百度云加速ADS防护、WAF防护、IP防火墙等安全防护功能详解

月伴终生

在安全模块，我们将功能分为了四个部分，分别是WAF、IP防火墙、ADS以及安全检测，接下来我们将分别进行讲解。

WAF篇

WAF（Web Application Firewall）网站应用防火墙，简单点讲，就是保护您网站避免被入侵的一套防火墙系统。云加速的防火墙规则由国内顶尖的云加速安全团队制定，能防御市面上超过99%常见的SQL注入、XSS、Web服务器漏洞、应用程序漏洞以及文件访问控制等等系列的渗透攻击，有效的避免您的网站遭到入侵。

下面为WAF选择展开后的功能界面：

• Web应用防火墙开关 关闭后WAF功能将失效。
• 高级定制 点开后会发现整个WAF规则划分成了一个个模块，网站有特殊功能的用户可以自行选择使用哪些模块。
  

凡是出现验证码页面的拦截是基础规则拦截，基础规则在关闭WAF功能开关后依然是有效的，只能通过加IP白名单的方式解决。

• 安全验证有效期 很多功能都存在安全验证，在最终用户完成安全验证后的多久以内我们认为是安全的？这里需要配置有效期，如下图，多个时间可以选择：
  

• 浏览器检查 存在非浏览器请求方式的小伙伴请注意了，如果您网站有非浏览器请求，请关闭该功能。
  

  访问出现浏览器检查的5秒页面，是因为您开启了ADS中CC防护的强力防护级别，在这个级别会对每一次请求进行识别，如果您不需要功能，请将CC防护调整到其他级别即可。

• 邮件地址混淆 开启该功能后，在您网页上所留的邮箱可以避免被爬虫扫描识别。
• 防盗链 开启后，您网站上的图片资源被盗链后，引用位置会出现403的显示。开启防盗链功能后，如果有部分网站是您许可链接的，那么白名单中添加域名即可。
  

通过以上的介绍，您现在也许已经了解云加速的全部WAF功能了。

IP防火墙篇

自定义IP防护策略，个性化安全服务。通过添加IP黑名单、IP白名单、强力防护名单，您可以对来自特定IP或IP段的请求进行拦截、放行或强力防护，从而实现IP级别的防护策略。

IP防火墙如下图，具有以下几个功能和特点

• IP黑名单 可以禁止哪些IP来访问您的网站，目前支持B段和C段的IP防护，且支持输入0/24、0/16 进行网段屏蔽，被屏蔽后的用户访问会报1006-1008错误，如下图。
  

• IP白名单 有两种情况需要添加白名单，第一种是部分用户会通过云加速对网站进行页面修改等高风险操作时，会被云加速给阻断。当您在确认用户操作是合法的情况下，请将他的IP地址加入到IP白名单进行放行；
  

第二种是用户出口IP在互联网上有太多的不良记录，用户的IP如果匹配上了黑名单，那么会弹出验证码框，来确认他是否是恶意扫描以及攻击，如果您认为用户IP是一个正常的访问，也需要加白名单。

下面图列分别是操作拦截以及黑名单拦截：

• 强力防护名单 有一些IP无论从访问频率还是行为都比较可以，但是您又担心误伤，这个功能就是为了解决上述问题而设计的，您可以输入IP或者是网段，只针对您输入的这部分进行强力防护。
  

严格意义来讲这个功能主要是ADS在发挥作用，但是为了用户更直观的操作，我们将他固定到了这里。

ADS篇

ADS 高级攻击防御提供了四到七层的DDoS攻击防护，包括CC、SYN flood、UDP flood等所有DDoS攻击方式， 通过分布式高性能防火墙+精准流量清洗+CC防御+WEB攻击拦截，组合过滤精确识别，有效防御各种类型攻击。

基础防护

• DDoS防护 为域名提供四层的流量攻击防护，具体防护量级和域名的套餐类型相关。目前该功能无法关闭，因为攻击后的系统策略加载需要靠他来完成。
• CC防护 在CC防护上，我们主要是以常驻规则和实时动态规则来进行防御，分为了强力、高、中、低四个等级。
  

  强力防护：建议仅在正在受到CC攻击且防御不佳时开启

  高：系统会对所有2周内产生可疑行为的用户进行选择性拦截

  中：系统会智能识别出可疑请求，并且自动选择合适的认证方式（推荐）

  低：系统会对本次攻击中产生可疑行为的用户进行拦截

  
  

如果在高级别时用户服务器已经超负荷，建议拉到强力模式。强力防护这个等级，会对每一次的访问进行验证，验证有效期由WAF规则中的“安全验证有效期”来进行控制。

整个ADS操作很简单，对于高端用户，建议配合自定义规则来使用。

高级防护

除了基础防护外，云加速还为国内用户提供了更多的高级防护。

• 停用海外节点 停止对该域名分配海外服务节点
• 超级清洗中心 使用企业级云清洗中心服务，更快更稳定，在被攻击情况下开启
• 海外IP防护 一键开启或停止对海外IP的访问启用防护策略
• 设置IP访问频率 设置单个IP的访问频率，超出限制后需通过验证才能继续访问
• 源站保护 设置访问源站频率的阈值，超出后站点全部流量需要通过验证后才能继续访问
• URL黑名单 系统将对已添加的url的访问启用验证
  

安全检测篇

安全检测功能结合百度深度学习技术以及强大的云端计算能力，为用户提供漏洞检测、欺诈挂马监控、 黑客篡改监控等功能，网站安全从这里开始。

常规安全检测

云加速基于大数据平台给用户提供了专业的安全检测服务，包含了主机漏洞、Web漏洞、内容安全和资产扫描。使用安全检测功能能有效的避免来至于源站服务器的风险。

• 功能设置：可以同时开启四项检测服务也可以单开一项。
• 爬虫深度：我们提供了 1 3 5 10 四个爬虫深度进行选择，根据您所选择的档次，爬虫爬去得越深，爬取的文件将会越多。
• 最大抓取量：如果爬虫深度是纵向，那么最大抓取量便是横向控制，我们提供了100、200、300、500、1000、2000 六个档次进行选择。
  

网址安全快速检测

快速检测网站中涉嫌违反相关规定的不安全内容，在清理源站内容前，可一键屏蔽对特定内容的访问快速处理，避免网站被标识为危险网站。

关于安全防护方面的配置大致就是以上这些，大家可以在使用中根据实际情况进行调整