EdgeOne安全守护神:您的网站安全,从此无忧!
原创
引言
在数字化浪潮中,网络安全已成为企业和个人必须直面的重大挑战。从DDoS攻击到恶意软件,从数据泄露到隐私侵犯,这些安全问题不仅可能导致巨大的经济损失,还可能损害品牌形象和用户信任。为了应对这一问题,许多网站选择使用CDN服务来分散流量并提高访问速度,但在遭遇大规模DDoS攻击时,CDN的高昂费用可能成为一个负担。此外,安装和维护各种Web应用防火墙(WAF)也是一种解决方案,但它们通常价格不菲。
边缘安全加速平台EO的出现为这些问题提供了一种新的解决方案。EO通过将安全防护功能集成到CDN服务中,不仅提供了高效的网站加速服务,还确保了网站的安全性。这种集成方式使得网站运营者无需额外购买和维护昂贵的WAF设备,从而降低了总体成本。
EO平台利用先进的分布式拒绝服务(DDoS)防护技术和Web应用防火墙(WAF)功能,有效抵御了来自不同层次的攻击。这意味着网站运营者可以专注于业务发展,而无需担心网络安全问题。
此外,EO平台还提供了灵活的定价策略,根据网站的实际流量和使用情况来计费。这种定价模式避免了高昂的固定费用,使得中小型企业和初创公司也能够负担得起高质量的网络安全防护服务。
腾讯云 EdgeOne
腾讯云 EdgeOne 作为中国市场领先的云服务提供商,首次在全球范围内推出安全加速一体化的边缘平台。这一创新平台在全球范围内拥有超过2800个服务节点,为用户提供了统一的多层软件集成架构。这种架构能够在一个节点上同时提供域名解析、动静态智能加速、TCP/UDP四层加速、DDoS/CC/Web/Bot防护以及边缘函数计算等边缘一体化服务。
核心优势
- 全球覆盖:拥有遍布全球2800+的服务节点,确保全球用户都能享受到快速、稳定的服务。
- 安全加速一体化:在一个节点上同时提供域名解析、动静态智能加速、TCP/UDP四层加速、DDoS/CC/Web/Bot防护以及边缘函数计算等边缘一体化服务。
- 多层软件集成架构:提供统一的多层软件集成架构,简化了部署和管理过程。
- 出海首选:为出海企业提供最佳的技术服务平台,帮助他们在全球范围内实现业务扩展。
功能介绍
- 动静态智能加速:通过智能算法优化动态和静态资源的加载速度,提高网站访问速度。
- TCP/UDP四层加速:提供TCP和UDP四层加速服务,确保数据传输的稳定性和速度。
- DDoS/CC/Web/Bot防护:提供全面的DDoS、CC、Web和Bot防护功能,确保网站免受各种网络攻击。
- 边缘函数计算:提供边缘函数计算服务,允许用户在边缘节点上执行代码,减少数据传输距离,提高响应速度。
安全的 EO
今天我们就来体验一番腾讯云边缘安全加速平台EO,是如何站在前方保驾护航,为我们提供经济、高效、安全的网站。帮助网站运营者降低了总体成本,提高了网站的可用性和安全性。
在安全方面,EdgeOne提供了WAF(Web应用防火墙)和DDoS(分布式拒绝服务)安全防护服务。节点能够识别并拦截L3/L4/L7层的各类攻击请求,对DDoS攻击流量进行清洗。同时,智能AI引擎和BOT策略引擎能够对Web、BOT和CC类型的攻击进行行为分析,并实时更新拦截策略,确保恶意请求无法到达用户源站,从而保障业务访问的流畅与稳定。
体验 EO 标准版
支付购买
购买成功
在套餐管理管理中,能够查询到我们具体购买信息。
添加站点
首次登录控制台时,需要添加一个可用站点,单击添加站点。
在站点输入框中,输入准备好的待接入站点域名,例如:ztword.cn;单击下一步。
选择套餐
该步骤需要绑定站点接入的套餐规格,以便平台分配对应的服务资源。可以通过选购新套餐和绑定至已有套餐两种方式进行绑定
确认好套餐后,勾选并同意下方的 边缘安全加速平台服务协议,单击下一步。
接入模式
选择符合需求的加速区域和接入模式。
加速区域
选择加速区域,加速区域主要用于分配服务当前站点的节点资源,当选择中国大陆可用区及全球可用区时,要求当前域名已完成工信部备案,如果域名未完成工信部备案,请参考 备案流程 完成域名备案。
接入模式
选择接入模式,EdgeOne 提供了两种接入模式,分别为 NS 接入模式和 CNAME 接入模式,不同的接入模式区别如下:
