计费规则 域名 加入ESA（Edge Security Acceleration，边缘安全加速）安全防护后，该域名产生的增量服务费用（包括加速和安全功能）统一由ESA计费，CDN（Content Delivery Network，内容分发网络）不再计费。 域名移除ESA安全防护后，当天24点前仍然会按照ESA计费，24点之后按照CDN计费。 ESA增量服务按需计费（流量、请求数）的最小计费周期为5分钟。例如，域名在10:03分加入ESA安全防护，10:05分前按照CDN计费，10:05~24:00按照ESA计费。 统计分析页面展示的流量是基于应用层日志生成的统计结果，实际产生的网络流量比应用层统计高出7%~15%（TCP/IP包头流量、TCP重传流量）。因此，计费流量会基于统计流量上浮10%。

计费说明 边缘安全的计费分为三个部分：服务版本（必选） + 请求数/业务流量（必选）+ 扩展包（可选）。具体内容如表 边缘安全计费项所示。 表1 边缘安全计费项 计费项 计费项说明 适用的计费模式 计费公式 服务版本（必选） 按服务版本-企业版计费。 包年/包月 服务版本 * 购买时长 业务流量 安全加速流量 流量按阶梯价格计费，当月阶梯累积（以自然月为一个累积周期）。 说明： 实际产生的网络流量由于TCP/IP包头消耗和TCP重传消耗要比应用层统计到的流量高出7%~15%。因此按照业界标准，应用于账单的计费数据会在控制台监控数据的基础上上浮10%。 按需计费 实际产生的流量（GB）* 流量阶梯价格。 境外流量分为 五个阶梯： 0~10TB（含） 10~50TB（含） 50~100TB（含） 100~1PB（含） 大于1PB 中国大陆流量分为三个阶梯： 0~10TB（含） 10~50TB（含） 大于50TB 业务请求 安全加速请求数，经过边缘安全防护的HTTP/HTTPS请求数量。 按需计费 实际请求数（万次）* 单价 规则扩展包（可选） 按购买的个数计费。 包年/包月 扩展包单价 * 购买时长 域名扩展包（可选） 按购买的个数计费。 包年/包月 扩展包单价 * 购买时长 全站加速请求数 全站加速的动态请求数和静态请求数计费。 按需 实际请求数（万次）* 单价 按1个月累计结算。

到期后影响 图 包月边缘安全资源生命周期描述了包年/包月边缘安全资源各个阶段的状态。购买后，在计费周期内资源正常运行，此阶段为有效期；资源到期而未续费时，将陆续进入宽限期和保留期。 图1 包年/包月边缘安全资源生命周期 到期预警 包年/包月边缘安全资源在到期前第7天内，系统将向用户推送到期预警消息。预警消息将通过邮件、短信和站内信的方式通知到华为云账号的创建者。 到期后影响 当您的包年/包月边缘安全资源到期未续费，首先会进入宽限期，宽限期内您可以正常使用边缘安全服务。 如果您在宽限期内仍未续费边缘安全，那么就会进入保留期，资源状态变为“已冻结”，您将无法对处于保留期的包年/包月资源执行任何操作。 保留期到期后，若包年/包月边缘安全仍未续费，那么边缘安全资源将被释放，数据无法恢复。 华为云根据客户等级定义了不同客户的宽限期和保留期时长。 关于续费的详细介绍请参见续费概述。

DDoS攻击日志字段说明 字段 类型 字段说明 描述 id string 受攻击目的ip - attackTime long 攻击时间 - tenantId string 租户id - siteId string 站点id - attackType string 攻击来源类型 - avgBps long 攻击流量带宽平均值 - avgPps long 攻击数据包转发数平均值 - maxBps long 攻击流量带宽最大值 - maxPps long 攻击数据包转发数最大值 -

HTTP攻击日志字段说明 字段 类型 字段说明 描述 id string 攻击事件id - geo string 地理位置 其中c表示国家，r表示省份。 sip string 攻击源ip - attackTime string 攻击时间 - tenantId string 租户id - host string 域名 - hostId string 域名id - enterpriseProjectId string 企业项目id - projectId string 租户所在region的项目id - siteSn string 站点名 - rule string 规则id - ruleName sting 规则名 - method string 攻击请求方法 - url string 攻击请求url - requestHeader string 攻击请求头 - requestParams string 攻击请求参数 - cookie string 攻击请求cookie - requestBody string 攻击请求体 - status string 攻击响应码 Nginx作为Web服务器时，会处理客户端的请求并返回该响应码。 responseHeaders string 攻击响应头 - responseBody string 攻击响应体 - responseSize long 攻击响应体大小 - upstreamStatus string 上游服务器攻击响应码 Nginx作为反向代理服务器时，客户端的请求转发给上游服务器，由上游服务器返回的响应码。 upstreamResponseTime string 攻击响应时间 - processTime string 攻击处理时间 - attackCount long 攻击数 - attackCategory string 攻击类别 - attack string 攻击详情 attack中的key和value分别表示攻击类型和攻击数，action中的key和value分别表示该攻击类型的防护动作和防护次数。 maliciousData string 触发规则的恶意数据 - maliciousLocation string 恶意数据位置 - policyId string 策略id -

