當您首次將域名接入邊緣安全加速平臺之后，面對各種安全防護配置項，您可能不知道如何進行配置。本文將引導您從不同角色的視角、場景快速熟悉邊緣安全加速平臺的防護模塊和防護規則配置，讓您從最緊急、最關注的防護內容入手，了解如何使用安全與加速服務保護您的網站。

操作前提

已經在邊緣安全加速平臺控制臺完成接入域名，并且域名已處于已啟用的狀態。

操作內容須知

本文描述都是建立在您已經完成域名新增，并且域名狀態處于已啟用的前提下進行操作，您可以參考功能的描述文檔開啟并設置相對應的功能。

1. 登錄。
2. 在左側導航欄，選擇域名->域名管理。

本文會根據不同的角色或者業務視角來給您提供網站防護策略的配置建議。您可以根據您的實際需求和您對網站的熟悉程度來了解相關的網站防護配置。

沒有安全經驗的使用者要如何配置防護策略

您可能出于等保要求或者為了預防Web攻擊而購買安全與加速服務，但您之前從未了解過網站安全相關知識或者未使用過安全產品，這種情況可以參考本章內容進行域名的防護配置修改。在根據域名接入指引成功添加域名后（域名狀態由配置中變更為 已啟用 ），在“Web防護 > 域名規則”中將域名規則開關置為攔截模式，完成這幾部操作后防護引擎就可以幫助您自動識別、攔截絕大部分的Web攻擊請求。

同時您也需要多關注概覽、安全報表、攻擊日志等數據統計分析頁面，了解業務流量、數據情況和攻擊威脅情況。查看相關數據報表可以讓您對域名信息有更詳細的了解，同時可以根據這些數據特征，聯系天翼云安全專家溝通具體的解決方案，在天翼云安全專家的指導下進一步配置域名防護內容，對域名安全進一步加固。

當您在攻擊日志中發現正常的業務請求被誤攔截，而您又不會根據誤攔截內容進行防護配置變更時，您可以聯系天翼云安全專家溝通具體的解決方案，聯系方式見服務保障。

有安全經驗的使用者如何配置符合自己網站的安全策略

如果您有了解過網站安全的相關知識，或者有網站安全運維的經驗，那么當你的網站遭到Web攻擊時，您可以根據邊緣安全加速平臺控制臺的安全報表、攻擊日志等內容進行快速排查定位，并及時修改安全防護配置解決問題，防止問題嚴重性進一步擴大。根據上述描述推薦您在域名接入到邊緣安全加速平臺的安全服務后，根據實際業務場景使用如下防護功能：

• 配置規則

  當您的域名存在誤報情況時，您可以設置域名規則白名單來減少誤報，對于符合白名單規則的請求，安全防護引擎可以根據您的配置直接放行請求。

  操作導航：在控制臺的“安全能力 > Web應用防火墻>防護規則引擎”頁面中選中具體規則添加白名單，完成相關配置。

  您也可以通過防護控制模塊設置具體的防護模塊白名單，加白部分防護模塊，使域名防護更加精確。

• 配置訪問控制策略

  您可以使用訪問控制功能針對指定的IP地址，IP段或者地區來源的訪問請求進行封禁。或者只允許指定部分IP、IP段、地區訪問您的業務，例如：封禁海外IP地址。您也可以使用訪問控制功能限制某些接口請求頻率不能過高。

• 針對具體攻擊場景的防護策略配置

  您也可以配置CC攻擊防護、攻擊挑戰、敏感詞、網頁防篡改等策略來應對各種Web攻擊場景，維持網站穩定，如下圖所示：

• 特殊的防護配置

  如果您存在特殊的配置在頁面上無法進行配置時，可以聯系我們天翼云安全專家，溝通具體的解決方案。

場景示例

下面提供了多種防護配置場景，您可以以此為參考結合自己網站的實際場景進行安全防護配置。如果以下使用場景示例均無法解決您的問題，您也可以通過聯系我們說明您的需求，由天翼云安全專家提供解決方案。

防止網頁被篡改

當攻擊者通過系統漏洞入侵了您的系統后，可能會通過篡改數據或劫持網絡等方式對網站內容進行惡意篡改，導致您的頁面顯示的被惡意篡改后的內容。此時，您可以使用安全與加速服務中的網頁防篡改功能，添加您需要進行保護的頁面。網頁防篡改功能用于保護網站核心靜態頁面，通過對比源站響應與媒體存儲中心緩存的響應，保護網站因為源站頁面被惡意篡改帶來的負面影響，同時您可以根據需要配置防篡改規則。

需要自定義防護場景

當您需要限制某些特殊接口的請求規則和請求頻率時，您可以通過配置訪問控制、頻率控制策略來實現。又或者是遭受到CC等特殊攻擊時，您可以配置CC防護等策略來攔截特殊的Web攻擊內容。

敏感詞信息泄露

敏感詞防護功能支持對網站返回的內容進行脫敏展示，過濾內容包括敏感信息（如身份證、手機號、銀行卡、郵箱等）。您可以根據實際需要設置敏感詞防護規則，滿足數據安全保護和等保合規需求。

高頻Web攻擊場景

你可以配置攻擊挑戰策略，針對短時間內發起高頻大量web攻擊（觸發規則防護）的客戶端ip，阻止該IP一段時間內的所有請求。使用該策略可以快速攔截惡意攻擊Web的IP，快速應對惡意掃描、Web攻擊威脅，提高攻防對抗效率。

BOT爬蟲防護

當您的域名存在爬蟲問題時，可以通過邊緣安全加速平臺的BOT防護模塊配置針對性的防護策略來保護您的網站免受爬蟲問題困擾。

嚴格防護模式

當您的業務需要嚴格的安全防護模式，不管任何請求進來時寧可被誤攔截，也不允許進入系統內部時。您可以通過以下方式配置嚴格的防護策略。

• 在新增域名時，可以選擇攔截模式，同時選擇漏洞防護集合選擇全量防護規則集合。
• 如果您已經完成新增域名，可以在域名管理中，選中需要配置策略的域名，然后進入【安全能力】——【Web應用防火墻】——【防護規則引擎】頁面，配置全量防護規則集，并且調整防護模式為攔截。
• 您同時可根據業務、流量特征信息，配置高級防護、訪問控制、CC配置等其他特殊的防護配置內容，如：您的域名只允許國內訪問，則可以通過訪問控制，封禁海外IP內容，只允許國內IP進行訪問。

注意：使用嚴格防護模式的配置策略后，可能會產生大量誤報內容，您可以通過分析攻擊日志信息，利用加白、配置規則等方式對可信任的請求進行放行減少誤報的情況。