酷盾安全
酷盾安全SCDN配置SSL证书之后,如果访问提示证书问题,建议检查【域名管理】中以下几个问题:
1、【Https配置】证书是否上传状态显示配置成功,并打开HTTPS监听
2、【修改配置】-监听端口设置-开启Https设置
3、源站没有配置SSL证书或源站服务器443端口未放行
以下为常见状态,可根据报错请详细排查以下步骤。
检查以下项目后,如仍然有问题,联系技术协助处理。
- 您访问的域名在平台的套餐包已过期(套餐到期,控制台续费即可恢复);
- 您访问的域名在平台上所绑定的套餐包流量已耗尽(套餐内含流量或流量包使用完毕,新增流量包或升级套餐);
- 您访问的域名在平台上未配置或者未生效(您访问的端口在平台上未正确开启,请检查HTTPS或者HTTPS端口监听是否正确开启);
- 您访问的域名未正确配置SSL(证书管理添加对应证书即可,如域名没有HTTPS证书可不添加);
- 您访问的域名在平台上已锁定(涉及违规等内容,请联系管理员排查);
- 您访问的域名提示套餐连接数超限(通常情况下,为攻击较大导致的,解决方案为:升级套餐,或等防火墙清洗下去);
1:常见状态码
502
源站开启了防火墙,拦截了酷盾安全SCDN节点,导致回源阻断,请检查是否为防火墙拦截。
504
源站相应超时,回源时间过长导致返回504,注重检查服务器是否运行正常。
404
文件找不到,此类状态码非SCDN返回,源站直接返回,请检查源站。
499
源站客户端异常断开,请检查业务情况,通常情况下为高并发的时候常出现。
403
酷盾SCDN这边常出现于ALC规则设置错误导致,除这个外,请检查源站环境是否正常。
进阶配置之屏蔽海外教程:
在防护效果不佳的情况下,如没有海外用户,可直接把除中国以外的地区全部屏蔽,可减少80%的攻击力度。酷盾安全 SCDN支持一键屏蔽海外功能具体步骤如下:
1. 初级设置
进入 SCDN 控制台,选择站点管理》我的域名,在【功能配置】界面,选择「域名管理」模块,点击进去找到【WEB防护】,如图所示(滑到下面找到屏蔽设置):
如图中所示,可以点击选择每个大洲国家进行屏蔽,也可以选择旁边的一键配置,选择好了后,记得保存哦。
也可以,点击大洲按钮,屏蔽指定的大洲,具体看需求处理。
2. 高级精准自定义规则
在同一个页面【CC防护设置】滑到最上面可以看到下面的操作图,点击【自定义规则》新增条件】即可看到当前页面。
上面的教程只是封禁海外的,如果我想屏蔽某个省呢?那么就看下面操作:
2.1 高级精准自定义规则之省内屏蔽
选择条件后,比如我要封禁云南省,那么如图操作即可(执行处理选择拉黑哦)。
点击确定
其他的高级进阶WAF可以看本篇教程:自定义WAF
1. 黑名单IP解封
酷盾安全WAF拦截后,如何查看以及解封,具体步骤如下:
进入 CDN 控制台,点击网站管理》统计分析》黑名单IP,可查看当前账号名下域名的拦截状态详细报表。
如查询到误拦截,可点击解封操作,也可以直接点击全部释放(高频攻击下,不建议操作全部释放)。
勾选要解除的黑名单IP,然后点击解锁所选IP。如需要解除全部的IP,建议点击使用【解锁指定网站】然后输入网站ID,这样可一次性解锁全部黑名单IP,否则勾选大量的IP解锁会非常慢,而且有解锁次数限制。如图操作:
酷盾安全基于3.0版本迭代研发全新打造4.0 AI智能防护引擎,具有防护CC以及DDOS等异常攻击能力,多规则,多组合条件,基于前三代产品具有更多的优势。
酷盾安全SCDN是针对中小型企业安全国内防护而推出的高防SCDN内容分发平台,具有防注入,集分布式 DDoS 防护、CC 防护、WAF 防护、BOT 行为分析为一体的安全加速解决方案的SCDN加速+防护一体化产品,助力企业更好的发展,稳定安全上云。
1. 封禁统计
酷盾安全WAF拦截后,如何查看以及解封,具体步骤如下:
进入 CDN 控制台,点击网站管理》统计分析》黑名单IP,可查看当前账号名下域名的拦截状态详细报表。
如查询到误拦截,可点击解封操作,也可以直接点击全部释放(高频攻击下,不建议操作全部释放)。
公共规则不一定适合所有类型站点,推荐采用自定义模式,具体步骤如下:如某API需单独设置防护,或者放行等规则。
1.精准访问控制
进入 CDN 控制台,选择站点管理》我的域名,在【功能配置】界面,选择「域名管理」模块,点击进去【精准访问控制】选择自定义规则,如图所示:
