当今时代数字化经济蓬勃发展人们的生活逐渐便利,类似线上购物、线上娱乐、线上会议等数字化的服务如雨后春笋般在全国遍地生长,在人们享受这些服务的同时也面临着各式各样的挑战,如网络数据会不稳定、个人隐私容易暴露、资产信息会被攻击等。像传统的网站如果不加以防护在遭受ddos后,基本网站全会崩掉。讲个玩笑有位朋友搭建的网站因为网站防护做的到位再遭受攻击者的ddos后,一夜之前损失1万大洋,成为我们饭后谈资,哈哈。
在此背景之下,2022年腾讯推出自研的安全防护技术Tencent Cloud EdgeOne ,其集成了安全防护、性能加速及相关技术的边缘一体化服务平台,将多个加速(全球部署大量边缘节点供访问)和安全(整合了腾讯20多年积累的安全防护产品),其官方网址:地址:
接下来博主这里对该防护技术进行一个简单的购买搭建流程以及实操使用介绍,如果大家有这方面的兴趣或者需求的话,欢迎继续往下看:
目录
EdgeOne购买搭建
EdgeOne基本使用
安全防护详细操作
DDoS防护
防护例外规则
CC攻击防护
速率限制
自定义页面
托管规则
最后总结
EdgeOne购买搭建
在腾讯云提供的Tencent Cloud EdgeOne服务中有四种选项进行选择,应用不同人群使用不同的服务,每个服务提供的能力有所不同,这里博主就以基础版为例399一个月,如果是个人开发者选择个人版即可,购买的服务链接:地址:
如果是第一次购买需要绑定相应的站点,这里直接选择绑定即可,地址:
在下面收入自己网站的域名即可:
接下来选择自己购买的套餐服务,勾选同意协议,然后点击下一步即可:
接下来进入到选择加速区域与接入模式,这两种选择分别代表什么意思呢?这里简单讲解一下:
加速区域:主要用于分配服务当前站点的节点资源,选择中国大陆或者全球可用区,只要包含了中国地区,EdgeOne都是要求要对网站域名进行备案的,备案流程这里不再赘述。
接入模式:接入模式分为两种,分别为CNAME 接入模式和NS 接入模式,以下是两者区别
CNAME保留原有的其他服务商,新增子域名时每次都要访问原本域名解析服务器添加记录,通过添加过的记录或文本来验证主域名归属,域名加速要cname去调度EdgeOne边缘节点。
NS修改原本的其他服务商并将其托管至EdgeOne,只需一次去原本域名解析服务器修改DNS服务器,直接修改原本NS服务器到EdgeOne指定地址,直接通过记录指向最近边缘节点。
官方也推荐大家使用NS 接入因为很方便,不过会修改原本的域名解析服务器地址,还是看大家的取舍,博主本人还是希望保留原本的域名解析服务器地址,这里我就拿cname接入模式举例,如下选择全球可用区+CNAME接入模式:
CNAME 模式接入需要验证当前站点的归属权,这里可以通过 DNS 解析验证和文件验证两种方式来进行校验:
选择DNS解析验证的话,需要在你当前的域名解析的其他服务商上面添加应该txt即可,如此站点就以及搭建完成了。
编辑完成之后,就可以进入到EdgeOne的控制台界面,如下图提供了EdgeOne基本的功能:
EdgeOne基本使用
接下来开始正式讲解EdgeOne的基本操作,我们点击菜单栏中站点列表,可以看到我们配置的域名以及选择的接入方式和选择的套餐,我们也可以停用或删除当前的域名站点,然后点击左上角新增站点进行个网站的切换,进行安全防护。当我们要选择自己要操作的网站,可以点击相应的域名进入:
点击域名进行跳转到如下详细界面,里面记载了EdgeOne所有的操作:
添加域名:点击域名管理处添加相应的域名,这里添加要加速的域名。根据提示要解析cname,解析完成后等待一段时间就可以正常加速啦。
进入到添加域名后,根据右侧的配置提示按照自己的需求进行添加域名:
当然也可以直接选择快速添加,简单粗暴一点:
配置完成得到如下界面即可完成域名添加:
配置免费证书:当我们添加完域名之后,HTTPS证书记得要进行申请一下,不然当我们访问url的时候会提示我们当前网站不安全。如果您当前网站还未购买 HTTPS 证书,且加速域名不包含泛域名,可申请使用免费证书来测试支持 HTTPS 访问。
