腾讯EdgeOne产品测评体验—Web安全的攻与防:云端防护一体化

目录

  • 简介
  • 接入准备
    • EdgeOne购买及接入
    • 服务器环境配置
      • 添加测试站点
      • 关闭防护
  • 安全性能测试
    • XSS攻击
    • sql注入
  • 站点加速测试
    • 代码测试
    • 通过在线工具对比测试
    • Ping检测
    • tcping
    • 网站测速
  • HTTPS证书
    • 操作步骤
    • 优点
  • 总结
    • EdgeOne的优缺点

简介

EdgeOne,作为腾讯云推出的全新CDN解决方案,集合了域名解析、智能加速、四层加速、安全防护以及边缘函数计算等多元化服务。自今年8月开放订阅以来,越来越多的网站选择EdgeOne作为他们的加速与防护伙伴,其受欢迎程度可见一斑。

然而,随着网络攻击的日益猖獗,尤其是针对Web应用程序和API的攻击逐年激增,网站安全成为了开发者们不得不面对的重要问题。DDOS攻击、零日漏洞利用等事件频发,给网站带来了巨大的风险。为了解决这些安全问题,EdgeOne持续升级其产品能力,致力于为用户提供更安全、更易用、更开放的服务。但实际效果如何呢?

本次测试,我们将对EdgeOne进行全面评估,从站点加速性能到安全防护能力,以验证其是否真正能够为用户提供一体化防护,我们将从多个维度对EdgeOne进行全面评估,包括站点加速性能、XSS防护能力以及SQL注入防御等可能威胁Web安全的各个方面,以此来验证EdgeOne是否能够实现真正的一体化防护。

接入准备

EdgeOne购买及接入

通过访问EdgeOne的官网并进行下单购买,我们选择了基础版。基础版和个人版的差别还是很大的,除了流量外,在安全能力上有很大提升,EdgeOne基础版开放了CC/WAF/速率限制等更多高级防护能力,能够更好的保障站点安全,对于首次使用的开发者,建议根据自身情况选择合适的版本。

在这里插入图片描述

按流程往下
在这里插入图片描述

在这里插入图片描述

开通成功后前往控制台,来到已购买的套餐服务页面
在这里插入图片描述

绑定站点

注意:这里建议用已备案的域名操作

在这里插入图片描述

在这里插入图片描述

接入域名是腾讯云已备案的域名,具备全球访问能力。因此,这里选择了全球可用区,并使用CNAME方式接入,这是非常合适的选择。通过CNAME接入,能够充分利用EdgeOne的全球加速服务,提升域名的访问速度和稳定性。操作时请确保CNAME设置正确,并持续关注域名的解析情况。
在这里插入图片描述

为了验证网站归属权,需要进行验证

在这里插入图片描述

前往域名解析商进行解析即可

在这里插入图片描述

完成归属验证

在这里插入图片描述

体验:操作步骤简单明了,条理清晰,支持多种接入验证,方便快捷,引导效果很棒!

服务器环境配置

添加测试站点

对同一个站点,添加两个域名:test(接入EdgeOne)和test2(正常),确保访问的网站项目是一致的不会给测试带来其他问题,通过下面的测试观察test和test2在EdgeOne 的影响下有什么区别?

测试域名为ICP备案域名 test.**.club

在这里插入图片描述

关闭防护

为了验证后面的CDN加速、SQL注入、XSS攻击,由于服务器自身就有一定的防护,于是在测试前需要关闭主机防火墙及攻击站点的php环境,并删除PHP禁用函数等

宝塔系统防火墙已关闭
站点选择PHP低版本5.4已完成
去除禁用函数已完成
niginx防火墙已关闭

关闭系统防火墙
在这里插入图片描述

关闭Nginx防火墙
在这里插入图片描述

安装php5.4,去掉禁用函数,关闭防护
在这里插入图片描述

关闭后的站点测试将会在下方继续说明

安全性能测试

XSS攻击

我们已经介绍过了域名test和test2的区别,这里不做过多的赘述,接下来写一个php脚本用来测试攻击情况

这里选择PHP5.4是因为PHP5.6以下的版本存在漏洞,无法有效防御一些简单的攻击。为了更好地体验在毫无防备的情况下EdgeOne的作用,我们特意选择了这个版本。