云审计 服务支持的EdgeSec操作列表 云审计服务（Cloud Trace Service， CTS ）记录了边缘安全相关的操作事件，方便用户日后的查询、审计和回溯，具体请参见《云审计服务用户指南》。 云审计服务支持的EdgeSec操作列表如表 云审计服务支持的EdgeSec操作列表所示。 表1 云审计服务支持的EdgeSec操作列表 操作名称 资源类型 事件名称 添加cdn域名调度任务 cdnDomainScheduleTask addCdnDomainScheduleTask 用户添加防护域名 edgeWafDomain createEdgeWafDomain 用户删除防护域名 edgeWafDomain deleteEdgeWafDomain 用户修改防护域名状态 edgeWafDomain updateEdgeWafDomain 用户开通服务 serviceInfo addServiceInfo 用户退订服务 serviceInfo deleteServiceInfo 添加ddos防护域名 ddosDomainNames createEdgeDDoSDomains 删除ddos防护域名 ddosDomainNames deleteEdgeDDosDomainNames 更新ddos防护域名 ddosDomainNames updateEdgeDDosDomainNames 创建脚本反爬虫规则 EdgeSecAntiCrawlerRule createEdgeSecAntiCrawlerRule 删除脚本反爬虫规则 EdgeSecAntiCrawlerRule deleteEdgeSecAntiCrawlerRule 修改脚本反爬虫防护模式 EdgeSecAntiCrawlerRule switchEdgeSecAntiCrawlerRule 更新脚本反爬虫规则 EdgeSecAntiCrawlerRule updateEdgeSecAntiCrawlerRule 创建cc规则 EdgeSecCcRule createEdgeSecCcRule 删除cc规则 EdgeSecCcRule deleteEdgeSecCcRule 更新cc规则 EdgeSecCcRule updateEdgeSecCcRule 创建证书 EdgeSecCertificate createEdgeSecCertificate 删除证书 EdgeSecCertificate deleteEdgeSecCertificate 更新证书 EdgeSecCertificate updateEdgeSecCertificate 创建精准防护规则 EdgeSecCustomRule createEdgeSecCustomRule 删除精准防护规则 EdgeSecCustomRule deleteEdgeSecCustomRule 更新精准防护规则 EdgeSecCustomRule updateEdgeSecCustomRule 创建防护域名 EdgeSecDomain createEdgeSecDomain 删除防护域名 EdgeSecDomain deleteEdgeSecDomain 更新防护域名 EdgeSecDomain updateEdgeSecDomain 创建地理位置规则 EdgeSecGeoIpRule createEdgeSecGeoIpRule 删除地理位置规则 EdgeSecGeoIpRule deleteEdgeSecGeoIpRule 更新地理位置规则 EdgeSecGeoIpRule updateEdgeSecGeoIpRule 创建误报屏蔽规则 EdgeSecIgnoreRule createEdgeSecIgnoreRule 删除误报屏蔽规则 EdgeSecIgnoreRule deleteEdgeSecIgnoreRule 重置误报屏蔽规则 EdgeSecIgnoreRule recountEdgeSecIgnoreRule 更新误报屏蔽规则 EdgeSecIgnoreRule updateEdgeSecIgnoreRule 创建IP地址组 EdgeSecIpGroup CreateEdgeSecIpGroup 删除IP地址组 EdgeSecIpGroup DeleteEdgeSecIpGroup 更新IP地址组 EdgeSecIpGroup UpdateEdgeSecIpGroup 更新防护策略的域名 EdgeSecPolicy applyEdgeSecPolicy 创建防护策略 EdgeSecPolicy createEdgeSecPolicy 删除防护策略 EdgeSecPolicy deleteEdgeSecPolicy 更新防护策略 EdgeSecPolicy updateEdgeSecPolicy 创建隐私屏蔽规则 EdgeSecPrivacyMaskRule createEdgeSecPrivacyMaskRule 删除隐私屏蔽规则 EdgeSecPrivacyMaskRule deleteEdgeSecPrivacyMaskRule 更新隐私屏蔽规则 EdgeSecPrivacyMaskRule updateEdgeSecPrivacyMaskRule 创建攻击惩罚规则 EdgeSecPunishmentRule createEdgeSecPunishmentRule 删除攻击惩罚规则 EdgeSecPunishmentRule deleteEdgeSecPunishmentRule 更新攻击惩罚规则 EdgeSecPunishmentRule updateEdgeSecPunishmentRule 创建引用表 EdgeSecValueList createEdgeSecValueList 删除引用表 EdgeSecValueList deleteEdgeSecValueList 更新引用表 EdgeSecValueList updateEdgeSecValueList 创建IP黑白名单规则 EdgeSecWhiteBlackIpRule createEdgeSecWhiteBlackIpRule 删除IP黑白名单规则 EdgeSecWhiteBlackIpRule deleteEdgeSecWhiteBlackIpRule 更新IP黑白名单规则 EdgeSecWhiteBlackIpRule updateEdgeSecWhiteBlackIpRule 父主题： 云审计服务支持的关键操作