模式 | NS 接入(推荐) | CNAME 接入 |
|---|---|---|
适用场景 | 可修改原有域名解析服务商,将域名解析托管至 EdgeOne。 | 当前域名已托管在其他域名解析服务商处(例如:腾讯云DNSPod),不希望更改原有解析服务商。 |
接入方式 | 只需要去原域名解析服务商修改一次 DNS 服务器,托管域名解析后可针对域名一键开启安全加速。 | 每次新增子域名并开启加速时,都需要去相应的 DNS 解析服务商添加一次 CNAME 记录。 |
验证方式 | 需修改原有 NS 服务器至 EdgeOne 指定的地址。 | 通过添加 DNS 记录或者文本验证的方式验证主域名归属权。 |
调度方式 | 域名开启加速后,可通过 A 记录直接指向最近的 EdgeOne 边缘节点。 | 域名开启加速后,需通过 Cname 调度至最近的 EdgeOne 边缘节点。 |
NS 接入
- 在 NS 接入模式下,EdgeOne 将自动扫描当前站点域名下的所有 DNS 记录信息,可以对扫描结果与原 DNS 解析记录结果进行比对确认。
- 如确认无误,可通过单击一键导入,将原 DNS 解析记录导入至 EdgeOne 。
- 如 DNS 解析记录中存在部分缺失,可以通过单击添加记录或批量导入来手动添加 DNS 记录。
单击下一步,在 NS 接入模式下,需要前往原域名注册服务商,将域名的 DNS 服务器地址修改为 EdgeOne 所提供的 DNS 服务器地址,操作步骤可参考:修改 DNS 服务器。
修改完成后,EdgeOne 将自动检测当前的 DNS 服务器地址,当 DNS 服务器已生效后,单击完成,即可完成站点添加。
域名配置
单击域名服务 > DNS记录,进入域名 DNS 解析管理页面。
单击添加记录,填写对应的记录类型、主机记录(即当前子域名名称,例如:当前需添加的加速网站为 www.ztword.com,主机记录值填写为 www。)、记录值(即源站服务器地址,例如:已有一个使用腾讯云服务器搭建的跨境电商网站,此处填写该服务器的 IP 地址:10.1.1.1),单击保存,即可完成域名记录添加;了解DNS主机记录类型。
部署中
免费证书
在左侧导航栏中,单击域名服务 > 域名管理。
在域名管理页面,选择待配置证书的域名,在 HTTPS 列内单击编辑,弹出 HTTPS 证书配置。
选择申请免费证书后,单击确定,即可完成免费证书的申请和安装。
部署完成后,可以在域名管理列表页中,将鼠标悬停于已配置图标上,可展示当前已部署的证书信息。
等待部署中...
完成部署
访问网站
服务总览
腾讯云EdgeOne的站点安全概览功能提供了一个直观且全面的视角,帮助了解站点面临的主要安全风险。通过展示一段时间内命中EdgeOne安全模块的请求统计情况,包括趋势图和TOP N图表,站点安全概览提供了多个维度的安全风险参考:
- 风险严重和紧急程度:通过安全事件规模与趋势,可以了解当前安全威胁的严重程度和紧急性。
- 安全风险的主要对象:攻击的主要目标域名、路径等信息,帮助识别哪些部分可能成为攻击者的目标。
- 风险分类:主要攻击方式,如HTTP DDoS攻击、漏洞攻击和爬虫访问等,了解当前面临的主要攻击类型。
通过这些信息,可以快速了解当前站点面临的安全威胁,并据此调整或加固安全策略,确保站点的安全性和稳定性。
配置策略
腾讯云EdgeOne的安全防护功能为接入EdgeOne的应用提供了全面的安全策略配置和安全事件告警选项。这些功能旨在帮助边缘校验流量和请求,从而避免外部攻击和安全风险对业务和敏感数据造成影响。
在接入EdgeOne安全加速服务并订阅相关安全防护服务后,可以配置以下安全策略:
Web防护 > 自定义规则 > 基础访问管控:详情参考 Web 防护-自定义规则。
功能类别 | 功能 | 使用场景 | 默认配置 |
|---|---|---|---|
DDoS防护 | 自动防护清洗(四层业务) | 日常防护、应急恢复 | 防护等级:适中 |
IP黑白名单 | 内部调用、特定IP控制 | - | |
区域封禁 | 境外访问控制 | - | |
端口过滤 | 高危端口访问控制 | - | |
特征过滤 | 异常数据包过滤 | - | |