携带xxs代码的参数访问域名,我们可以发现,被宝塔防火墙拦截了,攻击无效

在这里插入图片描述

如果我们关闭了防火墙以及之前提到的服务器环境防护措施,就会发现XSS攻击生效了。这个时候,就说明我们的防护体系已经全面失效,可能会面临不法分子的入侵风险。
在这里插入图片描述

接下来我们测试接入EdgeOne的域名test进行测试,携带xss代码的参数访问域名,同样会受到xss脚本攻击

在这里插入图片描述

观察EdgeOne的安全分析,发现存在日志,为什么日志有命中纪录但是却不拦截?这时候你可能会说接入了EdgeOne也许没有用?

在这里插入图片描述

其实还有一个步骤没有操作,需要设置web防护规则

登录 边缘安全加速平台控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。

在这里插入图片描述

在站点详情页面,单击安全防护 > Web 防护

在这里插入图片描述

在 Web 防护详情页左侧的防护域名列表中,选择需开启防护的域名

在这里插入图片描述

注意:由于我的是站点全局策略,所以我们需要使用上面的【站点全局策略】

找到托管规则卡片,单击设置。
在这里插入图片描述

在这里插入图片描述

将XSS跨站脚本攻击防护处置方式改为拦截
在这里插入图片描述

注意:需要将下方的观察模式关闭,否则无效
在这里插入图片描述

开启后我们进行测试访问,EdgeOne拦截效果比宝塔的防护还做得好,直接断开连接
在这里插入图片描述

通过F12查看网络资源发现返回状态码566 Waf Forbid
在这里插入图片描述

当携带参数为x=1时可以通过,因为这个时候的参数是正常的并非一些xss脚本,于是EdgeOne就放行通过了
在这里插入图片描述

我们再来对比一下相同站点不同域名的test2,test2没有做任何防护,依然可以进行xss漏洞攻击
在这里插入图片描述

经过各种详细的比对,不难得出EdgeOne可以轻松完成Web网站的安全防护,如果你是刚刚进入Web领域的小白或者是小微企业,想将安全防护做好,却缺乏专业指导,不妨试试EdgeOne,接入简单,投入时间少,关键是安全可靠,后台数据日志全部可视化,可针对不同地区、不同方案配置安全托管规则

sql注入

刚刚在XSS攻击测试下已经对test域名启用了EdgeOne的防护,现在我们直接测试test和test2进行比较看下防护效果

编写一个简单的弱口令:

`x=' OR 1=1#

通过x进行参数传递,下面两个窗口进行比较,左边为原站(test2),右边为接入EdgeOne的域名(test)站点,效果显著,左侧窗口代码被执行了,右侧窗口提示无法访问此网站(566 Waf Forbid)
在这里插入图片描述

当web应用向后台数据库传递SQL语句进行数据库操作时,如果对用户输入的参数没有经过严格的过滤处理,那么攻击者就可以构造特殊的SQL语句,直接输入数据库引擎执行,获取或修改数据库中的数据,把用户输入的数据当作代码来执行,违背了“数据与代码分离”的原则。如果您担心自己的Web站点或者接口有SQL注入风险,建议对接EdgeOne,一步到位!

站点加速测试

代码测试

接下来我们对两个域名的网文进行测速,通过代码:

测试test(未接入)的访问速度
在这里插入图片描述

给test2添加CDN
在这里插入图片描述

选择网站加速
在这里插入图片描述

继续验证解析域名

在这里插入图片描述

在这里插入图片描述

返回刷新已经生效

在这里插入图片描述

测试一下套上了CDN的域名test
在这里插入图片描述

测试项目DNS解析时间建立时间传输时间下载速度比较
test(未接入CDN)36.7ms92.29ms92.68ms6232 b/s🟡良好
test(已接入CDN)3.68ms55.21ms55.47ms6932 b/s🟢优秀

