边缘安全加速 ESA通过边缘WAF、边缘Bots管理、DDoS防护及源站防护在边缘节点对流量进行检测和过滤,防止恶意攻击到达源站,不仅可以保护数据中心的安全,同时也提升了访问速度和用户体验。
功能介绍
功能 | 功能概述 | |
安全分析用于展示WAF和Bot管理的拦截、观察和总访问量等数据,以便您根据数据动态调整您的防护规则。 | ||
事件分析通过收集、整理和解析各类安全事件数据,帮助您识别威胁、评估风险并采取相应措施。 | ||
智能限频是频次控制规则结合了ESA AI引擎的、面向更多安全入门级用户的限频配置,极大简化了限频的配置难度。您无需再手动分析站点的访问数据、识别异常频次的访问特征再设置频次控制规则,只需简单开启智能限频并选择防护等级,智能限频将自动根据您的站点过去7天的访问频次数据训练基线并设置频次上限,该数据每天更新。 | ||
如果您的站点需要自定义控制用户的访问策略,您可以在自定义规则中设置请求匹配条件,并通过拦截、观察等方式控制匹配到的用户请求,帮助您的站点更加灵活的限制用户可访问的内容。 | ||
频次控制用于抑制某一类特征的请求访问,例如同一个客户端IP在某一段时间内高频访问您的站点,您希望在超过某个阈值后使用滑块控制其访问频次或拉黑一段时间,即可使用频次控制功能。 | ||
SQL注入、跨站脚本、代码执行、CRLF、远程文件和WebShell等入侵型攻击一般难以察觉且危害大,很难使用自定义规则、频次控制等规则自行配置攻击特征进行防护。托管规则是ESA内置的智能托管防护规则,可以智能防护OWASP攻击和最新的源站漏洞攻击,您可以直接启用各类攻击的防护而无需手动配置和更新。 | ||
扫描防护模块通过识别扫描行为和扫描器特征,阻止攻击者或扫描器对网站的大规模扫描行为,对攻击源执行拦截操作或自动拉入黑名单,帮助Web业务降低被入侵的风险并减少扫描带来的垃圾流量。 | ||
白名单规则允许您根据业务场景,自定义放行具有指定特征的请求,使请求不经过全部或特定防护规则(自定义规则、频次控制、托管规则、扫描防护、Bot管理)的检测。 | ||
通过使用IP访问规则,您可以高效地设置基于客户端源IP、其所属的ASN号以及地理位置的拦截、验证或白名单放行策略。这些规则同时适用于HTTP(七层)请求和TCP/UDP(四层)请求。 | ||
ESA提供了简易模式和高级模式两种模式,满足不同业务场景的防护需求。 | ||
ESA通过对流量的实时监控,可识别SYN Flood、ACK Flood、CC攻击等攻击模式。在检测到异常流量后快速响应,自动拦截恶意数据并引导合法流量通行,确保业务连续性与稳定性。 | ||
为帮助您管理站点下的各类API并检测潜在风险,ESA结合用户访问请求的采样日志和内置的机器学习模型,可以自动扫描站点下关联的API并且提供管理入口对API进行监控分析。 | ||
将ESA的节点IP列表配置在您源站的防火墙规则中,通过仅允许经过白名单中的IP请求/流量访问源站,可以实现源站的防护。 | ||
通过设置页面,您可以配置与安全防护相关的其他配置项。 | ||
防护等级说明
严格:建议在发生恶意盗刷时开启严格模式。单IP初始化频次为 40次/10秒,开启后每24小时根据历史数据自动调整。
中等:默认防护等级,建议日常开启中等模式。单IP初始化频次为 200次/10秒,开启后每24小时根据历史数据自动调整。
宽松:建议出现误拦截时开启宽松模式或关闭智能限频。单IP初始化频次为 4000次/10秒,开启后每24小时根据历史数据自动调整。
执行动作说明
拦截:表示拦截命中规则的请求,并向发起请求的客户端返回拦截响应页面。
说明若需要在拦截操作中自定义拦截页面时,请参见配置自定义页面。
观察:表示不拦截命中规则的请求,只通过日志记录请求命中了规则。您可以通过WAF日志,查询命中当前规则的请求,分析规则的防护效果(例如,是否有误拦截等)。观察模式方便您试运行首次配置的规则,待确认规则没有产生误拦截后,再将规则设置为拦截模式。
说明只有开通日志服务,您才可以使用日志查询功能。
JS挑战:表示WAF向客户端返回一段正常浏览器可以自动执行的JavaScript代码。如果客户端正常执行了JavaScript代码,则WAF在一段时间(默认30分钟)内放行该客户端的所有请求(不需要重复验证),否则拦截请求。
滑块验证:WAF向客户端返回滑动验证页面。如果客户端成功执行滑动验证,则WAF在 30 分钟(默认)内放行该客户端的所有请求,否则拦截请求。
说明如果结果为通过(即正常用户成功完成滑块挑战),则计入流量。如果结果为拦截,则免计流量。
WAF自定义规则、频次控制规则的JS挑战和滑块验证仅适用于静态页面。如需兼容
XMLHttpRequest、Fetch等异步接口响应,需在Bots中启用JS挑战和滑块验证。启用后,当请求命中规则时,ESA对客户端发起JS挑战或滑块验证,当客户端通过后将会在HTTP报文的Header中分别植入Cookie acw_sc__v2和acw_sc__v3,用于表示客户端已通过验证。
不同套餐的支持情况
以下列表展示了Bots、DDoS以及源站防护的套餐支持情况,WAF的套餐支持情况请参见WAF套餐详情。
类别 | 功能项 | 基础版 | 标准版 | 高级版 | 企业版 | |
Bots | 简易模式 | 绝对是Bot | 支持 (处置动作仅支持观察、放行) | 支持 (处置动作仅支持观察、放行) | 支持 | 支持 |
可能是Bot | 支持 (处置动作仅支持观察、放行) | 支持 (处置动作仅支持观察、放行) | 支持 | 支持 | ||
已通过验证的Bot | 不支持 | 不支持 | 不支持 | 支持 | ||
对静态资源请求生效 | 不支持 | 不支持 | 不支持 | 支持 | ||
JavaScript检测 | 不支持 | 不支持 | 不支持 | 支持 | ||
高级模式 | 支持配置Bot管理规则集数 | 不支持 | 不支持 | 不支持 | 10个 | |
DDoS | 防护等级 | 基础防护 | 基础防护 | 基础防护 | 全力防护 | |
源站防护 | 不支持 | 不支持 | 支持 | 支持 | ||