花了36元给我的个人博客上了一道防御

前言

双11活动薅了个羊毛，1折的价格买了一年的EdgeOne，正好可以为我的个人博客站点保驾护航。本文就来看看个人博客接入EdgeOne后的效果，如果也想薅羊毛的，赶紧去双11活动页面，不要错过这次机会。

EdgeOne 介绍

先简单介绍下EdgeOne，EdgeOne被称为下一代的CDN，CDN开发人员都知道，用于缓存网站内容、减少用户等待时间、提供更好的用户访问体验等。“下一代的CDN”怎么理解？我们不妨通过一张图了解一下EdgeOne。

如图所示，EdgeOne 在起到加速网络的同时还提供了多种防护策略，包括DDOS防护、CC防护、WEB安全防护以及BOT安全防护等。

简单来讲，EdgeOne 就是CDN和高仿服务器的结合体。

高仿多贵呀，所以说趁双11活动赶紧薅个羊毛。

个人站点接入 EdgeOne

那废话不多说，赶紧把我的网站接到 EdgeOne 看看效果。

接入注意事项

在接入EdgeOne之前，有两个注意事项：

1. EdgeOne 需要绑定网站域名，且域名需要备案，否则无法接入。如果没有备案可以前往域名备案处，备案时长大概15天。
2. 如果域名不是腾讯云的，需要在域名提供商解析为腾讯云的。

添加站点

在进入EdgeOne控制台后添加一个站点，如下图。

然后根据提示输入你的域名、选择购买的套餐以及接入模式，最后前往云解析DNS添加下图的DNS解析记录进行验证。

添加加速域名

上一步去DNS添加解析记录只是为了验证你的站点和Edge的关系，这一步的添加速域名才是真正将网站接入进来，受到EdgeOne的保护。

站点添加完成后，进入站点添加你的域名

然后根据步骤进行域名配置、DNS解析。

完成以上步骤后，你的站点就可以受到EdgeOne的保护了。

接下来就来看看EdgeOne的防护效果。

EdgeOne 防护效果

作为CDN的EdgeOne，网站加速自然不用说。这里主要验证“新一代CDN”的功能：防护。

EdgeOne 的防护策略是非常丰富的，除了DDoS防护外，我比较关注Web防护有哪些策略，下面列出几个示例。

基础访问管控

EdgeOne提供的基础访问管控就是我们常见的一些防护措施，例如： IP 黑白名单、Referer 黑名单、UA 黑白名单或地域限制等。

如下，我配置了对陕西地区可访问的规则，当我在北京进行访问域名时将会被拦截。

效果如下

精确管控

精确管控也比较好理解，通过精确匹配规则的配置起到防护作用。例如：指定路径仅允许指定用户访问。

如下，我配置了只有内部员工（公司IP）才可以访问管理系统（/admin），当我在其他IP下访问时将会被拦截。

效果如下，可以正常请求其他URL(/)。

CC 防护

CC攻击是DDoS攻击的一种形式，通过大量合法的请求占用服务器资源。那 CC 防护自然是用来对应CC攻击，EdgeOne 提供自适应以及精准速率限制。

自适应控制是默认是开启的，会根据最近 7 天请求速率基线，每 24 小时自动更新。并且会识别请求速率异常的可疑客户端，自动生成处置规则，短时间内限制可疑客户端访问。

如下，我将访问限制等级设置为紧急（40次/10秒），当某一客户端请求超过该限制时就会被拦截。

效果如下

对于特定的场景还可以选择精准速率限制，例如下述场景：

对于撞库和暴力破解攻击的场景中，攻击者通常会频繁地使用访问登录 API 接口尝试获取或破解信息。

通过限制对登录接口的请求频率，可以大幅缓解攻击者的破解尝试，从而有效抵御这类攻击。

如下面的配置中，/login接口允许的访问调用频次为10次/分钟，当超过频次限制后，将封禁该 IP 10分钟。

托管规则管控

托管规则是 EdgeOne 内置的预设防护策略，包括我们常见的 xss跨站脚本攻击防护、SQL注入攻击防护等18个规则以及500+安全防护规则，可以说是涵盖了大部分的Web安全攻击防护，并且还会不断持续更新。

下面，我们看一下最常见XSS攻击防护配置及应用。

XSS攻击防护

XSS攻击是攻击者将恶意脚本注入到用户浏览的网页中，执行其他恶意操作（如重定向用户到钓鱼网站、在用户设备上安装恶意软件等）。

模拟XSS攻击：假设有一个简单的PHP页面，它接受用户输入并显示在页面上，代码如下：

<?php  
$input = $_GET['user_input'];  
echo "Welcome, " . $input . "!";  
?>

在URL中，输入恶意代码：

http://{站点}/testXSS.php?user_input=<script>alert('XSS');</script>

现在将全局观察模式关闭，开启防护。

再次输入URL：

http://{站点}/testXSS.php?user_input=<script>alert('XSS');</script>

就会看到该攻击被拦截。

还有很多防护规则感兴趣的可以去自行体验，这里不再多说明。

总结

接入 EdgeOne 最大的一个感受就是：加速防护一体、全面、简单方便。

通常网站要达到CDN和DDOS等防护效果，最少需要购买2个以上的产品，但是 EdgeOne 可以同时兼备。并且安全防护的策略也非常全面，配置也非常简单。通过 EdgeOne 能够快速搭建一套网站安全防护体系，更重要的是价格似乎也非常划算。