通过在线工具对比测试

和之前一样,解析一个test2的域名用来做对照
在这里插入图片描述

相同服务器,不同域名,test2域名为对照组,test域名套上CDN

在这里插入图片描述

通过第三方工具检测到从不同地区访问test2 域名的ip只有一个,而test有多个ip指向(应对不同地区访问选择),对此可表明CDN加速成功
在这里插入图片描述

在这里插入图片描述

判断当前域名是否套上了CDN,也可通过腾讯云自带的 自主诊断工具进行排查
在这里插入图片描述
在这里插入图片描述

Ping检测

test(CDN)
在这里插入图片描述

test2(非CDN)
在这里插入图片描述

在这里插入图片描述

tcping

test
在这里插入图片描述

test2

在这里插入图片描述

网站测速

test
在这里插入图片描述

test2
在这里插入图片描述

由于我的服务器是腾讯云的,服务器在国内加速优势不是很明显,但是对于大陆以外的地区,加速效果提升的很快。上面的测试数据,虽然对比差别不大,但是CDN是起到了加速的效果,如果放在一些访问速度很慢的域名,会有质的提升。

HTTPS证书

在当今数字化的互联网时代,HTTPS访问已经成为保障网站安全、提升用户体验和搜索排名的不可或缺的一环。小程序开发上线时,接口的安全性更是至关重要,必须使用HTTPS协议。如果网站未启用HTTPS,不仅安全风险大增,还会被浏览器打上“不安全”的标签,更可能导致搜索引擎排名下降。因此,为域名申请SSL证书,实现HTTPS访问,已成为每个网站运营者的必然选择。传统的SSL证书申请和部署过程往往繁琐复杂,且免费证书通常存在时效性限制,需要定期手动更新,这无疑增加了维护成本和时间成本。然而,EdgeOne的免费HTTPS证书功能彻底改变了这一现状。它提供了一键申请和自动续期的服务,无需再为证书更新而烦恼,全程自动化管理,轻松开启HTTPS访问。

申请和部署EdgeOne的免费证书至您的网站,其实非常简单。只需几个简单的步骤,您就能享受到安全、快捷的HTTPS服务。以下是具体的操作步骤:免费证书部署至 EdgeOne 域名

操作步骤

(1) 登录 边缘安全加速平台 EO 控制台,通过站点列表,选择需配置的站点,进入站点管理二级菜单。

  1. 在左侧导航栏中,单击 域名服务 > 域名管理。
  2. 在域名管理页面,选择待配置证书的域名,在 HTTPS 列内单击编辑,弹出 HTTPS 证书配置。
    在这里插入图片描述

(4) 选择申请免费证书后,单击确定,即可完成免费证书的申请和安装。

  1. 部署完成后,您可以在域名管理列表页中,将鼠标悬停于已配置图标上,可展示当前已部署的证书信息。
    在这里插入图片描述

优点

优点
一键申请省时省力无需繁琐流程,简单几步即可完成证书申请
自动续期确保网站始终安全,无需考虑到期续费更换等问题
全程自动化轻松管理自动化管理,无需手动操作,让您专注于业务发展

总结

随着云计算和边缘计算技术的不断发展,EdgeOne有望继续在技术层面进行创新,提升边缘加速和安全防护的能力,为用户提供更加高效、安全的网络服务。

EdgeOne的优缺点

开发者在使用 EdgeOne 来为自己网站进行加速和防护,更安全稳定、节省成本,具有以下优势:

在这里插入图片描述

优点描述
边缘加速与安全加固结合通过边缘计算技术实现快速内容传输和访问,同时提供强大的安全防护功能
性价比高市面上能够提供EO基础版套餐能力的多是产品组合方案,组合价格需要上千元,防护安全以及性能不如EdgeOne,相比较下来EdgeOne仅需399元/月,活动期还有价格优惠,是很有性价比了
卓越性能优化网络链路和数据传输,实现快速的内容加载和低延迟
强大的安全防护能力提供多重安全防护机制,有效应对各种网络攻击和恶意访问
一站式整合服务

