應用場景

• 快速構建嚴格的防護模式
• 重大活動安全保障
• 安全性評估

前提條件

• 已經訂購邊緣安全加速平臺-安全與加速服務，若未訂購，請參見服務開通。
• 在控制臺新增域名，請參見添加服務域名。

建議防護配置

1.漏洞掃描

在(zai)安全(quan)與加速工作(zuo)臺，進入“安全(quan)>>安全(quan)能力>>網站風(feng)險監測(ce)>>快速配(pei)置監測(ce)任務(wu)”頁(ye)面，快速為域名完成一次漏洞體檢(jian)。

2.防護策略

設置規則引擎防護

規則(ze)(ze)防(fang)(fang)護引(yin)(yin)擎使用基于正則(ze)(ze)的(de)規則(ze)(ze)防(fang)(fang)護引(yin)(yin)擎和基于機(ji)器學習的(de) AI 防(fang)(fang)護引(yin)(yin)擎，進(jin)行 Web 漏洞和未知威脅防(fang)(fang)護。

• 支持針對網站提供通過內置和定制化的防護策略。防范應用接口面對的 SQL 注入、命令注入、XSS等攻擊，利用語義分析能力在一定程度上解決反序列化的已知與未知漏洞攻擊行為。
• 支持規則模板配置（安全基礎配置—漏洞防護配置），用戶可根據實際業務需要選擇適合的模板，同時提供基于指定域名 URL 和規則 ID 白名單處置策略，進行誤報處理。

建議配置如下：

1.開啟【Web防護開關】

2.進入【防護規則引(yin)擎】配置頁面，【防護模式】置為攔截，選擇【敏感防護規則集】。

敏感(gan)防護(hu)規(gui)(gui)則集包括跨站(zhan)腳本、數據庫(ku)注(zhu)(zhu)入(ru)、命(ming)令注(zhu)(zhu)入(ru)、木馬文件、框(kuang)架漏洞等7大類的防護(hu)規(gui)(gui)則。此規(gui)(gui)則集防護(hu)的等級較為(wei)嚴格(ge)，容易誤報的規(gui)(gui)則處理動(dong)作(zuo)為(wei)告警(jing)，其他規(gui)(gui)則處理動(dong)作(zuo)為(wei)攔(lan)截，存在一(yi)定誤報可能性。

設置攻擊挑戰防護

攻(gong)擊挑(tiao)戰(zhan)支持自動阻(zu)斷在短時(shi)間內發起多(duo)次 Web 攻(gong)擊（規則引擎觸(chu)發）的客戶端 IP，可以快(kuai)速應(ying)對高頻Web 攻(gong)擊威脅(xie)等行為，提升攻(gong)防對抗(kang)效率。

1.進入【Web防護】-【攻(gong)擊挑戰】配(pei)置頁面，建(jian)議(yi)配(pei)置如(ru)下：

設置訪問控制策略

1.建議在(zai)攻防演練期(qi)間，如果您的網站業務沒有(you)來(lai)自非中國內地的請求，建議封禁。

2.如果您的(de)網站業務只(zhi)有Get、Post、Head類型的(de)請(qing)求，建(jian)議(yi)封禁除Get、Post、Head以(yi)外(wai)的(de)請(qing)求。

設置頻率控制策略

通過配置IP、URL、ARGS、HEADER、COOKIE、UA、CI等(deng)粒度，進(jin)行訪問次數限(xian)制，防止客戶資源被過度消耗。

通過配置頻率控制(zhi)能夠實(shi)現客(ke)戶端IP訪問域名首頁次數限(xian)制(zhi)：

• 對于客戶端IP，如果1分鐘訪問網站首頁超過20次，則對此IP進行10分鐘的攔截。
• 對于客戶端IP，如果1分鐘進行非Post請求超過200次，則對此IP進行10分鐘的攔截。
• 對于客戶端IP，如果1分鐘進行Post請求超過200次，則對此IP進行10分鐘的攔截。