检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
通过配置业务Cookie和System ID限制恶意抢购 本文适用于通过配置业务Cookie和System ID限制恶意抢购或恶意下载等场景。 业务场景 场景一:限制同一个账号切换IP、终端的恶意请求(抢购、下载等)。 防护措施:使用业务Cookie(或者用户id)基于路径配置CC限速 场景
如何获取边缘安全中访问者真实IP? 网站接入边缘安全后,边缘安全作为一个反向代理存在于客户端和服务器之间,服务器的真实IP被隐藏起来,Web访问者只能看到边缘安全的IP地址。 通常情况下,网站访问并不是简单地从用户的浏览器直达服务器,中间可能部署有CDN、EdgeSec、高防。例如,采用这样的架构:“用户
HWEdgeSecSESID:会话ID;HWEdgeSecSESTIME:会议时间戳;这两个字段用于标记请求,如CC防护规则中用户计数。 防护域名/IP接入边缘安全后,边缘安全会在客户请求Cookie中插入HWEdgeSecSESID(会话ID),HWEdgeSecSESTIME
com”发起HTTP Post请求,网站并无较大的负载能力,网站连接数、带宽等资源均被该攻击者大量占用,正常用户无法访问网站,最终竞争力急剧下降。 防护措施 根据服务访问请求统计,判断网站是否有大量同一IP请求发生,如果有则说明网站很有可能遭受了CC攻击。 登录EdgeSec服务控制台。 在左侧导航栏选择“安全防护
配置全局白名单规则忽略误报 当EdgeSec根据您配置的Web基础防护规则或自定义规则检测到符合规则的恶意攻击时,会按照规则中的防护动作对攻击事件进行处理。 对于误报情况,您可以添加白名单对误报进行忽略,对某些规则ID或者事件类别进行忽略设置(例如,某URL不进行XSS的检查,可设置屏蔽规则,屏蔽XSS检查)。
Access Management,简称IAM),通过IAM,您可以: 根据企业的业务组织,在您的华为账号中,给企业中不同职能部门的员工创建IAM用户,让员工拥有唯一安全凭证,并使用EdgeSec资源。 根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。 将Edg
事件相关的恶意链接、字符等,则您可以通过设置URL和规则ID的忽略(Web基础防护规则)、删除或关闭对应的防护规则(自定义防护规则),屏蔽该攻击事件。将攻击事件处理为误报事件后,“防护事件”页面中将不再出现该攻击事件。 根据内置的Web基础防护规则和网站反爬虫的特征反爬虫,以及自
单击,可选择防护事件列表展示的字段。 单击规则ID,可以跳转到对应的防护策略界面。 在目标事件的“操作”列单击“详情”,可查看目标域名攻击事件详情。 表1 防护事件列表参数说明 参数 说明 事件ID 标识该防护事件的ID。 策略ID 标识该防护策略的ID。 规则ID 防护规则的ID。 源IP Web访问者的公网IP地址(攻击者IP地址)。
边缘安全服务内置的防护规则,可帮助您防范常见的Web应用攻击,包括XSS攻击、SQL注入、爬虫检测、Webshell检测等。同时,您也可以根据自己网站防护的需要,灵活配置防护规则,边缘安全根据您配置的防护规则更好地防护您的网站业务。边缘安全引擎内置防护规则的检测流程如图 引擎检测图所示,自定义规则的检测顺序如图2所示。
L命令注入到数据库的查询字符串中,最终达到欺骗服务器执行恶意SQL命令的目的。例如,可以从数据库获取敏感信息,或者利用数据库的特性执行添加用户、导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注
hostId string 域名id - enterpriseProjectId string 企业项目id - projectId string 租户所在region的项目id - siteSn string 站点名 - rule string 规则id - ruleName sting
当流量/带宽达到阈值时,自动暂停CDN加速,避免持续消耗。 封顶指标配置 带宽封顶:统计加速域名消耗的5分钟粒度的带宽用量,根据业务情况设置对应的带宽上限。 流量封顶:统计加速域名在指定周期内消耗的流量,根据业务情况设置对应的流量上限。 操作步骤 参考文档:用量封顶配置 父主题: 封顶限速
Params:请求参数。 Cookie:根据Cookie区分的Web访问者。 Header:自定义HTTP首部。 Form:表单参数。 “屏蔽字段”为“Params”时,屏蔽字段名请根据实际使用需求设置,如果设置为“id”,设置后,与“id”匹配的内容将被屏蔽。 “屏蔽字段”为“
配置样例 IP标记 客户端最原始的IP地址的HTTP请求头字段。 该字段用于获取客户端的真实IP地址,可自定义字段名且支持配置多个字段(多个字段名以英文逗号隔开),配置后,EdgeSec优先从配置的字段中获取客户端真实IP(配置多个字段时,EdgeSec从左到右依次读取)。 注意:
已知Bot:针对网上公布的主流搜索引擎、扫描器等UA(User Agent)特征识别BOT。 透明检测:请求特征检测,根据请求协议的固定信息所做的检测,查看请求头字段是否有异常。 行为分析检测:根据AI行为算法检测请求是否有异常。 图2 Bot攻击趋势图表 (可选)分别单击三个趋势图表右侧的横向选
数据完整性校验 EdgeSec进程启动时,配置数据从配置中心获取而非直接读取本地文件。 数据隔离机制 租户区与管理面隔离,租户的所有操作权限隔离,不同租户间的策略、日志等数据隔离。 数据销毁机制 考虑到残留数据导致的信息泄露问题,华为云根据客户等级设定了不同的保留期时长,保留期到期仍未续订
图1 网站列表 在“Web基础防护”配置框中,用户可根据自己的需要参照表1更改Web基础防护的“状态”。 表1 防护动作参数说明 参数 说明 状态 Web应用防护攻击的状态。 :开启状态。 :关闭状态。 在右侧“防护配置”页签,根据您的业务场景,开启合适的防护功能,检测项说明如表2所示。
CC攻击防御 简介 基于IP限速的配置 基于Cookie字段的配置 通过配置业务Cookie和System ID限制恶意抢购
内容:输入或者选择条件匹配的内容。 “路径”包含“/admin/” 限速模式 源IP:根据IP区分单个Web访问者。 源IP C段:根据IP C段区分单个Web访问者。 Cookie:根据Cookie区分单个Web访问者。 Header:根据需要防护的自定义HTTP首部区分单个Web访问者。 源IP C段内IP个数阈
特征,配置防护策略。 日志及报表获取 统计报表:控制台查看热门URL、IP、User-Agent、Referer,识别异常访问。参考文档:查看统计报表 离线日志:筛选流量突发时段日志(30天内),适合事后分析,识别异常访问。参考文档:离线日志获取 实时日志:实时分析,快速响应攻击。参考文档:实时日志获取