集成多项功能(DNS解析、四层代理、站点加速、智能加速、DDoS防护、Web防护、Bot防护、负载均衡等多项功能),为用户提供全方位的安全和性能保障。

提供全面的安全和性能保障

全球覆盖在全球范围内部署边缘节点,覆盖广泛
缺点描述
部署和配置复杂性对于某些用户而言,产品的部署和配置可能相对复杂,但综合来看优点大于不足
功能冗余对于只需要部分功能的用户而言,全功能的集成可能导致不必要的复杂性,但这和较高的安全性能比较显得微不足道

这个产品卖这个价位还是非常有性价比的,大家感兴趣的可以去体验一下:https://cloud.tencent.com/act/pro/edgeone_techoday_promotion?from=22008

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/820306.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Linux之 USB驱动框架-usb-skeleton.c usb驱动源码分析(3)

一、usb 驱动框架图 二、 usb 设备经典驱动:usb-skeleton.c 驱动 路径: drivers/usb/usb-skeleton.c USB骨架程序可以看做一个最简单的USB设备驱动的实例,其分析流程大致如下: static struct usb_driver skel_driver { …

揭示边缘计算网关的市场价格趋势(购买指南)-天拓四方

在数字化转型的大潮中,边缘计算网关作为连接云端与终端设备的核心节点,其重要性日益凸显。然而,面对市场上琳琅满目的边缘计算网关产品,对于许多企业和个人用户来说,边缘计算网关的价格成为选择产品时的重要考量因素。…

KT-105小动物人工呼吸机

咳咳,请各位小伙伴们注意啦!我们要聊的主题可是相当高大上——小动物呼吸机! 我们得先了解一下什么是小动物呼吸机。这可不是一般的机器哦,它是一种实验设备,主要用于各种各样的科学研究实验中。比如,在基…

【C++类和对象】类和对象的引入

💞💞 前言 hello hello~ ,这里是大耳朵土土垚~💖💖 ,欢迎大家点赞🥳🥳关注💥💥收藏🌹🌹🌹 💥个人主页&#x…

mysql查找binlog的删除记录时间

需求:数据库某表的数据没有了;如何找是什么时修改清掉的; 思路: 1. 查代码,找某表的删除接口,分析是在哪里调用;【部分服务log不全】 2. 查服务的log;【部分服务log不全】 3. 查…

【学习笔记十七】波次管理、自动波次和WOCR介绍及配置

一、手工维护波次 波次是控制仓库活动(如拣配)的仓库请求项目(通常是出库交货订单项目)的分组。这些分组随后在后续流程中一起处理,例如,将分配到波次的所有仓库请求项目传输到仓库任务创建。 注意:仓库请求是出库交货订单、过账更改、库存转储(用于仓库中的内部移动)或入库…

38条Web测试经验分享

1. 页面链接检查 每一个链接是否都有对应的页面,并且页面之间切换正确。可以使用一些工具,如LinkBotPro、File-AIDCS、HTML Link Validater、Xenu等工具。 LinkBotPro不支持中文,中文字符显示为乱码;HTML Link Validater只能测试…

VSCode+Cmake 调试时向目标传递参数

我有一个遍历文件层次结构的程序,程序根据传入的文件路径,对该路径下的所有文件进行遍历。这个程序生成一个名为 ftw 的可执行文件,如果我要遍历 /bin 目录,用法为: ftw /bin问题是,如果我想单步跟踪&…

HBase2.x学习笔记

文章目录 一、HBase 简介1、HBase 定义1.1 概述1.2 HBase 与 Hadoop 的关系1.3 RDBMS 与 HBase 的对比1.4 HBase 特征简要 2、HBase 数据模型2.1 HBase 逻辑结构2.2 HBase 物理存储结构2.3 HBase的表数据模型 3、HBase 基本架构3.1 Master3.2 Region Server3.3 Zookeeper3.4 HD…

每日一练 | 华为认证真题练习Day215

1、下面是一段MUX VLAN中,关于主VLAN和从VLAN的配置,关于此配置说法正确是(多选) A. VLAN 10为主机VLAN B. VLAN 11为主机VLAN C. VLAN12为隔离型从VLAN D. VLAN 11和VLAN 12都为从VLAN E. VLAN 10和VLAN 11都为MUX VLAN 2、BGP邻居建立过程的状态存在以下几种,那么建立一个…

