动态与公告

产品动态

安全公告

产品公告

产品简介

产品概述

产品优势

应用场景

EdgeOne 与 CDN 等产品功能对比

使用限制

购买指南

试用套餐体验权益说明

免费版套餐使用说明

计费概述

计费项目

购买指引

续费指引

欠费与退款说明

套餐选型对比

关于“干净流量”计费说明

DDoS 防护容量说明

快速入门

选择业务场景

快速接入网站安全加速

通过 Pages 快速部署网站

域名服务与源站配置

域名服务

HTTPS 证书

源站配置

站点加速

概述

访问控制

智能加速

缓存配置

文件优化

网络优化

URL 重写

修改头部

修改应答内容

规则引擎

图片与视频处理

单连接下载限速

DDoS 与 Web 防护

概述

DDoS 防护

Web 防护

Bot 管理

API 资产识别（Beta）

边缘函数

概述

快速指引

操作指引

Runtime APIs

示例函数

实践教程

Pages

四层代理

概述

新建四层代理实例

修改四层代理实例配置

停用/删除四层代理实例

批量配置转发规则

获取客户端真实IP

数据分析与日志服务

日志服务

数据分析

告警服务

站点与计费管理

计费管理

站点管理

版本管理

通用策略

通用参考

配置语法

请求与响应行为

国家/地区及对应代码枚举

Terraform

Terraform 简介

安装和配置 Terraform

实践教程

自动预热/清除缓存

防盗刷/盗链实践

HTTPS 相关实践

加速优化

流量调度

数据分析与告警

第三方日志平台集成实践

对象存储类源站（例如：COS）配置实践

跨域响应配置

API 文档

History

Introduction

API Category

Making API Requests

Site APIs

Acceleration Domain Management APIs

Site Acceleration Configuration APIs

Edge Function APIs

Alias Domain APIs

Security Configuration APIs

Layer 4 Application Proxy APIs

Content Management APIs

Data Analysis APIs

Log Service APIs

Billing APIs

Certificate APIs

Origin Protection APIs

Load Balancing APIs

Diagnostic Tool APIs

Custom Response Page APIs

API Security APIs

DNS Record APIs

Content Identifier APIs

Legacy APIs

Ownership APIs

Image and Video Processing APIs

Multi-Channel Security Gateway APIs

Version Management APIs

Data Types

Error Codes

常见问题

产品特性相关问题

DNS 记录相关问题

域名配置相关问题

站点加速相关问题

数据与日志相关问题

安全防护相关问题

源站配置相关问题

排障指南

异常状态码参考

EdgeOne 4XX/5XX 状态码排障指南

520/524状态码排障指南

521/522 状态码排障指南

工具指南

概述

PDF

聚焦模式

字号

最后更新时间： 2024-08-01 21:37:22

安全防护为接入 EdgeOne 的应用提供安全策略配置、安全事件告警选项，帮助您在边缘校验流量和请求，避免外部攻击和安全风险对您的业务和敏感数据造成影响。
﻿
接入 EdgeOne 安全加速服务并订阅相关安全防护服务后，您可以配置下列安全策略：
说明：
DDoS 防护为网络层 DDoS 防护，适用于四层代理应用（TCP/UDP 应用），DDoS 防护相关配置仅开通 独立 DDoS 防护 用户可配置。
如果您需要通过 Web 防护配置 Referer 黑白名单、UA 黑白名单、IP 黑白名单或区域封禁，请使用 Web 防护 > 自定义规则 > 基础访问管控。详情参考 Web 防护-自定义规则。
