文章目录[隐藏]
在安全方面我们将功能分为了三个部分分别是 WAF、ADS以及 安全检测,接下来我们将分别进行讲解。
百度云加速系列教程
百度云加速教程:云加速配置
百度云加速教程:优化第一步避免防火墙拦截
百度云加速教程:优化第二步安全加固
百度云加速教程:优化第三步访问加速
百度云加速教程:优化第四步流量优化和引擎收录加速
一、 网站应用防火墙 WAF
在讲解之前我们需要先了解什么是WAF,Web Application Firewall 网站应用防火墙,简单点讲,就是用来保护您网站避免被入侵的一套防火墙系统,云加速的防火墙规则由国内顶尖的云加速安全团队制定,能防御市面上超过99%常见的SQL注入、XSS、Web服务器漏洞、应用程序漏洞以及文件访问控制等等系列的渗透攻击,有效的避免您所管理的网站遭到入侵。
下面两张图为WAF选择展开后的功能界面:
① WAF总开关:关闭后WAF失效。
② 高级定制:点开后会发现我们将整个WAF规则划分成了一个一个的模块,网站有特殊功能的用户可以自行选择使用哪些模块,普通web用户模块全开即可。
③ WAF黑名单:可以禁止哪些IP来访问您的网站,支持输入0/24、0/16 进行网段屏蔽,被屏蔽后的用户访问会报1006-1008错误,如下图:
④ WAF白名单:有两种情况需要添加白名单,第一种是部分用户会通过云加速对网站进行页面修改等一系列高风险操作时,会被云加速给阻断,那么您在确认用户操作是合法的情况下,请将他的IP地址加入到WAF白名单进行放行。第二种是用户出口IP在互联网上有太多的不良记录,我们有一个黑名单机制,用户的IP如果匹配上了黑名单,那么会弹出验证码框,来确认他是否是恶意扫描以及攻击,如果您认为用户IP是一个正常的访问,也需要加白名单,下面图列分别是操作拦截以及黑名单拦截:
*凡是出现验证码页面的拦截是基础规则拦截,基础规则在关闭WAF功能开关后依然是有效的,只能通过加白名单的方式解决。
⑤ 强力防护名单:有一些IP无论从频率还是行为,让您认为他是一个不正当的攻击行为,但是您又担心误杀他,导致一些不好的后果,这个功能就是为了这个而设计的,您可以输入IP或者是网段,只针对您输入的这部分进行强力防护,严格意义来讲这个功能主要是ADS在发挥作用,但是为了用户更直观的操作,我们将他固定到了这里。
⑥ 安全验证有效期:我们很多功能都存在安全验证,那么在最终用户完成安全验证后的多久以内我们认为他是安全的怎么办?这里就需要配置有效期了,如下图,多个有效时间可以让您选择:
⑦ 浏览器检查:存在需要非浏览器请求方式的小伙伴请注意了,如果您网站有非浏览器请求,请关闭该功能。
*当访问出现浏览器检查5.4.3.2.1秒的等待页面,这个不是浏览器检查功能的原因,是因为您开启了ADS中CC防护的强力防护级别,在这个级别中会对每一次请求进行识别,如果您不需要功能,请将CC防护调整到其他级别即可。
⑧ 邮件地址混淆:开启该功能后,在您网页上所留的邮箱可以避免被扫描识别。
⑨ 防盗链:开启后,您网站上的资源在被别人链接后,会出现一个403的拒绝响应。
开启防盗链功能后:⑩ 如果有部分网站是您许可链接的,那么这里添加就可以了。
通过以上的介绍,您现在应该已经可以灵活使用云加速的全部WAF功能了。
二、ADS:
为了更简化用户的操作,我们给用户了两个开关,没错只有两个开关。如下图所示,第一个开关DDoS防护,第二个开关CC防护。
DDoS防护,目前这个功能暂时不能关闭,因为攻击后的系统策略加载需要靠他来完成。免费用户我们目前提供了峰值为5Gbps的防护量,专业版提供了峰值10Gbps的防护量。
CC防护,在CC防护上,我们主要是以常驻规则和实时动态规则来进行防御,分为了强力、高、中、低四个等级,其中高、中、低三个防御等级,固定规则是常在模式,动态规则需要触
发,如果是在这3个等级,被攻击后如果在触发动态规则之前用户服务器已经超负荷,建议重启源站服务器。而强力防护这个等级,会对每一次的访问进行验证,验证有效期由WAF规则中的“安全验证有效期”来进行控制。
整个ADS操作很简单,对于高端用户,建议配合自定义规则来使用。
*在CC防御的默认策略中,ADS系统会学习用户前一天的访问情况,如果有突发的攻击事件,系统会自动给用户开启强力防护,目前该功能的开关没有开放给用户控制,如果需要关闭,请联络在线客服帮您处理。
三、 安全检测
如下图所示,云加速基于大数据平台给用户提供了专业的安全检测服务,包含了主机漏洞、Web漏洞、内容安全。使用安全检测功能能有效的避免来至于源站服务器的风险。
① 功能设置:可以同时开启三项检测服务也可以单开一项。
② 扫描方式:提供快速扫描和全面扫描2个扫描档次,快速扫描直接通过威胁库识别,对关键位置进行扫描,而全面扫描即是对所有文件以及位置都进行扫描。
③ 扫描速率:提供了快速、中速、慢速三个扫描速率选择,如果对服务器没有绝对的信心,请不要开启快速扫描,整个扫描是重量级的。
④ 爬虫深度:我们提供了 1 3 5 10 四个爬虫深度进行选择,根据您所选择的档次,爬虫爬去得越深,爬取的文件将会越多。
⑤ 最大抓取量:如果认为爬虫深度是纵向,那么最大抓取量便是横向控制,我们提供了100、200、300、500、1000、2000 六个档次进行选择。
⑥ 动态爬虫:开启后爬虫将根据网站结构等系列因素进行自主爬取,爬取面积将更为广泛。
⑦ 黑名单:设置不对该目录进行爬取扫描。
⑧ 其他设置:这里可以由用户自定义扫描的参数,包括USER AGENT、REFERER、Cookie。