边缘安全加速平台 EO 概述-安全防护-文档中心-腾讯云

安全防护为接入 EdgeOne 的应用提供安全策略配置、安全事件告警选项，帮助您在边缘校验流量和请求，避免外部攻击和安全风险对您的业务和敏感数据造成影响。
?
接入 EdgeOne 安全加速服务并订阅相关安全防护服务后，您可以配置下列安全策略：
说明：
DDoS 防护为网络层 DDoS 防护，适用于四层代理应用（TCP/UDP 应用），DDoS 防护相关配置仅开通 独立 DDoS 防护 用户可配置。
如果您需要通过 Web 防护配置 Referer 黑白名单、UA 黑白名单、IP 黑白名单或区域封禁，请使用 Web 防护 > 自定义规则 > 基础访问管控。详情参考 Web 防护-自定义规则。
可配置的规则和执行方式选项可能根据您订阅的 EdgeOne 套餐有所不同。套餐规格请参考 套餐选型对比。
分类
功能
使用场景
默认配置
?DDoS 防护
（网络层 DDoS 防护）
?DDoS 防护等级?
自动防护清洗针对四层业务（TCP/UDP 应用）的 DDoS 攻击。
例如：
日常防护：使用适中防护等级丢弃具有明显 DDoS 攻击特征的流量。
攻击透传时应急恢复：使用严格防护等级丢弃所有疑似 DDoS 攻击的流量。
防护等级：适中
?
?IP 黑白名单?
丢弃或放行指定 IP 的流量。
例如：
内部调用放行：放行内部服务 IP11.11.11.11，允许服务间高频访问。
无
?
?区域封禁?
禁止指定地区客户端访问。
例如：
境外封禁：丢弃源 IP 位于中国大陆以外地区的流量。
无
?
?端口过滤?
丢弃或放行指定源端口/目的端口流量。
例如：
高危反射端口丢弃：丢弃源端口匹配 UDP 53 的流量，禁止访问私有 UDP 协议应用。
无
?
?特征过滤?
丢弃包含指定数据或参数的流量。
例如：
丢弃异常长度 UDP 包：丢弃长度超过 500 的 UDP 流量。
无
?
?协议封禁?
丢弃指定 IP 协议的流量。
例如：
禁止外部 PING 指令：配置封禁 ICMP 协议流量。
无
?
?连接类攻击防护?
拦截高频建连，高频异常连接等异常 TCP 行为。
无
?Web 防护?
?平台托管的速率限制规则（原 CC 攻击防护）?
缓解 HTTP/HTTPS DDoS 攻击，包括高频访问和慢速请求攻击。
自适应频控
限制等级：自适应 - 宽松
处置方式：JavaScript 挑战
慢速攻击防护
未启用
智能客户端过滤
处置方式：JavaScript 挑战
?
?托管规则?
拦截针对 Web 应用的漏洞攻击（SQL 注入、跨站点脚本执行、远程命令执行等）。
例如：
拦截 Apache log4j 漏洞：将开源组件漏洞中 log4j 相关规则启用为拦截。
全部规则启用为观察模式
?
?自定义规则?
根据头部内容和 IP 处置请求。
例如：
防盗链：按 Referer 头部匹配请求进行拦截。
区域封禁：按区域匹配请求客户端 IP 进行拦截。
IP 黑名单：按指定 IP 或者 IP 分组拦截。
无
?
?自定义速率限制规则?
拦截访问超过预设速率的客户端。
例如：
拦截造成源站短时间内大量错误的客户端：设定每个 IP 允许造成源站错误的速率，超过阈值后拦截 IP 访问。
拦截访问特定 API 频率过高的账户 ID：设定每个账户（指定账户 ID 所在参数位置）允许访问指定 API 的频率，超过阈值后拦截账号访问。
拦截访问频率过高的客户端指纹（JA3 指纹）：设定每个 JA3 指纹（即 TLS 指纹）的访问速率，超过阈值后拦截相同指纹访问。
无
?
?防护例外规则 - 跳过防护模块?
按模块跳过 Web 防护中的防护规则。
例如：
放行内部服务：设定内部服务 IP 列表和指定 API 路径，允许列表内客户端不受限制访问该路径。
无
?
?防护例外规则 - 跳过指定托管规则?
跳过指定托管规则。
例如：
放行用户内容上传：请求中包含用户撰写内容的参数时，配置业务路径和误报规则，放行请求。
无
?Bot 管理?
?Bot 智能分析?
按风险等级拦截 Bot 请求。（适合快速启用 Bot 管理策略，并建立 Bot 访问画像）
例如：
拦截 CDN 资源滥用（盗刷）：拦截来自恶意 Bot 请求。
无
?
?Bot 基础管理?
处置搜索引擎、开源开发工具和商业用途的爬虫。
例如：
允许 Google 搜索引擎爬虫访问：使用搜索引擎特征规则库，将 Google 搜索引擎爬虫配置为放行。
拦截 cURL 工具访问：使用 UA 特征库，拦截 Web 开发工具访问。
无
?
?客户端画像分析?
根据 IP 威胁情报，对有恶意行为历史或高危特征的客户端请求进行处置。
例如：
拦截 VPN / 代理 请求：拦截识别为恶意代理、秒拨 IP、代理 IP 池的客户端请求。
无
?
?主动特征识别?