202305青少年软件编程(scratch图形化)等级考试试卷(四级)

第1题:【 单选题】 下列积木运行后的结果是? ( ) (说明: 逗号后面无空格) A:我 B:爱 C:中 D:国 【正确答案】: B 【试题解析】 : 两个字符串连接后的第 8 个字符是“爱” 。 第2题&#…

【工具】智慧树自动播放-油猴、篡改猴脚本,自动播放、自动下一节

一、自动播放脚本 编写此脚本的原因是,女朋友单位要求刷*.zhihuishu.com课程,先是想到用python自动化来处理,折腾半天不太好使;后面想到用油猴脚本来处理,安装了很多个现成的脚本,依旧不好使,只…

基于flutter3.x+window_manager+getx桌面端仿macOS系统

flutter3_macui桌面端仿macOS系统实战项目完结啦! 原创研发flutter3.19dart3.3window_managergetx等技术构建桌面版macOS系统。支持自定义毛玻璃虚化背景、Dock菜单多级嵌套自由拖拽排序、可拖拽弹窗等功能。 支持macOS和windows11两种风格。 使用技术 编辑器&…

前端三剑客 —— JavaScript (第十一节)

内容回顾: jQuery 操作DOM jQuery 事件处理 Ajax jQuery 特效案例 全选效果 tab切换 下拉菜单 自定义动画 Bootstrap 入门 首先我们可以在bootstrap官网上进行下载。官网地址:https//www.bootcss.com/ 首先在我们的页面中导入bootstrap的样式,我们可…

推荐系统综述

推荐系统研究综述 - 中国知网 传统推荐方法主要分类: 1)基于内容推荐方法 主要依据用户与项目之间的特征信息,用户之间的联系不会影响推荐结果,所以不存在冷启动和稀疏问题,但是基于内容推荐的结果新颖程度低并且面临特征提取的问题。 基于内容的推荐方法的思想非…

03-echarts如何画立体柱状图

echarts如何画立体柱状图 一、创建盒子1、创建盒子2、初始化盒子(先绘制一个基本的二维柱状图的样式)1、创建一个初始化图表的方法2、在mounted中调用这个方法3、在方法中写options和绘制图形 二、画图前知识1、坐标2、柱状图图解分析 三、构建方法1、创…

GPT提示词分享 —— 解梦

👉 对你描述的梦境进行解读。 我希望你能充当一个解梦者。我将给你描述我的梦,而你将根据梦中出现的符号和主题提供解释。不要提供关于梦者的个人意见或假设。只提供基于所给信息的事实性解释。 GPT3.5的回答 GPT3.5 👇 感觉有点傻&#xf…

Slf4j+Log4j简单使用

Slf4jLog4j简单使用 文章目录 Slf4jLog4j简单使用一、引入依赖二、配置 log4j2.xml2.1 配置结构2.2 配置文件 三、使用四、使用MDC完成日志ID4.1 程序入口处4.2 配置文件配置打印4.3 多线程日志ID传递配置 五. 官网 一、引入依赖 <dependencies><dependency><g…

大数据建模理论

文章目录 一、数仓概述1、数据仓库概念1.1 概述1.2 数据仓库与数据库的区别1.3 技术选型和架构 2、数仓常见名词2.1 实体2.2 维度2.3 度量2.4 粒度2.5 口径2.6 指标2.7 标签2.8 自然键/持久键/代理键2.9 退化维度2.10 下钻/上卷2.11 数据集市 3、数仓名词之间关系3.1 实体表&am…

Spring 事务失效总结

前言 在使用spring过程中事务是被经常用的&#xff0c;如果不小心或者认识不做&#xff0c;事务可能会失效。下面列举几条 业务代码没有被Spring 容器管理 看下面图片类没有Componet 或者Service 注解。 方法不是public的 Transactional 注解只能用户public上&#xff0c…