操作前提

已经在边缘安全加速平台控制台完成接入域名，并且域名已处于启用的状态。

操作内容须知

本文描述都是建立在您已经完成域名新增，并且域名状态处于已启用的前提下进行操作，您可以参考功能的描述文档开启并设置相对应的功能。

1. 登录边缘安全加速控制台

2. 在左侧导航栏，选择域名->域名管理。

策略1：内容混肴

采用一次一密的混淆算法与密钥对客户端（访问者）提交的数据内容，例如表单、ajax 请求内容进行混淆处理，每次混淆的结果均不相同，将关键参数和重要信息从明文的形式转化为毫无规律的乱码，防止伪造参数、窃听和篡改交易内容等攻击行为。该功能在一定程度上可以解决攻击者通过篡改 post 中的参数进行越权攻击的风险。

目前控制台尚未开放以上功能，如有防护需求请通过提交工单给天翼云客服，由其人工操作开启。

策略2：零日防护

不需要利用特征、规则即可有效封堵应用层零日漏洞的探测和攻击，通过动态令牌和动态验证技术识别零日漏洞的 POC、EXP 工具发起的访问请求，无需依赖规则库、攻击特征去识别请求数据包内的攻击特征内容。该功能可以防御 POC、EXP 工具发起的针对 Web 中间件的反序列化零日攻击。

您可参考配置指引：设置扫描器访问拦截、异常行为智能识别。目前控制台尚未开放反序列化专项在exp利用阶段阻断功能，如有防护需求请通过提交工单给天翼云客服，由其人工操作开启。

策略3：防扫描

扫描器访问拦截：基于对常见扫描器的特征分析，输出扫描器识别模型，能够精准识别并拦截主流扫描器包括但不限于：Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等。（支持300多种常见的自动化工具）

您可参考配置指引：设置扫描器访问拦截

策略4：防撞库

支持撞库防护、暴力破解防护、批量注册防护等策略以全方位保障用户的账户安全。您可参考配置指引：设置账户安全防护

策略5：加壳 WebShell 防护

无需依赖 WebShell 的任何特征，无需识别加密 payload 内容，无需分析网络访问行为，Web 动态防御能力可以通过动态环境验证发现 WebShell 的请求不是来源于真实的人工情况，同时 WebShell 请求无法获取 Web 动态防御能力生成的有效访问令牌，该功能可以防御加壳型 WebShell 攻击，自动阻断 WebShell 工具连接行为，包括最新版哥斯拉、冰蝎等 WebShell 工具攻击行为。但需持续关注工具版本的升级。您可参考配置指引：设置规则防护

策略6：多源低频防护

以客户端浏览器指纹作为客户端身份唯一性标识，依靠浏览器指纹进行数据统计及溯源取证分析，可以精准识别出用户是否通过多源低频代理 IP 方式对目标站点进行暴力破解攻击，通过针对指纹拦截、动态拦截等动态响应策略，拦截多源低频攻击，该功能可防御攻击者使用代理地址池和多拨软件不断更换 IP 进行攻击的风险支持检测最新的变种加密webshell攻击，常用的webshell加密后绕过检测，包括混淆上传的木马等。您可参考配置指引：设置人机识别

策略7：动态代码封装

采用一次一密的动态封装算法，对报文中的代码自动进行封装加密，每次封装的结果均不相同，使攻击者无法直接通过查看应用源代码获得 URL 链接、表单和 JS 代码内容，防止攻击者通过阅读和调试前端代码发现业务逻辑漏洞，从而实现关键信息的隐藏和漏洞信息的屏蔽。主要解决攻击者通过查看或者调试前端页面中的代码，分析业务逻辑、发现相关安全漏洞的风险。目前控制台尚未开放以上功能，如有防护需求请通过提交工单给天翼云客服，由其人工操作开启。

策略8：动态环境验证

在网页代码中插入对客户端环境进行主动探测的代码，动态检查代码验证客户端环境（包括但不限于客户端的 IP 地址、操作系统、浏览器版本、浏览器指纹、键盘及鼠标行为等），随机选取检测项目与数量。通过插入的主动探测代码发现虚假客户端、违规的客户端和真实客户端类型，有效区分正常人工及自动化工具访问行为。该功能发现能有效发现自动化工具和脚本的访问行为。您可参考配置指引：设置人机识别

策略9：动态访问令牌

动态访问令牌自动识别需要保护的页面请求及参数，为访问的合法请求授予在一定时间内有效的一次性访问令牌（cookie 令牌/URL 令牌），防止攻击者发出非法请求。Web 动态防御能力将从存在性和有效性两个方面进行访问令牌的校验，任何未携带令牌或携带过期、伪造令牌的请求都将被拦截。Cookie 令牌将有效抵御 Web cc 类的重放攻击行为，URL 令牌可以在一定程度上解决业务逻辑漏洞的风险。目前控制台尚未开放以上功能，如有防护需求请通过提交工单给天翼云客服，由其人工操作开启。

策略10：APP 及小程序前端防护

通过集成的客户端 SDK 或JS 代码实现合法 APP 及小程序的识别、客户端完整性检测功能、客户端通信数据加密功能。验证请求是否由合法 APP或真实小程序客户端发起，移动客户端的环境检查和完整性监控，对 APP/小程序与服务器端交互层信息双向应用层加密（非传统 SSL/TLS 通信传输层加密方式），防止中间人截包获取数据信息或篡改数据内容，拦截假冒 APP 和小程序的访问。该功能可在一定程度上解决 APP 和小程序前端带来的群控主机，虚假定位等安全风险。目前控制台尚未开放以上功能，如有防护需求请通过提交工单给天翼云客服，由其人工操作开启。

策略11：应用接口攻击检测与缺陷发现

通过内置和定制化的防护策略，防范应用接口面对的 SQL 注入、命令注入、XSS等攻击，利用语义分析能力在一定程度上解决反序列化的已知与未知漏洞攻击行为。发现针对应用接口的调用中携带非法参数或者未携带相应参数，以及应用接口自身设计方面存在的安全风险 （如接口未鉴权、接口明文传输认证信息、接口认证等级较弱等），系统将产生告警并可以在适当的情况下进行拦截。您可参考配置指引：设置规则防护

策略12：接口敏感数据传输检测

内置敏感数据字典，同时可以根据需求进行敏感数据内容的自定义。系统可以针对请求和响应的数据包内容进行实时检测分析，一旦发现有符合定义的敏感数据内容在网络中进行传输，系统将及时产生告警，同时可以根据要求针对服务接口中传输的敏感数据内容进行脱敏处理或者将相关的请求直接进行拦截。在一定程度上解决应用接口敏感数据泄露的风险。您可参考配置指引：API自发现