tencent cloud

边缘安全加速平台 EO

动态与公告
产品动态
安全公告
产品公告
产品简介
产品概述
产品优势
应用场景
EdgeOne 与 CDN 等产品功能对比
使用限制
购买指南
试用套餐体验权益说明
免费版套餐使用说明
计费概述
计费项目
购买指引
续费指引
欠费与退款说明
套餐选型对比
关于“干净流量”计费说明
DDoS 防护容量说明
快速入门
选择业务场景
快速接入网站安全加速
通过 Pages 快速部署网站
域名服务与源站配置
域名服务
HTTPS 证书
源站配置
站点加速
概述
访问控制
智能加速
缓存配置
文件优化
网络优化
URL 重写
修改头部
修改应答内容
规则引擎
图片与视频处理
单连接下载限速
DDoS 与 Web 防护
概述
DDoS 防护
Web 防护
Bot 管理
API 资产识别(Beta)
边缘函数
概述
快速指引
操作指引
Runtime APIs
示例函数
实践教程
Pages
四层代理
概述
新建四层代理实例
修改四层代理实例配置
停用/删除四层代理实例
批量配置转发规则
获取客户端真实IP
数据分析与日志服务
日志服务
数据分析
告警服务
站点与计费管理
计费管理
站点管理
版本管理
通用策略
通用参考
配置语法
请求与响应行为
国家/地区及对应代码枚举
Terraform
Terraform 简介
安装和配置 Terraform
实践教程
自动预热/清除缓存
防盗刷/盗链实践
HTTPS 相关实践
加速优化
流量调度
数据分析与告警
第三方日志平台集成实践
对象存储类源站(例如:COS)配置实践
跨域响应配置
API 文档
History
Introduction
API Category
Making API Requests
Site APIs
Acceleration Domain Management APIs
Site Acceleration Configuration APIs
Edge Function APIs
Alias Domain APIs
Security Configuration APIs
Layer 4 Application Proxy APIs
Content Management APIs
Data Analysis APIs
Log Service APIs
Billing APIs
Certificate APIs
Origin Protection APIs
Load Balancing APIs
Diagnostic Tool APIs
Custom Response Page APIs
API Security APIs
DNS Record APIs
Content Identifier APIs
Legacy APIs
Ownership APIs
Image and Video Processing APIs
Multi-Channel Security Gateway APIs
Version Management APIs
Data Types
Error Codes
常见问题
产品特性相关问题
DNS 记录相关问题
域名配置相关问题
站点加速相关问题
数据与日志相关问题
安全防护相关问题
源站配置相关问题
排障指南
异常状态码参考
EdgeOne 4XX/5XX 状态码排障指南
520/524状态码排障指南
521/522 状态码排障指南
工具指南
相关协议
Service Level Agreement
源站防护启用特别约定
TEO 政策
隐私协议
数据处理和安全协议
联系我们
词汇表
文档边缘安全加速平台 EODDoS 与 Web 防护Web 防护托管规则高频扫描防护

高频扫描防护

PDF
聚焦模式
字号
最后更新时间: 2025-08-25 17:09:42

概述

恶意攻击者通常会对目标站点进行系统化的漏洞扫描,短时间内发送大量攻击请求来探测安全漏洞。这种高频扫描行为不仅会消耗服务器资源,更可能导致漏洞被发现和利用,进而造成数据泄露、业务中断等严重后果。高频扫描防护通过智能识别短时间内频繁命中托管规则的访客,自动封禁其后续访问,从而阻断攻击链条,缓解安全漏洞或弱点被系统化探测和利用的风险。
说明:
注1:高频扫描防护仅统计命中「配置为拦截」的托管规则的请求。配置为观察模式的托管规则命中不会计入统计。
注2:高频扫描防护属于「评估模式」的管控范围。当评估模式启用时,即使高频扫描防护配置为拦截,也不会实际拦截请求,而是仅记录日志。
注3:高频扫描防护适用于标准版套餐以上(含试用套餐)。

使用场景

高频扫描防护可有效应对多种恶意扫描攻击,典型场景包括:
漏洞扫描攻击:攻击者使用自动化工具对网站进行大规模漏洞扫描,试图发现 SQL 注入、XSS、文件包含等安全漏洞。高频扫描防护能够快速识别此类行为并自动封禁攻击源。
API 接口探测:攻击者对 API 接口进行系统化测试,尝试发现未授权访问点或参数注入漏洞。通过监控 API 请求的异常模式,及时阻断恶意探测行为。
0-Day 漏洞利用:当新的安全漏洞被公开后,攻击者会快速进行大规模扫描利用。高频扫描防护结合托管规则的实时更新,能够在攻击规模化之前进行有效拦截。