示例流程 图1 给用户授权服务权限流程 创建用户组并授权 在 IAM 控制台创建用户组，并授予边缘安全权限“EdgeSec FullAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择除边缘安全外（假设当前策略仅包含“EdgeSec FullAccess”）的任一服务，若提示权限不足，表示“EdgeSec FullAccess”已生效。

规格限制 每个用户可以拥有50个地址组。1个地址组可以添加200个IP地址/IP地址段。 添加地址组前，请确保当前版本有剩余的IP黑白名单规则配额。 您可以参见配置IP黑白名单规则拦截指定IP，查看当前IP黑白名单规则配额。 如果您当前版本的IP黑白名单防护规则条数不能满足要求时，您可以通过购买规则扩展包或升级版本增加IP黑白名单防护规则条数，以满足的防护配置需求。一个规则扩展包包含10条IP黑白名单防护规则。

配置示例-屏蔽Cookie字段 假如防护域名“www.example.com”已接入EdgeSec，您可以参照以下操作步骤验证屏蔽Cookie字段名“jsessionid”防护效果。 添加一条隐私屏蔽规则。 图4 添加“jsessionid”字段名隐私屏蔽规则 开启隐私屏蔽。 图5 隐私设置配置框 在左侧导航树中，单击“防护事件”，进入“防护事件”页面。 在目标防护事件所在行的“操作”列中，单击“详情”，查看事件详细信息。 该防护事件的Cookie字段名“jsessionid”信息被屏蔽。 图6 查看防护事件-隐私屏蔽

约束条件 当“不检测模块”配置为“所有检测模块”时，通过EdgeSec配置的其他所有的规则都不会生效，EdgeSec将放行该域名下的所有请求流量。 当“不检测模块”配置为“Web基础防护模块”时，仅对EdgeSec预置的Web基础防护规则和网站反爬虫的“特征反爬虫”拦截或记录的攻击事件可以配置全局白名单规则，防护规则相关说明如下： Web基础防护规则 防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击，以及Webshell检测、深度反逃逸检测等Web基础防护。 BOT防护规则 可防护搜索引擎、扫描器、脚本工具、其它爬虫等爬虫。 添加或修改防护规则后，规则生效需要等待几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。 您可以通过处理误报事件来配置全局白名单规则，处理误报事件后，您可以在全局白名单规则列表中查看该误报事件对应的全局白名单规则。

BOT行为检测 单击“BOT行为检测”模块，打开“AI行为检测”开关。 开启后，默认配置如图7所示。 图7 BOT行为检测 根据实际业务需要，设置三个行为检测评分区间。评分区间为0~100，评分越接近0分表示请求特征越像正常请求，越接近100表示请求特征越像BOT。 为每个区间配置防护动作。 防护动作说明如下： “仅记录”：仅记录满足特征的请求。 “JS挑战”：识别到特征后，边缘安全向客户端返回一段正常浏览器可以自动执行的JavaScript代码。如果客户端正常执行了JavaScript代码，则边缘安全在一段时间（默认30分钟）内放行该客户端的所有请求（不需要重复验证），否则阻断请求。 请求的Referer跟当前的Host不一致时，JS挑战不生效。 “拦截”：识别到特征后，将直接被拦截。 “放行”：放行满足特征的请求。