协议封禁 | 特定协议访问控制 | - | |
连接类攻击防护 | 异常TCP行为拦截 | - | |
Web防护 | CC攻击防护 | HTTP/HTTPS DDoS攻击防护 | 高频访问限制自适应;处置方式:JS挑战 |
托管规则 | Web应用漏洞攻击拦截 | 全部规则观察模式 | |
自定义规则 | 头部内容、IP定制处理 | - | |
速率限制 | 访问速率控制 | - | |
防护例外 | 跳过防护模块 | 内部服务访问豁免 | - |
Bot管理 | Bot智能分析 | 风险Bot拦截 | - |
Bot基础管理 | 爬虫访问控制 | - | |
客户端画像分析 | 恶意IP行为分析 | - | |
主动特征识别 | 异常浏览器行为拦截 | - | |
自定义Bot规则 | 定制Bot对抗策略 | - | |
Bot管理例外 | 跳过Bot管理规则 | 内部爬虫工具豁免 | - |
DDoS 防护
EdgeOne支持站点(七层)服务防护和四层代理防护
七层服务防护
- 功能概述:七层服务防护,也称为Web应用防火墙(WAF),主要对网站业务流量进行多维度检测和防护,结合深度机器学习智能识别恶意请求特征和防御未知威胁,全面避免网站被黑客恶意攻击和入侵。
- 应用场景:适用于需要保护Web应用免受SQL注入、XSS、文件上传等黑客攻击的场景。
四层代理防护
- 功能概述:四层代理是EdgeOne提供的基于TCP/UDP协议加速服务,通过EdgeOne分布广泛的四层代理节点、独有的DDoS防护模块和智能路由技术,实现终端用户就近接入、边缘流量清洗和端口监听转发,为四层应用提供高可用低延迟的DDoS防护和四层加速服务。
- 应用场景:适用于游戏加速、办公应用加速和实时音视频等场景,帮助解决跨区域访问带来的网络质量问题,提升业务访问体验。
Web 防护
腾讯云EdgeOne提供了全面的Web防护策略,包括站点级防护策略、域名级防护策略、以及防护策略模板。这些策略旨在保护网站免受各种网络攻击,同时提供灵活的配置选项以满足不同业务需求。
站点级防护策略
腾讯云EdgeOne的站点级防护策略包括对HTTP/HTTPS协议的应用层防护,支持预设安全策略或自定义安全策略,以识别并处置有风险的请求。这些策略旨在保护站点敏感数据,确保服务稳定运行,适用于多种风险管控和缓解场景,如漏洞攻击防护、访问管控、缓解资源占用等。
功能 | 使用场景 | 默认配置 |
|---|---|---|
CC攻击防护 | 缓解HTTP/HTTPS DDoS攻击 | 高频访问限制:自适应 - 宽松;JS挑战 |
慢速攻击防护 | 未启用 | |
智能客户端过滤 | JS挑战 | |
托管规则 | 拦截Web应用漏洞攻击 | 全部规则观察模式 |
自定义规则 | 头部内容、IP定制处理 | 防盗链、区域封禁、IP黑名单 |
速率限制 | 控制访问速率 | 错误速率、API频率、JA3指纹限制 |
防护例外 | 跳过防护规则 | 内部服务豁免、用户内容上传豁免 |
自定义规则
找到自定义规则卡片,单击设置。进入自定义规则页面,单击基础访问管控中的添加规则。
在新建基础管控规则界面中,首先需填写规则名称。随后,配置规则类型、匹配方式及匹配内容。规则类型作为匹配条件,决定了符合该条件的请求将如何根据设定的处置方式进行处理。
以当前场景为例:
- 规则类型:选择“区域管控”
- 匹配方式:选择“客户端 IP 区域包含”
- 匹配内容:选择“中国大陆(全部)”
- 处置方式:设置为“拦截”
这样的配置将确保来自中国大陆(全部区域)的客户端IP在访问时,若满足区域管控规则,将被拦截处理。
规则集
在托管规则页面,找到开源组件漏洞规则卡片,单独配置 防护等级及 处置方式,调整防护等级为严格,处置方式为拦截,即可完成规则配置。
详细情况
单击右上角的详细规则,进入详细规则优化页面,自定义修改不同规则的处置方式,选择将规则 ID:xxxxxxxxxxx的处置方式为观察。即可完成配置。
自定义拦截页面
域名级防护策略
腾讯云EdgeOne允许对单个域名进行差异化配置,包括解绑全局策略并对单个域名进行定制化防护。这种细粒度的控制使得用户可以根据每个域名的特定需求调整防护策略,提供了更高的灵活性。
