安全设置
对网站的安全性进行设置。
当前线路
切换网站当前使用的线路。
- 香港高防+国际无限防御
大陆地区被路由到香港CN2线路,这一线路直连中国电信、中国联通、中国移动三大运营商,优化访问速度;单节点防御能力约为2-5Gbps,通过集群防御的方式,提供不同等级的防护能力。防护能力取决于节点的数量。 - 国际无限防御
全球流量全部被路由到国际无限防御线路,这一线路无限防御各类DDoS、CC攻击。配合订制的防护策略,可做到无视任何攻击。
不论选择哪种线路,对于海外访问的数据包,始终会被路由到国际线路。
安全级别
调整您网站的安全级别。级别越高,对访问者的检查越 严格。有5个级别可供选择:
- 完全关闭:
01Dun将不会对网站流量进行安全检查。 - 低:
这个模式对流量的干预最小,只对最明显的威胁进行干预。适用于网站面临的安全风险较低,或者希望尽可能减少对正常用户体验影响的情况。 - 中:
在这个级别上,01dun会对一些已知的潜在攻击者和威胁进行阻止。这适用于大多数网站,是一个适中的选项,为大多数有一定安全需求但不希望过于激进的网站提供了均衡的安全防护。 - 高:
在高安全级别下,01dun 会对大量的潜在攻击采取预防措施,包括对一些敏感的请求进行验证(例如5秒盾验证)。这适用于那些经常遭受或当前正在遭受攻击的网站。 - 我正被攻击!:
这是最高级别的安全设置,通常在网站遭受严重DDoS攻击或其他形式的大规模攻击时启用。启用此模式时,所有访问网站的用户都必须通过一个5秒盾的验证,这可以阻止自动化工具和攻击流量,但也会对正常用户的访问速度造成影响。
通常不建议使用 “我正被攻击!” 模式,因为它会对所有请求进行验证。
更好的做法是,根据攻击的类型来设置适当的防火墙策略,只要防火墙策略设置得当,既可以有效拦截恶意请求,又可以尽量减少对正常请求的误杀。
“我正被攻击!” 模式建议仅作为被攻击时的最后手段而使用。一旦攻击结束或配置了更好的防火墙策略,应尽快关闭此模式。
5秒盾是一种基于工作量证明(Proof of Work, PoW)的方法验证请求合法性的技术,当访客需要是一种通过要求发送方完成一项计算任务来证明其请求合法性的技术。这种方法在Cloudflare的“我正被攻击”模式中得到了应用,其中包括著名的“5秒盾”(5 Second Shield)。
质询通过期
对于通过安全检查的客户端,01dun会为其签发一个cookie,此选项用于控制这个cookie的有效期,当cookie失效后,01dun将不再信任此客户端,需要对此客户端进行重新验证。
浏览器完整性检查
评估访客浏览器的 HTTP 标头(例如缺少用户代理或具有非标准用户代理的请求),以检查是否存在威胁。这类标头通常由垃圾邮件制造者、自动程序和爬网程序使用。如果发现威胁,将显示阻止页面。
浏览器完整性检查可能会拦截非浏览器发出的请求。例如,可能会阻止访问您的 API。您可以使用 “API接口设置” 来配置您的API接口地址,浏览器安全性检查将不会对API接口进行检查。
API接口设置
对API接口的调用频率进行限制。
假设api路径设置为/api,限制访问频率设置为10,则表示对于每个访问/api开头的访客,每秒钟最多允许访问10次,多余的请求需要排队等待处理。队列长度为10*30个,队列满了将会丢弃后续的请求。它的工作机制如下:
对于所有以指定路径开头的请求,每个IP都维护一个队列。每个队列以恒定的速度(每秒10个)处理请求。多余的请求将会在队列中等待。队列的长度最长为限制频率*30(本例为300),超出部分将被丢弃。即:漏桶算法(Leaky Bucket)。
当安全级别设置为除“完全关闭
”之外的其它状态时,01Dun将对所有的传入请求进行检查,对于可疑的请求,会对其进行进行质询,以确保它不是机器人或自动程序发起的请求。
但这种行为对于诸如RESTful、SOAP和XML-RPC等API调用,可能会产生影响,因为这类调用通常需要一个预定的响应,否则会导致响应无法被正确解析。
如果您的站点包含了此类API调用接口,请在此处配置您的接口路径。匹配此路径的请求,01Dun将按照设置的频率对其进行排队处理。