2.添加自定义WAF规则
选择后,点击【新增】如图所示
选择匹配类型,匹配目标,单次一条匹配值。
比如设置IP地址类型
匹配值输入IP地址,执行过滤拉黑等操作。
2.1 匹配器
IP地址:常用于IP地址加白或者拉黑处理。常用于IP地址加白或者拉黑处理。
IP地址:比如指定某条域名,执行某个规则。单独控制。
URL:某条URL加白,或者特定拦截。【例如(https://demo.com/pay/)后面的pay我们要放行,那么直接输入/pay/这种匹配即可,关系可以选等于,或者包含都可以】。
URL:某条URL加白,或者特定拦截【不带参数:列入某些URL后面带有?等参数】。
请求类型:支持常见的POST/GET/HEAD/DELETE/CONNECT/OPTION/TRACE;识别处理,拦截或放行。
浏览器User-Agent:加白或拉黑特定UA识别。
请求来源:比如来自某条URL访问的访客,例如:http://demo.kdun.cn/456.html。
国家代码:例如中国:CN,拉黑或者放行,可参考:https://www.kdun.cn/docs/201.html
2.2 操作符
选择匹配器后,随即需要配合操作符参数如图所示
等于:即与匹配值完全匹配条件才成立,例如某个IP地址,匹配后才会执行。
不等于:参考等于讲解。
包含:要匹配的值包含有匹配值条件就成立,如请求URI为/index.php,匹配值为php的,条件成立,规则执行。
不包含:参考包含讲解。
前缀匹配:即从前面开始匹配,如请求URI为/api/index,当匹配值为/api时,条件成立,值为index时,必须为/api,否者条件不成立。
后缀匹配:即从尾部开始匹配,如请求URI为/api/index,当匹配值为index时,条件成立,匹配值为/api时,必须为/index,否者条件不成立
正则匹配:如^/[0-9]+,即匹配以/开头,后面接数字的URI。
3. WAF案列展示
某WordPress站点,日访问量平时只有几千PV,接入酷盾SCDN之前突发上万,不正常流量,经技术初步判断是有异常采集,以及恶意刷URL行为,并有少量CC攻击。
以下规则,可进行参考。
4. WAF拦截效果
具有防刷,防下载,放注入等功能。更多功能等你来体验。
如果成功接入后、则可进行WAF防火墙的配置规则酷盾安全SCDN具有防CC防DDOS功能,具体步骤如下:
1.精准访问控制
进入 SCDN 控制台,选择站点管理》我的域名,在【功能配置】界面,选择「WEB防护」模块,点击进去【编辑】,如图所示:
如图所示以下为默认规则。
具体详解看下面介绍
2.公共WAF讲解
①通用模式
适合大部分站点的规则,但不一定适合全部;
②无感验证
浏览器模式的验证,无触发盾验证,攻击大扛不住。
③五秒盾
5秒验证模式,验证即自动通过。
④滑动验证
滑块模式,拖动即可验证。
⑤点击验证
点击跳转的WAF验证方式;
⑥验证码
验证码模式,输入验证符合即通过。(此WAF规则,CC防护效果最佳)。
⑦旋转图片
旋转图片,拖动到正确位置,即验证通过。(此WAF规则,CC防护效果最佳)。
⑧关闭WAF
所有WAF规则全部关闭。【谨慎关闭,关闭后,受到攻击会直接瘫痪】
3.屏蔽海外
当站点攻击后,可进行海外屏蔽【根据大数据统计攻击大部分来自海外,屏蔽后,可大大降低攻击压力】具体操作如下:
可一键选择屏蔽,如:境外(包括港澳台);境外(不包括港澳台);境内(包括港澳台);境内(不包括港澳台)
本文具体讲解批量管理,适合站点批量管理(多域名)实现全局初始批量控制,具体步骤如下:
1.网站设置
进入 SCDN 控制台,选择管理》批量管理,在【功能配置】界面,选择「网站设置」模块,点击进去【新建设置项】,如图所示:
- 生效范围 - 可选全局或根据网站分组。
-
- 当设置为全局,意味着后续站点添加的都初始这样设置。
- 如根据网站分组,所在分组才会生效,具体看需求设置。
-
2.证书管理
以下证书设置,仅用于配置了,DNS API的初始设置,如根据证书品牌设置后,后续站点的证书申请,都采用这个品牌,具体DNS API设置可参考:证书配置
