安全配置 · waf加速操作教程

![](https://img.kancloud.cn/1f/2e/1f2e9e3e78efebb158eadfdf906f5cd9_1862x895.png) ### CC規則 * 默認規則 - 沒有開啟規則切換且未觸發規則切換時的防cc規則，目前內置的規則有寬松模式，請求頻率，302跳轉，驗證碼，滑動驗證，瀏覽器識別。 **寬松模式**適用幾乎所有場景，不過對于受到大量cc攻擊的時候防御效果差。 **請求頻率**即統計客戶對URL的請求量，默認是限制客戶在10秒內總請求不能超過50個，同一個URL不能超過20個。 **302跳轉**即在給客戶返回真實內容之前，先302跳轉到一個URL驗證，驗證通過（客戶跟隨URL），才給返回真實內容，這種防御是假設CC攻擊軟件不識別302的情況才有效果。 **驗證碼**，是一種最嚴格的防御手動，防御效果最強，不過對用戶體驗影響大 **滑動驗證**通過拖動滑動條來驗證，防御效果也可以，用戶體驗影響比驗證碼損失小 **瀏覽器識別**同樣需要跳轉驗證，不過是需要瀏覽器執行js代碼才能得到跳轉的URL，不需要人工介入。防御效果很好，推薦網站被攻擊時首選使用。 * 規則切換 - 可以根據網站的QPS來動態切換或恢復規則。適用于當網站沒有被攻擊時，使用對用戶影響較低的規則，比如寬松模式，然后當QPS突然增大到一定值時，可以認為可能被cc攻擊了，然后切換到防御更強的規則，比如滑動驗證。這樣可以較好的平衡用戶體驗與網站安全這兩方面。 * API接口防御 - 當默認規則開啟了如瀏覽器識別，滑動驗證，驗證碼等規則時，如果直接調用API，會觸發這些防cc規則，導致訪問API失敗。這時候可以添加例外，設置這些API只采用請求頻率來防CC。 ![](https://img.kancloud.cn/fe/52/fe5226a53b2ecd930333b7bee5b7c1ac_994x692.png) * **URI**API路徑的一部分或全部，多個路徑以逗號分隔，如/api/，則表示路徑中包含/api/的就匹配 \*\*單位時間(秒)\*\*在這個時間統計請求數，如10，表示統計10秒內的請求數 **最大請求數**在上面的時間統計達到這里設置的最大請求數，拉黑訪問的IP ### 屏蔽設置 * 屏蔽透明代理 - 一般指的是網址公開免費的HTTP普通代理 * 屏蔽區域 - 可選擇境外和境內屏蔽，可決定是否包括港澳臺 ### 黑白名單 * 爬蟲白名單 - 像百度，谷歌之類的爬蟲，我們可能需要當開啟防cc模式時，不影響它們繼續索引網站，可以開啟這個功能。 * 黑名單 - 支持單個IP以及掩碼為8,16,24的IP段 * 白名單 - 支持單個IP以及掩碼為8,16,24的IP段 ## 訪問控制 ![](https://img.kancloud.cn/18/3f/183fd595f4af811412e1b92517b8ad19_1514x610.png) * ACL規則 - 用來限制特定的客戶端訪問，比如根據IP，用戶代理對用戶進行限制訪問。acl規則需要預先創建好才能在這里使用。 * 防盜鏈 - 在允許的域名輸入域名后，只允許這些域名引用此網站的資源，或者可以允許空來源。 ## 回源配置 ![](https://img.kancloud.cn/3b/72/3b722c75c0f3162198b6edd3e31577de_1186x400.png) * 回源域名 - 默認為訪問的域名，即客戶通過www.abc.com訪問網站，[回源也使用www.abc.com)，也可以自定義成其它的域名 * Range回源 - abc在緩存資源時，為提高存儲效率會將文件進行切片存儲，并且支持 Range 請求，若請求時攜帶 HTTP 頭部Range: bytes = 0-999，則返回文件的前1000個字節給用戶。開啟 Range 回源配置，若用戶請求的部分文件已過期，CDN 會根據用戶請求進行分片回源，僅拉取用戶需要的部分文件進行緩存，同時返回給用戶；關閉 Range 回源配置，即便用戶請求的是部分文件，CDN 在回源時仍會拉取整個文件，而后進行緩存，并響應給用戶其要求的部分文件。開啟 Range 回源配置能夠有效提高大文件分發效率，提升響應速度，降低源站壓力。 #### 高級配置不懂的可以咨詢客服 ### 壓縮設置可開啟或關閉gzip壓縮，并定義需要壓縮的文件類型 ### Websocket配置開啟后，nginx就可以代理websocket的請求了 ### 錯誤頁面配置支持自定義404和50x頁面 ### 源站請求頭即在回源時，附加一個請求頭回源。系統默認傳X-Real-IP請求頭，值為客戶端的IP給源服務器。也可以設置其它的請求頭，附加客戶IP，如 ![](https://img.kancloud.cn/ca/c1/cac1489936ee670fc42dd4117ec04602_1050x636.png) ### CDN響應頭返回內容給客戶端時，增加一個響應頭 ### URL轉向此URL轉向功能使用的是Nginx的rewrite模塊，更詳情的說明參考[http://nginx.org/en/docs/http/ngx\_http\_rewrite\_module.html#rewrite](http://nginx.org/en/docs/http/ngx_http_rewrite_module.html#rewrite) * 域名端口 - 匹配指定的域名和端口轉向。輸入.\*時，匹配所有的域名和端口；輸入www.abc.com時，匹配這個域名（不限端口）; 輸入www.abc.com:8080時，只轉向當域名為www.abc.com且端口為8080的情況; 也支持多個域名，用|分隔，[如www.abc.com|abc.com](http://xn--www-eo8e.abc.com%7Cabccom/)，匹配這兩個域名（不限端口）。 * 匹配 - 匹配的URL * 轉向到 - 跳轉到的URL