请求特征检测 单击“请求特征检测”模块，单击防护规则左侧图标，选择所需检测项，打开“启用状态”开关。 开启后，默认配置如图6所示。 图6 请求特征检测 根据实际业务需要，启用或关闭对应规则，配置防护动作。 防护动作说明如下： “仅记录”：仅记录满足特征的请求。 “JS挑战”：识别到特征后，边缘安全向客户端返回一段正常浏览器可以自动执行的JavaScript代码。如果客户端正常执行了JavaScript代码，则边缘安全在一段时间（默认30分钟）内放行该客户端的所有请求（不需要重复验证），否则阻断请求。 请求的Referer跟当前的Host不一致时，JS挑战不生效。 “拦截”：识别到特征后，将直接被拦截。 “放行”：放行满足特征的请求。

请求特征检测 “请求特征检测”是BOT检测的第二环节，它通过识别用户请求中的HTTP请求头域特征，匹配主流的开发框架和HTTP库、仿冒已知BOT、自动化程序来进行检测。如果请求符合某类BOT特征，则按照配置的防护动作处置该请求。 类型 说明 HTTP请求头域检测 异常的请求头。 开发框架和HTTP库 主流的开发框架和HTTP库，如Apache HttpComponents、OKHttp、Python-requests、Go-http-client等。 其他 仿冒BOT：开启后，将检测已知Bot请求的源IP是否符合其对应的合法客户端IP，防止攻击者仿冒。 自动化程序：具有爬虫行为特征，但目的尚不明确的自动化程序。

已知BOT检测 单击“已知BOT检测”模块，单击防护规则左侧图标，选择所需检测项，打开“启用状态”开关。 开启后，默认配置如图5所示。 图5 已知BOT检测 根据实际业务需要，启用或关闭对应规则，配置防护动作。 防护动作说明如下： “仅记录”：仅记录满足特征的请求。 “JS挑战”：识别到特征后，边缘安全向客户端返回一段正常浏览器可以自动执行的JavaScript代码。如果客户端正常执行了JavaScript代码，则边缘安全在一段时间（默认30分钟）内放行该客户端的所有请求（不需要重复验证），否则阻断请求。 请求的Referer跟当前的Host不一致时，JS挑战不生效。 “拦截”：识别到特征后，将直接被拦截。 “放行”：放行满足特征的请求。

已知BOT检测 “已知BOT检测”是BOT检测的第一环节，它根据用户请求中携带的UA关键字，与BOT管理中的UA特征库进行比对。如果请求来自某种已知BOT（已知客户端），则按照配置的防护动作处置该请求。 基于互联网开源的UA特征情报，结合网站反爬虫的UA特征库，边缘安全支持10类已知BOT检测。 类型 说明 搜索引擎机器人 搜索引擎利用网络爬虫聚合并索引在线内容（如网页、图像及其他类型的文件），为用户提供实时信息。 网络扫描器 病毒/ 漏洞扫描 器旨在评估和发现网络资产中是否存在病毒或因配置错误、编程缺陷而产生的漏洞。比较典型的扫描器有Nmap、Sqlmap、WPSec等。 网页抓取工具 在网络上流行的爬虫工具或服务，常用于抓取任何网页并提取内容以满足使用者的需求。如Scrapy、pyspider、Prerender等。 网站开发和监控服务机器人 一些公司利用机器人提供服务，帮助Web开发人员监控他们的站点，以确保它们正常运行。这些机器人可以检查链接和域名的可用性、来自不同地理位置的连接和网页加载时间、DNS解析问题及其他一些功能。 商业分析和营销机器人 SEO优化网站或网页在搜索引擎结果中的排序。许多提供SEO服务的公司，同时也利用机器人为用户评估网站内容，提供受众和竞争分析，支撑在线广告的投放和市场营销。 新闻和社交媒体机器人 新闻和社交媒体平台允许用户在线浏览热点资讯、分享想法和互动交流，许多企业的营销策略包括在这些网站上运营页面，与消费者就产品或服务进行互动。一些公司会利用机器人从这些平台中收集数据，用于媒体趋势和产品的洞察，丰富网络体验。 屏幕快照机器人 一些公司利用机器人对外提供网站截图服务。它可以对网站、社交网络上的帖子、新闻、论坛/博客上的帖子等在线内容进行完整的长屏幕截图。 学术和研究机器人 有些大学和公司会使用机器人从各种网站收集数据，用于学术或研究目的，包括参考文献搜索、语义分析、特定类型的搜索引擎等。 RSS提要阅读器 有些大学和公司会使用机器人从各种网站收集数据，用于学术或研究目的，包括参考文献搜索、语义分析、特定类型的搜索引擎等。 网络存档机器人 一些组织会使用机器人定期从网络中爬取并存档有价值的在线信息和内容副本，例如维基百科。这些网络存档服务与搜索引擎非常相似，但是提供的数据并不是最新的，它们的目的主要是用于研究。