安全規則 - Edge Security Acceleration

邊緣安全加速 ESA的安全規則依託海量威脅情報庫，通過分析訪問請求的特徵（如來源IP、請求路徑、User-Agent等），智能識別潛在惡意行為，並自動執行挑戰處置，精準防護核心業務。

若您需要對當前網站下所有請求進行統一安全層級配置，可參考全站安全層級設定。

業務情境說明

在網站營運中，核心功能路徑（如管理後台、登入介面、支付API等）常常成為自動化工具、惡意爬蟲和網路攻擊的主要目標。若採用統一固定的全域防護策略，可能會因過於嚴格而誤傷正常使用者，或因過於寬鬆而無法有效抵禦針對性攻擊。

而通過建立精細化的安全規則，僅對訪問特定路徑或具有可疑特徵的請求應用更高的安全性原則，可實現對核心業務的重點防護，同時最大限度地減少對普通使用者訪問體驗的影響。

功能介紹

ESA安全規則的核心是一個基於請求特徵匹配和威脅情報分析的智能決策引擎。當使用者請求到達ESA邊緣節點時，系統會根據已配置的安全規則列表進行順序匹配和處理。

該流程主要包含評估威脅、自訂安全層級兩大核心機制：

評估威脅機制

ESA的威脅檢測能力基於阿里雲海量的威脅情報資料庫，該資料庫即時彙集全球網路威脅資料。

情報來源：包含已知的惡意IP、攻擊源、殭屍網路、代理服務等。
檢測維度：系統會綜合評估請求的IP信譽、地理位置、訪問模式、請求特徵（如User-Agent）等多個維度，並產生一個動態威脅評分作為安全層級判定參考。

自訂安全層級

安全層級定義了威脅檢測的敏感度和應對措施的嚴厲程度。選擇更高的安全層級會提升防護能力，但也可能增加對正常使用者的影響。

層級	建議情境	應對措施嚴厲程度
我正在遭受攻擊	僅建議在遭受大規模攻擊時作為應急手段開啟	挑戰所有訪問者，最大程度保障網站可用性
高	適用於網站正遭受攻擊或在重要活動保障期間	挑戰任何可疑威脅的IP地址
中等	適用於有刷量歷史或對安全有較高要求的網站	挑戰威脅程度較高的IP地址
低（預設值）	適用於無明確攻擊歷史的網站進行日常防護	僅挑戰威脅程度最高的IP地址
基本關閉	建議僅在排查嚴重誤攔截問題時臨時使用	僅保留ESA平台級的最小防護策略，仍會處理極端高危請求
徹底關閉（企業版可用）	僅企業版可用，用於調試或特殊業務情境	完全關閉所有主動安全防護功能

操作步驟

新增規則後，當使用者發起資源訪問請求時，ESA將根據規則的生效優先順序依次進行匹配與執行。

建立安全規則

在ESA控制台，選擇網站管理，在網站列單擊目標網站。
在左側導覽列，選擇規則 > 安全規則。
單擊新增規則，填寫規則名稱。
在如果請求匹配以下規則...地區設定要匹配的使用者請求特徵，在則執行…地區選取項目安全層級。例如：針對主機名稱為www.example.com的請求，設定中等安全層級可參考：
重要
選擇更高的安全層級可能對正常的訪問者產生一定影響，可結合不同時期的安全防護需要靈活選擇安全層級。
（可選）可根據實際需要拖動順序列的，或單擊操作的移至調整規則執行優先順序。

規則效果

安全規則建立完成後，即可生效。當符合規則條件的威脅者訪問網域名稱www.example.com時，將會收到包含挑戰頁面的HTML內容。

通過挑戰後，將正常響應網頁內容，並且自動在請求URL中添加驗證通過的u_atoken以及u_asession資訊以標記身份資訊。

異常處理與最佳化

在規則運行過程中，可能會出現正常使用者的IP或API用戶端被錯誤地挑戰或攔截，需及時進行處理。以下述情境為例：

業務處於高風險攻擊情境下，已配置了安全等級為高，但是想允許存取自我裝載的IP為 1.2.3.4 的請求。

方式一：添加白名單規則
可以通過添加WAF白名單規則，將已知IP地址加入白名單，確保關鍵業務流量不受影響。
1. 在安全規則頁面複製對應的規則ID。
2. 在左側導覽列，選擇安全防護 > WAF，選擇白名單規則頁簽，單擊新增規則。
3. 配置參考如下，單擊確定即可：
  - 規則名稱：填入自訂規則名，如rule-allow-test-ip。
  - 如果請求匹配以下規則...：匹配欄位下拉選擇客戶端IP，運算子下拉選擇等於其中任意一個，輸入框填入1.2.3.4。
  - 規則：選擇部分規則種類或ID。
  - 規則種類：下拉選擇安全等級。
  - 規則ID（自訂規則、頻次控制規則、掃描防護規則等）：填入a步驟中的規則ID。
方式二：調整安全規則優先順序
由於ESA按照順序依次執行，可建立一條安全規則用於調低測試請求的防護安全層級，並將其執行優先順序調整至攔截規則之前，確保其優先匹配和生效。
1. 在左側導覽列，選擇規則 > 安全規則，單擊新增規則。
2. 配置參考如下，單擊確定：在如果請求匹配以下規則...中精確匹配被誤傷的IP地址、User-Agent或請求路徑，然後則執行…中選擇安全層級為基本關閉或徹底關閉（企業版可用），以跳過安全檢查。
  - 規則名稱：填入自訂規則名，如rule-allow-test-ip。
  - 傳入請求類型：預設選擇自訂規則，匹配欄位下拉選擇客戶端IP，運算子下拉選擇等於其中任意一個，輸入框填入1.2.3.4。
  - 安全層級：選擇基本關閉或徹底關閉（企業版可用），以跳過安全檢查。
3. 在安全規則介面拖動表徵圖調整規則的執行順序，將rule-allow-test-ip規則的順序置於原規則之前即可。

不同套餐的支援情況

安全規則	Entrance	Pro	Premium	Enterprise
支援配置的安全規則數量	5條	25條	50條	125條

常見問題

高威脅的請求的挑戰驗證類型有哪些？

當請求被判定為具有潛在威脅時，系統會根據設定的安全層級發起挑戰：

JavaScript挑戰：向用戶端注入一段JS代碼，驗證其是否為真實的瀏覽器環境。此過程對使用者通常是透明無感的，但可能會對不支援JavaScript的API用戶端造成影響。
人機驗證碼：要求使用者完成圖形驗證碼或滑動驗證等互動操作，以證明其為人類使用者。此方式會中斷使用者的訪問流程。

安全規則和WAF規則有什麼區別？

安全層級與WAF規則相互獨立，安全層級由系統基於威脅情報庫自動判斷，對訪問者進行攔截或挑戰；而WAF規則是通過使用者自訂具體規則，針對特定路徑、參數或行為精準執行攔截或挑戰，實現更細粒度的安全控制。

Edge Security Acceleration：安全規則