. 在 Web 基础防护设置模块中，单击设置，可以对此防护模块进行配置和调整。
﻿
﻿
﻿
4. 在 Web 基础防护设置页面，可修改防护模式、防护等级和规则列表。
﻿
﻿
﻿
参数说明：
防护模式：可以选择“阻断”或“观察”。
阻断模式下，当本模块检测到攻击流量，将会拦截该流量，并记录攻击日志。当开启 Web 基础防护配置时，默认为拦截模式。
观察模式下，当本模块检测到攻击流量，仍然会放行流量，并记录攻击日志。主要用于配置策略调整时对误拦截情况的观察。该模式下不具备拦截攻击流量能力，调试完成后强烈建议变更为阻断模式。
防护等级：策略的严格程度调整，由“超严格、严格、正常、宽松”四种级别。越严格的模式，对疑似攻击流量的判断越多，拦截能力越强，容易造成误报。越宽松的模式，对疑似攻击流量的判断越少，只有非常明显的攻击流量会被拦截，不容易造成误报，但安全性较低。
规则列表包含：规则 ID、攻击类型、规则等级、规则描述、策略开关。
规则 ID ：为记录对应规则的唯一 ID 号，用于追溯攻击日志进行分析。
攻击类型：用于描述该攻击所属的攻击手法。
规则等级：用于说明该条规则的严格程度，对应配置防护等级可以批量的开关对应等级的策略。
规则描述：用于介绍防护规则包含的防护内容。
策略开关：可以手动启用或禁用单条规则。
自定义规则
当业务与某些规则极度相似，或需要放行/阻止某些特定流量时，可使用本模块进行策略配置。
添加规则
1. 在 Web 防护页面，选择所需站点，单击自定义规则模块中的设置。
﻿
﻿
﻿
2. 在自定义规则页面，单击添加规则，输入规则名称、匹配方式、执行动作和优先级。
﻿
﻿
﻿
参数说明：
规则名称：采用字母、数字和下划线组成，不填写则会自动生成一个规则名称，规则名应当唯一。
匹配方式：包含若干 http/https 协议字段，可以通过包含、等于等方式进行匹配。一个防护规则的每一行匹配条件之间为“并且”关系（最多5条），相同的字段只能配置一次。
执行动作：放行、拦截和观察三种。
放行：表示命中后会直接放行，不再执行检测。
拦截：表示命中后直接阻断，记录攻击日志并返回拦截页面。
观察：表示命中后会放行，但是会记录攻击日志。
优先级：表示该条目的执行顺序。自定义规则将优先以配置的优先级由大到小顺序执行，当优先级相同时，以修改时间由近到远顺序执行。
3. 单击确定，即可完成添加规则。
启用规则
1. 在 Web 防护页面，选择所需站点，单击自定义规则模块中的设置
﻿
﻿
﻿
2. 在自定义规则页面，支持单个启用规则或批量启用规则。
单个：选择所需规则 ID，单击策略开关的
﻿
，即可开启对应规则。
批量：勾选所需规则，单击启用，即可开启所选规则。
﻿
﻿
﻿
禁用规则
1. 在 Web 防护页面，选择所需站点，单击自定义规则模块中的设置。
﻿
﻿
﻿
2. 在自定义规则页面，支持单个禁用规则或批量禁用规则。
单个：选择所需规则 ID，单击策略开关的
﻿
，即可关闭对应规则。
批量：勾选所需规则，单击禁用，即可关闭所选规则。
﻿
﻿
﻿
删除规则
1. 在 Web 防护页面，选择所需站点，单击自定义规则模块中的设置。
﻿
﻿
﻿
2. 在自定义规则页面，选择所需规则，单击操作列的删除。
﻿
﻿
﻿
3. 在删除规则弹窗中，单击删除，即可删除对应规则。
速率限制
此功能用于限制源 IP 访问对应三级域名时，命中规则后的访问频率，在一定时间内不能超过固定的访问次数，否则封禁该源 IP 一段时间。
添加规则
1. 在 Web 防护页面，选择所需站点，单击速率限制模块中的设置。
﻿
﻿
﻿
2. 在速率限制页面，单击添加规则，输入规则名称、匹配方式、访问频次、执行动作、惩罚时长和优先级。
﻿
﻿
﻿
参数说明：
规则名称：用于命名规则名称，采用字母、数字和下划线组成，不填写则会自动生成一个规则名称。规则名应当唯一。
匹配方式：包含若干 http/https 协议字段，可以通过包含、等于等方式进行匹配。一个防护规则的每一行匹配条件之间为“并且”关系（最多5条），相同的字段只能配置一次。
访问频次，用于描述一个源 IP 访问当前三级域名时，命中当前匹配方式频率，在XX秒内XX次，如果达到该阈值，将依据执行动作对后续该源 IP 的流量进行处置。
执行动作：包括观察、拦截。
拦截：表示命中后直接阻断，记录攻击日志并返回拦截页面。
观察：表示命中后会放行，但是会记录攻击日志。
惩罚时长：当触发执行动作后，对源 IP 的观察/拦截时间。
优先级表示该条目的执行顺序。自定义规则将优先以配置的优先级由大到小顺序执行，当优先级相同时，以修改时间由近到远顺序执行。
3. 单击确定，即可创建新的速率限制规则。
启用规则
1. 在 Web 防护页面，选择所需站点，单击速率限制模块中的设置。
﻿
﻿
﻿
2. 在速率限制页面，支持单个启用规则或批量启用规则。
单个：选择所需规则 ID，单击策略开关的
﻿
，即可开启对应规则。
批量：勾选所需规则，单击启用，即可开启所选规则。
﻿
﻿
﻿
禁用规则
1. 在 Web 防护页面，选择所需站点，单击自定义规则模块中的设置。
﻿
﻿
﻿
2. 在速率限制页面，支持单个禁用规则或批量禁用规则。
单个：选择所需规则 ID，单击策略开关的
﻿
，即可关闭对应规则。
批量：勾选所需规则，单击禁用，即可关闭所选规则
﻿
﻿
﻿
删除规则
1. 在 Web 防护页面，选择所需站点，单击自定义规则模块中的设置。
﻿
﻿
﻿
2. 在速率限制页面，选择所需规则，单击操作列的删除。
﻿
﻿
﻿
3. 在删除规则弹窗中，单击删除，即可删除对应规则。