防护策略模板
腾讯云EdgeOne提供了策略模板功能,允许用户将安全策略保存为模板,并将模板策略应用到指定的域名中。这样,当需要修改Web防护策略时,只需在模板管理内修改对应的安全防护策略,即可在所有已应用该模板的域名上生效,简化了管理和维护工作。
源站防护
获取四层代理和站点加速服务最新的回源 IP 信息,更新业务源站防火墙规则,仅允许经过固定 IP(s) 的流量回源至源站,实现源站防护。
- 在站点详情页面,单击安全防护 > 源站防护。
- 在源站防护页面,单击源站防护状态的启用,选择站点加速/四层代理服务,单击确认启用为所选资源启用源站防护。
- 成功启用后:可查看到这些资源目前使用的回源 IP 列表,请将其更新至源站防火墙规则中。
后续如果回源 IP 列表有更新,我们将发出消息通知,直到确认并反馈后,再为绑定的资源正式使用更新后的回源 IP 列表。
告警通知推送
添加规则
新增监控
监控规则
配置选项
某企业接入站点目前,通过安全情报库以及自身业务安全,识别出一批具有业务威胁的黑名单 IP。这些 IP 地址将会动态变化,因此需要实时更新,并应用到所有站点域名中,即时对这些 IP 进行封禁。
- 在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
- 在站点详情页面,单击安全防护 > 配置选项,进入配置选项详情页面。
- 在 IP 和网段分组卡片中,单击设置。
单击新建,创建一个新分组,输入分组名称以及该分组包含的 IP 地址或 IP 地址段,例如:1.1.1.1/23;1.2.2.2。多个地址以回车间隔。
单击保存,完成 IP 分组创建。分组创建完成后,以该场景为例,需禁用该分组内的所有 IP 访问,在 Web 防护 > 自定义规则页面,添加基础访问管控规则。在添加规则时,选择客户端 IP 等于该分组名称时进行拦截,即可拦截该分组内的所有 IP 访问,并根据分组内包含 IP 进行动态更新。详细配置步骤可参考 自定义规则。
配置规则后,如果识别到新的风险 IP,需要添加到该分组内并应用到所有站点,可参考步骤1~3重新进入创建该模板的站点后,单击编辑,输入需要新增的 IP 地址后,再单击保存,即可将新增的 IP 应用到所有引用该分组的防护策略中。
完成以上配置后,使用工具进行攻击测试。
攻击测试
DDoS攻击
L7 访问流量
客户端与 EdgeOne 之间传输的流量统计;单击 EdgeOne 响应流量后,支持查看访问区域分布、Host、客户端 IP、Referer、URL Path、资源类型、状态码、客户端浏览器、客户端设备类型、客户端操作系统排行等。
L7 访问带宽
客户端与 EdgeOne 之间传输的带宽统计。
L7 访问请求数
EdgeOne 收到客户端请求数统计。
CC 攻击
L7 防护命中次数
请求命中 EdgeOne Web 防护安全规则的次数统计;点击某一类安全规则(如:自定义规则)后,支持查看更多维度数据,例如命中规则排行、客户端 IP 排行、URL Path 排行、客户端分布、最近事件等。
然后马上就接到监控通知。
监控短信通知。
写在最后
腾讯云EdgeOne,这款集CDN与安全防护于一体的智能CDN产品,为企业和个人用户带来全方位的加速与安全防护服务。它不仅完美契合支付保护、电商防盗刷、防薅羊毛等业务场景的需求,更在保障网站加速与用户流畅访问的同时,有效抵御DDoS攻击、WEB攻击及BOT恶意爬虫等网络威胁,确保业务的安全、稳定与高效可用。
该服务采用简洁易用的管理界面和迅速部署的方式,让无论是网络安全专家还是普通用户都能轻松上手。仅需简单几步操作,即可为我们的网站构筑起坚不可摧的安全屏障。
在这个数字化时代,网络安全的重要性不言而喻。网络本应是知识的殿堂、交流的枢纽、创新的摇篮。然而,网络的匿名性与全球性也使其容易成为不法分子的利用工具。选择腾讯云EdgeOne安全内容防护服务,让我们的网站免受攻击之苦,确保业务稳定运行。让我们携手共建一个安全、可信的数字世界!
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
腾讯云开发者