配置高频扫描防护策略

示例场景

某金融科技公司运营着在线支付和借贷业务平台,由于涉及用户资金和敏感金融数据,对安全防护要求极为严格。该平台经常遭受自动化工具的高频漏洞扫描攻击,攻击者试图在短时间内探测系统漏洞,一旦发现可利用的安全缺陷就会立即发起攻击。为确保业务安全,需要对任何疑似扫描行为进行零容忍处理。
业务特点
金融业务对安全要求极高,不允许任何潜在的安全风险。
正常用户访问模式相对固定,很少在短时间内触发大量安全规则。
需要快速响应和阻断任何异常扫描行为。
业务连续性要求高,不能因为防护策略影响正常用户体验。
防护需求
对任何疑似扫描行为进行即时拦截。
最小化攻击者的探测窗口期。
确保正常业务不受影响。
提供详细的攻击日志用于后续分析。

操作步骤

针对此类高安全要求的金融业务场景,建议采用以下严格的高频扫描防护配置:
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击边缘安全 > Web 防护
2. Web 防护页面顶部,选择相应的防护策略配置方式:
若需为整个站点配置统一策略,保持在站点级防护策略标签页
若需为特定域名配置差异化策略,单击域名级防护策略,选择目标域名,例如:pay.example.com
3. 在页面中找到托管规则模块,定位到高频扫描防护功能区域。
4. 单击高频扫描防护右侧的配置,开启功能配置。
5. 在弹出的配置窗口中,打开启用规则的开关后,按照示例场景填写防护参数,详情可参见 配置项说明
触发条件:窗口时长设置为 5 秒,请求数阈值设置为 1 次。
访客匹配方式:选择客户端 IP。
封禁时长:设置为 10 分钟。
处置方式:选择拦截。



6. 单击保存完成配置。规则将立即在全球边缘节点部署生效,任何客户端在 5 秒内触发1次托管规则拦截,就会被立即封禁10分钟。

配置项说明

触发条件:触发条件决定了何时启动高频扫描防护机制。高频扫描防护使用滚动窗口统计方式,在任意时间窗口内,只要匹配请求数量达到阈值,即触发防护规则。封禁期间如有新的匹配请求,不会重新计算封禁时长。统计时间窗口,支持的范围为 1-1800 秒。默认值为 60 秒。
访客匹配方式:访客匹配方式决定了如何识别和区分不同的访客。
客户端 IP:直接使用连接的客户端IP地址进行匹配。适用于直连访问场景或需要对代理服务器进行管控的情况。(推荐)
客户端 IP(优先匹配 XFF 头部):优先从 X-Forwarded-For 头部获取真实客户端IP,适用于通过其他反向代理服务访问 EdgeOne 的场景。
说明:
由于请求头部可能被篡改伪造,如您的站点通过其他反向代理接入后访问 EdgeOne,建议在选择 客户端 IP(优先匹配 XFF 头部) 方式匹配访客的同时,配置自定义规则,仅限您指定的反向代理服务访问 EdgeOne,以减少绕过防护的风险。
封禁时长:封禁时长决定了触发高频扫描防护后,对访客进行处置的持续时间。可配置时间范围:1-1440 分钟。默认值为 30 分钟。
说明:
对于触发高频扫描防护的客户端,持续对其请求进行处置。封禁期间的请求不会重新触发计数统计。
处置方式处置方式决定了对触发高频扫描防护的访客采取的具体行动,支持以下三种:
观察:仅记录日志,不对请求进行实际处置。适用于策略测试和效果评估阶段。
拦截:直接拒绝请求并返回拦截页面。适用于明确需要阻断恶意访问的场景。(推荐)
JavaScript 挑战:向客户端发送 JavaScript 挑战,要求执行特定代码后才能继续访问。能够有效区分自动化工具和真实用户,适用于需要平衡安全性和用户体验的场景。
上一篇: 规则组下一篇: 防护例外规则

帮助和支持

本页内容是否解决了您的问题?

填写满意度调查问卷,共创更好文档体验。

文档反馈