HTTPS证书的作用是确保网站和用户之间的数据传输过程中的安全性和私密性。它通过使用SSL/TLS加密技术,对网站和用户之间传输的数据进行加密,防止被恶意第三方窃取或篡改。所以我们还是要配置一下的,如下申请免费证书即可:
配置完成稍等一会系统部署,然后可以看到下面已经配置成功,证书有效期为3个月,到期前平台将自动为您申请续期,无需您手动更新。如果您当前是 NS 接入,切换至 CNAME 接入后,申请的泛域名证书到期后将无法自动续期。
如果域名是 CNAME 接入,您还需要完成 CNAME 配置并等待 CNAME 状态生效,才可以为该域名申请免费 SSL 证书。接下来我们就可以对我们设置的域名或者子域名进行如下的安全防护,保障我们网站的安全了。
安全防护详细操作
EdgeOne中提供了很多安全防护的机制,如下图所示,接下来着重讲解一下博主常用的安全防护规则:
DDoS防护
DDoS也称是指分布式拒绝服务攻击,是一种通过利用多台计算机联合发起攻击,使目标系统过载从而无法提供正常服务的网络攻击方式。在DDoS攻击中,攻击者通常通过控制大量的僵尸主机向目标服务器发送大量请求,导致目标服务器超负荷运行,无法正常响应合法用户的请求,从而使目标系统服务不可用。
在我购买的基础版本套餐中,平台是有默认给出的DDoS安全防护的功能的,当然购买企业套餐会有自定义 DDoS 策略配置,在这里就不再赘述了:
这里对我们目前的网站做一个简单的测试吧,这里通过kail工具安装相关的ddos工具进行测试,首先通过nmap检测我目前网站的开放端口,然后接下来通过ddos根据输入攻击地址及其端口号进行ddos压力测试:
开始攻击之后就会频繁的向我的网站80端口发送数据包请求:
而EdgeOne是有默认ddos防护服务的,所以在经受开启过EdgeOne的网站,对大部分的普通ddos服务攻击还是有一定的防护作用:
当我执行了上面的ddos攻击之后,服务还是基本秒加载的状态,基本没啥影响,也可能是我ddos的水平太菜了,哈哈。
防护例外规则
EdgeOne提供的用于对特定的请求或条件进行排除,使其不会经过指定的防护规则进行处理
通过设置防护例外规则,可以灵活地控制哪些请求不需要被应用特定的防护规则,以避免误拦截合法请求或确保特定请求的正常处理。
啥意思呢?比如说我的网站是一个购物平台,网站用户购买请求量就是大啊,你不能因为购买的人数太多就以为是ddos从而把我的购买请求给ban了吧,所以还是要设置特定的例外规则,防止我误杀正确且合理的请求。
CC攻击防护
CC攻击是指针对网络服务器的HTTP Flood攻击,即利用HTTP请求对服务器进行DDoS攻击,如下可以编辑CC攻击的防护规则,对于高频的网站数据请求,可以限制等级和处置方式,如下图所示:
对于处置方式,前两者顾名思义,没啥好解释的,对于不清楚第三个的这里博主解释一下:
JavaScript挑战:
一种基于JavaScript的验证机制,在CC攻击中被用来识别和过滤恶意流量。当服务器受到大量HTTP请求时,通过引入JavaScript挑战,服务器可以向客户端发送需要执行JavaScript代码才能通过的验证页面。这样做的目的是让正常的用户端浏览器可以执行JavaScript代码并完成验证,而对于恶意流量来说,由于缺乏JavaScript环境或无法执行JavaScript代码,因此难以通过验证,从而被服务器识别并拦截。这种方法可以有效减轻CC攻击对服务器的影响,提高服务器的防御能力。
这个功能就是对上面讲解的再遭受ddos攻击之后,我们应该如何处理的问题,这里提供的三个选项,拦截或者JS挑战都可以,自己测试的话可以选择观察选项。
速率限制
在很多场景中,我们都知道如果一个网站不对速率加以限制的话,很容易被非法分子利用,通过故事我来讲解一下,没有速率限制的危害:
