玩转百度云加速：优化第一步：安全模块

优化第一步：安全模块

在安全模块，我们将功能分为了四个部分，分别是WAF、IP防火墙、ADS以及安全检测，接下来我们将分别进行讲解。

WAF篇

WAF

Web Application Firewall网站应用防火墙，简单点讲，就是保护您网站避免被入侵的一套防火墙系统。云加速的防火墙规则由国内顶尖的云加速安全团队制定，能防御市面上超过99%常见的SQL注入、XSS、Web服务器漏洞、应用程序漏洞以及文件访问控制等等系列的渗透攻击，有效的避免您的网站遭到入侵。

下面为WAF选择展开后的功能界面：

①Web应用防火墙开关

关闭后WAF功能将失效。

②高级定制 

点开后会发现整个WAF规则划分成了一个个模块，网站有特殊功能的用户可以自行选择使用哪些模块，普通web用户全开即可。

*凡是出现验证码页面的拦截是基础规则拦截，基础规则在关闭WAF功能开关后依然是有效的，只能通过加IP白名单的方式解决。

③安全验证有效期

 很多功能都存在安全验证，在最终用户完成安全验证后的多久以内我们认为是安全的？这里需要配置有效期，如下图，多个时间可以选择：

④ 浏览器检查

存在非浏览器请求方式的小伙伴请注意了，如果您网站有非浏览器请求，请关闭该功能。

*访问出现浏览器检查的5秒页面，是因为您开启了ADS中CC防护的强力防护级别，在这个级别会对每一次请求进行识别，如果您不需要功能，请将CC防护调整到其他级别即可。

⑤邮件地址混淆 

开启该功能后，在您网页上所留的邮箱可以避免被爬虫扫描识别。

⑥防盗链

开启后，您网站上的图片资源被盗链后，引用位置会出现403的显示。开启防盗链功能后，如果有部分网站是您许可链接的，那么白名单中添加域名即可。

通过以上的介绍，您现在也许已经了解云加速的全部WAF功能了。

IP防火墙篇

IP防火墙如下图，具有以下几个功能和特点

① IP黑名单 

 可以禁止哪些IP来访问您的网站，目前支持B段和C段的IP防护，且支持输入0/24、0/16 进行网段屏蔽，被屏蔽后的用户访问会报1006-1008错误，如下图。

②IP白名单        

有两种情况需要添加白名单，第一种是部分用户会通过云加速对网站进行页面修改等高风险操作时，会被云加速给阻断。当您在确认用户操作是合法的情况下，请将他的IP地址加入到IP白名单进行放行；

第二种是用户出口IP在互联网上有太多的不良记录，用户的IP如果匹配上了黑名单，那么会弹出验证码框，来确认他是否是恶意扫描以及攻击，如果您认为用户IP是一个正常的访问，也需要加白名单，

下面图列分别是操作拦截以及黑名单拦截：

③强力防护名单

有一些IP无论从访问频率还是行为都比较可以，但是您又担心误伤，这个功能就是为了解决上述问题而设计的，您可以输入IP或者是网段，只针对您输入的这部分进行强力防护。

严格意义来讲这个功能主要是ADS在发挥作用，但是为了用户更直观的操作，我们将他固定到了这里。

ADS篇 

为了更简化用户的操作，我们给用户了两个开关，没错只有两个开关。如下图所示，第一个开关DDoS防护，第二个开关CC防护。

DDoS防护        目前该功能无法关闭，因为攻击后的系统策略加载需要靠他来完成。

CC防护        在CC防护上，我们主要是以常驻规则和实时动态规则来进行防御，分为了强力、高、中、低四个等级，其中高、中、低三个防御等级，固定规则是常在模式，动态规则需要触发

如果是在这3个等级，被攻击后如果在触发动态规则之前用户服务器已经超负荷，建议拉到强力模式；

而强力防护这个等级，会对每一次的访问进行验证，验证有效期由WAF规则中的“安全验证有效期”来进行控制；

整个ADS操作很简单，对于高端用户，建议配合自定义规则来使用。

*在CC防御的默认策略中，ADS系统会学习用户前一天的访问情况，如果有突发的攻击事件，系统会自动给用户开启强力防护，如果需要手动关闭，请在图中CC防护的界面中将级别调整为关闭即可。

 

 

安全检测篇

 如下图所示，云加速基于大数据平台给用户提供了专业的安全检测服务，包含了主机漏洞、Web漏洞、内容安全。使用安全检测功能能有效的避免来至于源站服务器的风险。

①  功能设置：可以同时开启三项检测服务也可以单开一项。

②  扫描方式：提供快速和全面2个扫描档次，快速扫描通过威胁库识别，对关键位置进行扫描，而全面扫描即对所有文件以及位置都进行扫描。

③  扫描速率：提供了快速、中速、慢速三个扫描速率选择，如果对服务器没有绝对的信心，请不要开启快速扫描，整个扫描是重量级的。

④  爬虫深度：我们提供了 1 3 5 10 四个爬虫深度进行选择，根据您所选择的档次，爬虫爬去得越深，爬取的文件将会越多。

⑤  最大抓取量：如果爬虫深度是纵向，那么最大抓取量便是横向控制，我们提供了100、200、300、500、1000、2000 六个档次进行选择。

⑥  动态爬虫：开启后爬虫将根据网站结构等系列因素进行自主爬取，爬取面积将更为广泛。

⑦  黑名单：设置不对该目录进行爬取扫描。

⑧  其他设置：这里可以由用户自定义扫描的参数，包括USER AGENT、REFERER、Cookie。