EdgeOne 有哪些安全功能?
EdgeOne 为 Web 应用服务 和 TCP/UDP 应用服务提供反向代理和服务对应协议的安全防护。
|
四层代理 (TCP/UDP 应用服务) | | - | - | - |
七层站点 (Web 应用服务) | | ✓ | ✓ | |
我已经在源站配置了 Web 应用防火墙,是否需要使用 EdgeOne 安全防护?
EdgeOne 旨在提供一体化的加速和安全能力,因此当您将应用和服务接入 EdgeOne 时,EdgeOne 即开始提供防护服务。在您源站已有的防护基础上,EdgeOne 提供:
分布式安全防护:提供分布在全球可用区的多个独立清洗中心在内的防护资源,通过分布式接入架构提供高效的冗余和灾备。
WAF 和 Web 站点防护:提供包括漏洞攻击检测、速率限制和 Bot 管理3在内的应用安全防护能力。 对缓存资源的防护能力:可以同时检查访问已缓存资源的请求。EdgeOne 的安全策略拦截的用量不会计费,减少不必要的内容分发费用。
最靠近客户端的威胁识别:EdgeOne 通常由客户端直接发起访问,能够对客户端的四层连接会话特征和 TLS 指纹特征进行采集分析,辅助策略识别恶意访问。
兼容您的源站安全策略:支持对回源请求进行标记3,您可以在源站对请求进行进一步分析。 说明:
注 3
:需要订阅并启用 Bot 管理,Bot 管理会在回源请求中携带标识头部,帮助您进一步分析请求。 EdgeOne 是否支持 IP 黑白名单?
如您需要配置 IP 黑名单,即:拦截指定列表中的客户端 IP,您可以使用 自定义规则 中的基础访问管控,选择客户端 IP 管控选项,配置需要拦截的 IP 列表,并选择拦截处置方式。
如您需要配置 IP 白名单,即:放行指定列表中的客户端 IP,您可以使用 防护例外规则,选择客户端 IP 匹配条件,并选择需要跳过的安全模块。 注意:
IP 白名单的可能应用在不同的场景下:
(1)放行指定列表中的客户端 IP。在该场景中,需要配置 防护例外规则,跳过指定安全模块。 (2)仅允许指定列表中的客户端 IP 访问。在该场景中,需要配置 自定义规则 中的基础访问管控规则,拦截不在指定列表中的客户端 IP 。 如何配置区域封禁?如何封禁中国大陆以外地区的访问?
您可以使用 自定义规则 中的基础访问管控,选择区域管控选项,配置需要拦截的客户端地区列表,并选择拦截处置方式。如您需要封禁中国大陆以外地区的访问,可以选择区域不匹配选项,匹配内容选择中国大陆地区区域,并选择拦截处置方式。 如何配置防盗链?如何仅允许本域名和指定域名的链接访问?
防盗链技术主要用于避免静态资源被外部站点页面加载。
常见的防盗链技术
基础的防盗链策略通过请求 Referer 头部判断是否来自页面加载,拦截外部站点引用资源的请求以及不通过页面加载直接访问的请求(例如:在浏览器中输入 URL 直接访问静态资源)。您可以使用 自定义规则 中的基础访问管控功能,拦截 Referer 头部不在指定域名列表中的请求。 进一步验证数据访问安全性
通过 HTTP 头部字段可以应对常见盗链场景,但是恶意请求仍可通过技术手段生成合法 HTTP 请求,从而获取站点资源。为了进一步提升站点资源访问安全性,您可以通过动态生成 URL ,在 URL 中包含具有时效性的随机签名。在提供资源访问之前,确认签名合法性和有效性,从而识别请求是否有访问资源的权限。 EdgeOne 的 规则引擎 功能提供了 Token 鉴权 选项,可帮助您生成签名 URL,并提供签名验证机制。您也可以使用 边缘函数 实现自定义的动态访问鉴权。 什么是“观察”,“观察”处置动作会进行拦截吗?
“观察”处置动作仅记录日志,不会拦截请求。这对于评估策略很有帮助,设置为“观察”的规则不会对您的业务造成影响,因此您可以通过检查日志中该规则的匹配情况判断它对正常业务的影响,以及对恶意请求的匹配情况,帮助您判断是否需要启用为拦截。详见 处置方式。 什么是“JavaScript 挑战”,“JavaScript 挑战”处置动作会对业务有什么影响?
“JavaScript 挑战”处置动作会响应一个页面,该页面会校验请求客户端是否支持 Cookie 和 JavaScript 运行环境,满足校验条件的浏览器可以继续访问,其他工具(例如:cURL 等)会被拦截。该方式可以识别一些非浏览器的工具。详见 处置方式。 注意:
1. 大部分 API 接口无法处理 JavaScript 响应,因此会被 “JavaScript挑战” 动作拦截。
2. 原生 APP、小程序请求也属于 API 请求,无法处理 JavaScript 响应,因此会被 “JavaScript挑战” 动作拦截。如需兼容 JavaScript 挑战,客户端可以在访问 API 接口之前,先通过 web-view 或者 H5 框架完成 JavaScript 挑战,避免访问 API 接口的请求被“JavaScript 挑战”拦截。
EdgeOne 开放的端口都可以访问到源站吗?
EdgeOne 的开放端口默认不提供站点业务访问。根据已接入站点的协议和端口配置,EdgeOne 会解析访问请求,并根据安全和加速配置决定是否处理来自指定端口的请求,并根据配置响应、拦截或回源。
如果您的业务未启用端口,或未配置接入协议,客户端将无法通过该端口或协议访问业务域名资源或源站:
未完成接入流程的站点域名,无法通过 EdgeOne 的 HTTP、HTTP/2、QUIC 等协议访问域名业务;
如果未启用或配置 HTTPS、HTTP/2、QUIC 服务或相应证书,客户端将无法通过 HTTPS、HTTP/2、QUIC 等协议访问对应域名资源或源站;
如果四层代理未配置指定端口的转发规则,将无法通过该端口访问源站的对应端口业务。
说明:
接入域名服务后,EdgeOne 默认支持指定端口访问站点 HTTP 服务,详见 域名服务相关问题。