通过设置页面,您可以配置与安全防护相关的其他配置项。
功能说明
客户端IP定义
定义WAF和Bot规则中匹配的客户端IP来源,默认识别建连IP作为客户端IP,也可自定义其他Header作为客户端IP。
一般情况下,您的站点使用了ESA代理加速即可获得性能提升和安全保护,如果您没有使用其他代理服务,此时如下图所示,客户端直接与ESA的边缘加速节点建连,ESA可识别到真实客户端IP:
但如果您在客户端和ESA间额外接入了第三方反向代理服务(例如其他云服务提供的WAF、DDoS防护产品以及其他开启了边缘函数的站点),那么与ESA边缘加速节点直接建连的是代理产品,ESA识别到的建连IP就不再是客户端真实IP,这种情况下您需要使用该功能设置其他的Header用以识别真实客户端IP,同时您的客户端需要在该Header中写入IP信息。
操作步骤
登录ESA控制台。
在左侧导航栏,单击站点管理。
在站点管理页面,单击目标站点名称,或对应站点操作列的详情。
在站点详情页,选择安全防护>设置。
在客户端IP定义区域,单击配置。
建连IP(默认值):客户端与ESA节点建连使用的IP。
自定义Header:自定义其他Header作为客户端IP。多个Header以逗号分隔,最多支持输入5个。
单击确定。
安全级别
阿里云ESA基于海量威胁情报库来判断访问者的请求是否存在威胁,不同威胁级别的IP根据安全级别的设置受到挑战,通过挑战的请求才可以获得正常响应。安全级别如下:
安全级别 | 描述 |
安全级别 | 描述 |
低 | 只挑战威胁程度最高的IP,默认值。 |
中 | 挑战威胁程度较高的IP,建议对安全防护有较高要求的站点开启。 |
高 | 挑战任何可疑威胁的IP,建议仅在重点保障期间开启该选项。 |
我正在遭受攻击 | 挑战所有访问者,建议仅在遭受攻击时开启该选项。 |
基本关闭 | 只保留ESA最小的平台防护策略,建议仅在出现严重误拦截时开启。ESA仍会在该级别下对高危请求做挑战以确保平台安全。 |
彻底关闭(企业版可用) | 彻底关闭安全防护,仅企业版客户可关闭,建议仅在出现严重误拦截时彻底关闭安全级别。 |
选择更高的安全级别可能对正常的访问者产生一定影响,您可以结合不同时期的安全防护需要灵活选择安全级别。
如果站点存在IP误拦截或者API误拦截,则需要手动添加白名单,配置参考白名单规则。
站点有攻击历史或者是“我正在遭受攻击”的情况下,建议安全级别选择高。
站点有刷量历史的建议安全级别选择中。
站点既没有攻击历史又没有刷量历史建议安全级别选择低。
操作步骤
登录ESA控制台。
在左侧导航栏,单击站点管理。
在站点管理页面,单击目标站点名称,或对应站点操作列的详情。
在站点详情页,选择安全防护>设置。
在安全级别区域,选择对应的安全级别。
单击确定。
- 本页导读
- 功能说明
- 客户端IP定义
- 操作步骤
- 安全级别
- 操作步骤