可配置的规则和执行方式选项可能根据您订阅的 EdgeOne 套餐有所不同。套餐规格请参考 套餐选型对比。
分类
功能
使用场景
默认配置
﻿DDoS 防护
（网络层 DDoS 防护）
﻿DDoS 防护等级﻿
自动防护清洗针对四层业务（TCP/UDP 应用）的 DDoS 攻击。
例如：
日常防护：使用适中防护等级丢弃具有明显 DDoS 攻击特征的流量。
攻击透传时应急恢复：使用严格防护等级丢弃所有疑似 DDoS 攻击的流量。
防护等级：适中
﻿
﻿IP 黑白名单﻿
丢弃或放行指定 IP 的流量。
例如：
内部调用放行：放行内部服务 IP11.11.11.11，允许服务间高频访问。
无
﻿
﻿区域封禁﻿
禁止指定地区客户端访问。
例如：
境外封禁：丢弃源 IP 位于中国大陆以外地区的流量。
无
﻿
﻿端口过滤﻿
丢弃或放行指定源端口/目的端口流量。
例如：
高危反射端口丢弃：丢弃源端口匹配 UDP 53 的流量，禁止访问私有 UDP 协议应用。
无
﻿
﻿特征过滤﻿
丢弃包含指定数据或参数的流量。
例如：
丢弃异常长度 UDP 包：丢弃长度超过 500 的 UDP 流量。
无
﻿
﻿协议封禁﻿
丢弃指定 IP 协议的流量。
例如：
禁止外部 PING 指令：配置封禁 ICMP 协议流量。
无
﻿
﻿连接类攻击防护﻿
拦截高频建连，高频异常连接等异常 TCP 行为。
无
﻿Web 防护﻿
﻿平台托管的速率限制规则（原 CC 攻击防护）﻿
缓解 HTTP/HTTPS DDoS 攻击，包括高频访问和慢速请求攻击。
自适应频控
限制等级：自适应 - 宽松
处置方式：JavaScript 挑战
慢速攻击防护
未启用
智能客户端过滤
处置方式：JavaScript 挑战
﻿
﻿托管规则﻿
拦截针对 Web 应用的漏洞攻击（SQL 注入、跨站点脚本执行、远程命令执行等）。
例如：
拦截 Apache log4j 漏洞：将开源组件漏洞中 log4j 相关规则启用为拦截。
全部规则启用为观察模式
﻿
﻿自定义规则﻿
根据头部内容和 IP 处置请求。
例如：
防盗链：按 Referer 头部匹配请求进行拦截。
区域封禁：按区域匹配请求客户端 IP 进行拦截。
IP 黑名单：按指定 IP 或者 IP 分组拦截。
无
﻿
﻿自定义速率限制规则﻿
拦截访问超过预设速率的客户端。
例如：
拦截造成源站短时间内大量错误的客户端：设定每个 IP 允许造成源站错误的速率，超过阈值后拦截 IP 访问。
拦截访问特定 API 频率过高的账户 ID：设定每个账户（指定账户 ID 所在参数位置）允许访问指定 API 的频率，超过阈值后拦截账号访问。
拦截访问频率过高的客户端指纹（JA3 指纹）：设定每个 JA3 指纹（即 TLS 指纹）的访问速率，超过阈值后拦截相同指纹访问。
无
﻿
﻿防护例外规则 - 跳过防护模块﻿
按模块跳过 Web 防护中的防护规则。
例如：
放行内部服务：设定内部服务 IP 列表和指定 API 路径，允许列表内客户端不受限制访问该路径。
无
﻿
﻿防护例外规则 - 跳过指定托管规则﻿
跳过指定托管规则。
例如：
放行用户内容上传：请求中包含用户撰写内容的参数时，配置业务路径和误报规则，放行请求。
无
﻿Bot 管理﻿
﻿Bot 智能分析﻿
按风险等级拦截 Bot 请求。（适合快速启用 Bot 管理策略，并建立 Bot 访问画像）
例如：
拦截 CDN 资源滥用（盗刷）：拦截来自恶意 Bot 请求。
无
﻿
﻿Bot 基础管理﻿
处置搜索引擎、开源开发工具和商业用途的爬虫。
例如：
允许 Google 搜索引擎爬虫访问：使用搜索引擎特征规则库，将 Google 搜索引擎爬虫配置为放行。
拦截 cURL 工具访问：使用 UA 特征库，拦截 Web 开发工具访问。
无
﻿
﻿客户端画像分析﻿
根据 IP 威胁情报，对有恶意行为历史或高危特征的客户端请求进行处置。
例如：
拦截 VPN / 代理 请求：拦截识别为恶意代理、秒拨 IP、代理 IP 池的客户端请求。
无
﻿
﻿主动特征识别﻿
拦截浏览器运行环境和访问行为异常的请求。
例如：
Cookie 挑战：启用 Cookie 校验，拦截不支持 Cookie 的客户端。
拦截自动工具访问：启用客户端行为校验，识别JavaScript 运行环境异常和访问行为异常的自动化工具。
无
﻿
﻿自定义 Bot 规则﻿
根据请求的 Bot 访问特征、头部和客户端 IP，对抗 Bot 工具。功能提供了更多处置方式选项用于 Bot 对抗。
例如：
对抗访问敏感业务的高危Bot：按访问路径和客户端画像进行匹配，按一定权重配置观察、静默和等待后响应。
无
﻿