拦截浏览器运行环境和访问行为异常的请求。
例如：
Cookie 挑战：启用 Cookie 校验，拦截不支持 Cookie 的客户端。
拦截自动工具访问：启用客户端行为校验，识别JavaScript 运行环境异常和访问行为异常的自动化工具。
无
?
?自定义 Bot 规则?
根据请求的 Bot 访问特征、头部和客户端 IP，对抗 Bot 工具。功能提供了更多处置方式选项用于 Bot 对抗。
例如：
对抗访问敏感业务的高危Bot：按访问路径和客户端画像进行匹配，按一定权重配置观察、静默和等待后响应。
无
?

分类	功能	使用场景	默认配置
?DDoS 防护（网络层 DDoS 防护）	?DDoS 防护等级?	自动防护清洗针对四层业务（TCP/UDP 应用）的 DDoS 攻击。例如：日常防护：使用`适中`防护等级丢弃具有明显 DDoS 攻击特征的流量。攻击透传时应急恢复：使用`严格`防护等级丢弃所有疑似 DDoS 攻击的流量。	防护等级：适中
	?	?IP 黑白名单?	丢弃或放行指定 IP 的流量。例如：内部调用放行：放行内部服务 IP`11.11.11.11`，允许服务间高频访问。	无
	?	?区域封禁?	禁止指定地区客户端访问。例如：境外封禁：丢弃源 IP 位于中国大陆以外地区的流量。	无
	?	?端口过滤?	丢弃或放行指定源端口/目的端口流量。例如：高危反射端口丢弃：丢弃`源端口匹配 UDP 53` 的流量，禁止访问私有 UDP 协议应用。	无
	?	?特征过滤?	丢弃包含指定数据或参数的流量。例如：丢弃异常长度 UDP 包：丢弃长度超过 500 的 UDP 流量。	无
	?	?协议封禁?	丢弃指定 IP 协议的流量。例如：禁止外部 PING 指令：配置封禁 ICMP 协议流量。	无
	?	?连接类攻击防护?	拦截高频建连，高频异常连接等异常 TCP 行为。	无
?Web 防护?	?平台托管的速率限制规则（原 CC 攻击防护）?	缓解 HTTP/HTTPS DDoS 攻击，包括高频访问和慢速请求攻击。	自适应频控限制等级：自适应 - 宽松处置方式：JavaScript 挑战慢速攻击防护未启用智能客户端过滤处置方式：JavaScript 挑战
	?	?托管规则?	拦截针对 Web 应用的漏洞攻击（SQL 注入、跨站点脚本执行、远程命令执行等）。例如：拦截 Apache log4j 漏洞：将开源组件漏洞中 log4j 相关规则启用为拦截。	全部规则启用为观察模式
	?	?自定义规则?	根据头部内容和 IP 处置请求。例如：防盗链：按 Referer 头部匹配请求进行拦截。区域封禁：按区域匹配请求客户端 IP 进行拦截。 IP 黑名单：按指定 IP 或者 IP 分组拦截。	无
	?	?自定义速率限制规则?	拦截访问超过预设速率的客户端。例如：拦截造成源站短时间内大量错误的客户端：设定每个 IP 允许造成源站错误的速率，超过阈值后拦截 IP 访问。拦截访问特定 API 频率过高的账户 ID：设定每个账户（指定账户 ID 所在参数位置）允许访问指定 API 的频率，超过阈值后拦截账号访问。拦截访问频率过高的客户端指纹（JA3 指纹）：设定每个 JA3 指纹（即 TLS 指纹）的访问速率，超过阈值后拦截相同指纹访问。	无
	?	?防护例外规则 - 跳过防护模块?	按模块跳过 Web 防护中的防护规则。例如：放行内部服务：设定内部服务 IP 列表和指定 API 路径，允许列表内客户端不受限制访问该路径。	无
	?	?防护例外规则 - 跳过指定托管规则?	跳过指定托管规则。例如：放行用户内容上传：请求中包含用户撰写内容的参数时，配置业务路径和误报规则，放行请求。	无
?Bot 管理?	?Bot 智能分析?	按风险等级拦截 Bot 请求。（适合快速启用 Bot 管理策略，并建立 Bot 访问画像）例如：拦截 CDN 资源滥用（盗刷）：拦截来自恶意 Bot 请求。	无
	?	?Bot 基础管理?	处置搜索引擎、开源开发工具和商业用途的爬虫。例如：允许 Google 搜索引擎爬虫访问：使用搜索引擎特征规则库，将 Google 搜索引擎爬虫配置为放行。拦截 cURL 工具访问：使用 UA 特征库，拦截 Web 开发工具访问。	无
	?	?客户端画像分析?	根据 IP 威胁情报，对有恶意行为历史或高危特征的客户端请求进行处置。例如：拦截 VPN / 代理请求：拦截识别为恶意代理、秒拨 IP、代理 IP 池的客户端请求。	无
	?	?主动特征识别?	拦截浏览器运行环境和访问行为异常的请求。例如： Cookie 挑战：启用 Cookie 校验，拦截不支持 Cookie 的客户端。拦截自动工具访问：启用客户端行为校验，识别JavaScript 运行环境异常和访问行为异常的自动化工具。	无
	?	?自定义 Bot 规则?	根据请求的 Bot 访问特征、头部和客户端 IP，对抗 Bot 工具。功能提供了更多处置方式选项用于 Bot 对抗。例如：对抗访问敏感业务的高危Bot：按访问路径和客户端画像进行匹配，按一定权重配置观察、静默和等待后响应。	无