什么是ACL?ACL的全称是 Access Control List (访问控制列表) 是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。
1. ACL规则设置
酷盾安全ACL规则是对客户访问控制的规则,当客户请求匹配规则时,会返回403。ACL与WAF过滤类似,只是ACL没有过滤器(不会进行拦截),而是直接匹配后执行相应的行为,允许或拒绝。
具体路径:网站管理》ALC管理》新增
如图所示
- 默认行为 - 可选允许或拒绝,当所有规则没有匹配时,执行默认行为。
- 规则列表 - 按顺序一条条匹配,直到匹配才中止,没有匹配就执行默认行为。
注:上面可能不是很清楚,如默认规则,你设置拒绝后,当你应用到网站是,所有人都是默认拒绝访问【也就是说,上面规则都要设置到允许,除特殊情况设置为拒绝】。
ACL规则的匹配项和操作符跟自定义WAF规则的基本一样,具体说明请参考:自定义WAF
规则支持设置多个匹配项,当设置多个匹配项时,只有所有匹配项匹配成功,这个规则才算匹配。
2. ACL规则应用
上面规则设置后,需要到站点进行应用,才会执行规则。
具体路径:网站管理》我的网站》选择具体域名管理》业务安全》ACL规则
如图所示,设置后,选择对应规则应用,记得保存哦。
当您的资源内容缓存至 EdgeSCDN 边缘节点后,在缓存有效期内,用户在访问该资源时,将直接由 EdgeSCDN 边缘节点响应,不会触发回源。如果此时您的源站更新了资源内容,为了避免用户仍然访问到旧的资源文件,可以通过清除缓存来手动清除所有边缘节点内已缓存的资源。缓存被清除后,用户在访问资源时, EdgeSCDN 将回源获取最新的资源以进行响应。
SCDN之缓存规则,减少回源时间,通过SCDN缓存节点分发,加快资源获取速度,从而提升站点访问速度。
具体步骤如下:
1. 缓存配置
进入 SCDN 控制台,点击域名管理》我的域名,在【功能配置】界面,选择「缓存配置」模块,点击进入,找到高级缓存配置,如图所示:
常见静态资源推荐全部选择,但少数后缀不推荐缓存,比如:php;jsp;asp;aspx;js;xml;等动态文件,因需实时请求,不建议缓存,否则会造成不必要的影响。
2. 名词讲解
酷盾安全SCDN支持三种模式缓存,
如下:
① 后缀名
以后缀名方式匹配【多个以|分割】,适合针对一些静态资源缓存,比如图片,js,css等等,缓存内容格式参考如下:
css|js|jpg|jpeg|gif|ico|png|bmp|pict|csv|doc|pdf|pls|ppt|tif|tiff|eps|ejs|swf|midi|mid|ttf|eot|woff|otf|svg|svgz|webp|docx|xlsx|xls|pptx|ps|class|jar
注:上述缓存规则适用于大多数常规网站,如您的网站是使用的类似vue框架,需要使用js或css参与前端数据调用,可去除上述缓存内容中的js和css。
② 目录
目录类型缓存适合整个目录的内容缓存,如网站文章类目录:https://www.kdun.cn/ask/567.html,缓存内容格式参考如下:
/ask/|/about/|/cdn/上述缓存规则中的news、about、cdn可替换成自己的网站对应的目录,如需要缓存更多的目录可使用|间隔开。
③ 全路径
全路径类型缓存适合某几个特定的页面缓存,需要匹配网站全部路径规则才会触发缓存,如某一篇文章:https://www.kdun.cn/news/567.html,缓存格式参考如下:
/news/844.html|/news/845.html上述的缓存规则中的路径为您要缓存的页面全路径,无需填写主域名,多个页面可使用|间隔开。
④ 不缓存
有些网站页面是不需要缓存的,比如网站登陆、注册、用户中心,如果缓存会导致无法注册,会员登陆串号,因此在不清楚的情况下一定不要随意设置缓存,设置缓存仅仅是针对一些静态资源。设置不缓存规则与设置缓存规则类似,不同的便是将有效期设置为0秒,不缓存规则如下
/user/|/register/|/login/对于90%以上的网站,只需要做好第一种类型缓存配置即可,如果对缓存规则熟悉的用户,可尝试根据网站不同页面进行缓存。如后期被缓存的资源需要更新,可前往【网站管理】》【刷新预热】对需要刷新的url或目录进行刷新。