帮助和支持

本页内容是否解决了您的问题？

您也可以联系销售或提交工单以寻求帮助。

填写满意度调查问卷，共创更好文档体验。

文档反馈

tencent cloud

边缘安全加速平台 EO

概述

帮助和支持

分类	功能	使用场景	默认配置
DDoS 防护（网络层 DDoS 防护）	DDoS 防护等级	自动防护清洗针对四层业务（TCP/UDP 应用）的 DDoS 攻击。例如：日常防护：使用`适中`防护等级丢弃具有明显 DDoS 攻击特征的流量。攻击透传时应急恢复：使用`严格`防护等级丢弃所有疑似 DDoS 攻击的流量。	防护等级：适中
		IP 黑白名单	丢弃或放行指定 IP 的流量。例如：内部调用放行：放行内部服务 IP`11.11.11.11`，允许服务间高频访问。	无
		区域封禁	禁止指定地区客户端访问。例如：境外封禁：丢弃源 IP 位于中国大陆以外地区的流量。	无
		端口过滤	丢弃或放行指定源端口/目的端口流量。例如：高危反射端口丢弃：丢弃`源端口匹配 UDP 53` 的流量，禁止访问私有 UDP 协议应用。	无
		特征过滤	丢弃包含指定数据或参数的流量。例如：丢弃异常长度 UDP 包：丢弃长度超过 500 的 UDP 流量。	无
		协议封禁	丢弃指定 IP 协议的流量。例如：禁止外部 PING 指令：配置封禁 ICMP 协议流量。	无
		连接类攻击防护	拦截高频建连，高频异常连接等异常 TCP 行为。	无
Web 防护	平台托管的速率限制规则（原 CC 攻击防护）	缓解 HTTP/HTTPS DDoS 攻击，包括高频访问和慢速请求攻击。	自适应频控限制等级：自适应 - 宽松处置方式：JavaScript 挑战慢速攻击防护未启用智能客户端过滤处置方式：JavaScript 挑战
		托管规则	拦截针对 Web 应用的漏洞攻击（SQL 注入、跨站点脚本执行、远程命令执行等）。例如：拦截 Apache log4j 漏洞：将开源组件漏洞中 log4j 相关规则启用为拦截。	全部规则启用为观察模式
		自定义规则	根据头部内容和 IP 处置请求。例如：防盗链：按 Referer 头部匹配请求进行拦截。区域封禁：按区域匹配请求客户端 IP 进行拦截。 IP 黑名单：按指定 IP 或者 IP 分组拦截。	无
		自定义速率限制规则	拦截访问超过预设速率的客户端。例如：拦截造成源站短时间内大量错误的客户端：设定每个 IP 允许造成源站错误的速率，超过阈值后拦截 IP 访问。拦截访问特定 API 频率过高的账户 ID：设定每个账户（指定账户 ID 所在参数位置）允许访问指定 API 的频率，超过阈值后拦截账号访问。拦截访问频率过高的客户端指纹（JA3 指纹）：设定每个 JA3 指纹（即 TLS 指纹）的访问速率，超过阈值后拦截相同指纹访问。	无
		防护例外规则 - 跳过防护模块	按模块跳过 Web 防护中的防护规则。例如：放行内部服务：设定内部服务 IP 列表和指定 API 路径，允许列表内客户端不受限制访问该路径。	无
		防护例外规则 - 跳过指定托管规则	跳过指定托管规则。例如：放行用户内容上传：请求中包含用户撰写内容的参数时，配置业务路径和误报规则，放行请求。	无
Bot 管理	Bot 智能分析	按风险等级拦截 Bot 请求。（适合快速启用 Bot 管理策略，并建立 Bot 访问画像）例如：拦截 CDN 资源滥用（盗刷）：拦截来自恶意 Bot 请求。	无
		Bot 基础管理	处置搜索引擎、开源开发工具和商业用途的爬虫。例如：允许 Google 搜索引擎爬虫访问：使用搜索引擎特征规则库，将 Google 搜索引擎爬虫配置为放行。拦截 cURL 工具访问：使用 UA 特征库，拦截 Web 开发工具访问。	无
		客户端画像分析	根据 IP 威胁情报，对有恶意行为历史或高危特征的客户端请求进行处置。例如：拦截 VPN / 代理请求：拦截识别为恶意代理、秒拨 IP、代理 IP 池的客户端请求。	无
		主动特征识别	拦截浏览器运行环境和访问行为异常的请求。例如： Cookie 挑战：启用 Cookie 校验，拦截不支持 Cookie 的客户端。拦截自动工具访问：启用客户端行为校验，识别JavaScript 运行环境异常和访问行为异常的自动化工具。	无
		自定义 Bot 规则	根据请求的 Bot 访问特征、头部和客户端 IP，对抗 Bot 工具。功能提供了更多处置方式选项用于 Bot 对抗。例如：对抗访问敏感业务的高危Bot：按访问路径和客户端画像进行匹配，按一定权重配置观察、静默和等待后响应。	无