我是一个攻击者,今天闲来无事发现了一个网站后台,测试了一下网站防护做的很垃,竟然没有做速率限制,通过社工尽可能找到该网站主人的信息,并根据这些信息制作一个爆破字典,对网站登录的账户和里面进行爆破,因为没有做速率限制,我可以一秒钟请求上百次登录请求,由于网站作者的疏忽大意,网站登录账号密码很简单,不超过一分钟我就拿到了真实的登录账号密码,弱口令而已,so easy。
而现在的我由于拥有了EdgeOne安全防护,我对登录请求页面做了如下的限制,当请求次数超过5次没有登录成功,我会让你冷静15分钟,限制你不断尝试登录请求,这样做是不是大大加强了我网站的安全性。
ok,设置匹配我们登录页面的路径之后,回到我们网站的登录框,在外面不断的发起请求的时候,给出如下的提示,做的比较简陋,大致就是这个意思,这里的应用场景大部分出现在登录银行卡密码的时候,如果多次登录未成功就是对其登录请求进行拦截,10分钟后在进行登录:
这里也可以对多个路径进行设置规则,后期然后根据自己的需求点击配置修改即可。
自定义页面
这是我对edgeone最喜欢的一个功能,支持自己定制化,当时看到这个界面我简直了,瞬间被这几个字吸引住,返回指定的内容和状态码,这不就支持自己的自定义内容嘛。
进入该页面然后可以给自己的服务器写一个页面用来作为拦截后的显示界面,注意这里页面要有提示的相关字段,否则会不可以通过。
这里edgeone也非常人性化,支持文件页面的上传,后面是添加自定义界面的内容:
托管规则
托管规则给网站提供全面且实时的漏洞攻击防护,涵盖OWASP TOP 10 中常见漏洞和攻击类型,如 SQL 注入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等。下面我们可以给这些防护进行一个等级的限制:
当网站数据出现异常的时候我们可以回到我们的安全分析界面来查看当前的拦截情况:
当然Edge除了提供安全防护的功能之后,还给出了一些额外的附件功能,像给网站提速、测速工具、诊断工具等一些具有价值的功能,大大加强了用户对当前网站情况的掌控,根据出现的不同情况,应对不同的解决措施,很不错呀,这里的功能就不在具体演示了,大家可自行操作:
最后总结
使用体验:本次对EdgeOne的使用体验,总体观感还是不错,如果让我总结其核心的优势是什么的话,我会总结如下几点对EdgeOne加以概述:
1)多场景的站点加速:无论用户是对web页面数据的需求,还是搞游戏实时对战的数据传输,智能加速这一点就完美解决了数据加载缓慢的问题。
2)多层次的安全防护:这一点是EdgeOne的重中之重,也是最核心的优势,保护了用户的立身之本才是最重要的。
3)多运维的控制界面:从上文的介绍来看,EdgeOne提供统一的控制台,可以高效的管理和配置产品,极大节省用户的配置和运维的时间。
4)多流量的预算管理:这个完完全全就是站在用户的角度考虑,EdgeOne计费均为干净流量,不会产生非预期的账单,方便企业进行预算管理,对比以往解决方案,大额攻击可能会带来非预期的账单,导致企业成本压力。
总之 Tencent Cloud EdgeOne 是腾讯云提供的边缘计算服务,通过全球化的边缘节点部署和智能调度技术,为用户提供低延迟、高性能的边缘计算能力,适用于各种需要快速响应和低延迟的应用场景。如果是纯个人开发者的话,基础版的安全防护已经完全足够了,企业级可能会根据注重安全性能的追求,根据自身的情况需求选择不同的产品内容即可。
随着5G、物联网、智能制造等领域的不断发展,EdgeOne 将成为连接人与人、人与物、物与物的重要桥梁,为实现数字化转型和智能化发展贡献更多力量。当谈及 EdgeOne,我们不仅是在谈论一项技术革新,更是在探讨着连接世界的无限可能。EdgeOne作为腾讯云的边缘计算产品,为用户带来了前所未有的便利和效率,同时也开启了数字化时代全新的篇章。在未来,我们可以期待 EdgeOne 在边缘计算领域继续发挥引领作用,为全球用户提供更广泛、更强大的边缘计算服务。如果你也有网站防护需求的话,可以随时去尝试一下。
两三百元钱就可以体验到像CC/WAF/速率限制这种高级安全能力,相当可以了,还可以证书自动续期部署,EdgeOne这个产品很良心了,感兴趣的朋友可以点击链接了解详情:地址 。
