安然无恙,各位;
之前不是写了两篇关于goedgeCDN系统的一些文笔吗,详细:
之前都没怎么仔细的写清楚使用的教程,只是大致的讲述了基本的接入使用就不在阐述了,这里就补一下之前画的大饼,顺便推一下我们团队的CDN项目,教程只是说说去使用LEDCDN(QiuDN是LEDCDN前身)
基本上主要就是这些了,水一下简单说明了一些小点点,管理端随便摸索都懂了,要是不懂说明你不合适去玩自建,老老实实过来用LEDCDN吧
因为。。。实际上用户操作面板端有了一个解释文档了。。
基础设置
接入使用相信大家通过之前的简单的教程已经基本的了解过了,那么也不在多复述,简单过过就行,如果有不懂的可以回去补课
当然,其实是我不愿意再去重复折腾了,毕竟我已经弄完了
添加服务
先讲添加网站模块;
加速域名就是需要绑定的域名
域名协议选择开HTTPS就需要上传证书,证书一般是key和cer格式的,这里可以直接前往ohttps.com注册,申请快速通知支持泛域名
源站信息的话,如果你源站开启了SSL,也就是HTTPS模式,就要把源站协议调整HTTPS(443)协议然后再填写源站IP,当然如果有端口直接IP+端口号即可,如果没有启动,则是HTTP;同时,还支持很多模式
回源主机名如果没有其他需求则是默认跟随CDN服务即可,无需其他的调整,”跟随CDN服务”是指访问源站的站点域名和当前CDN服务保持一致;”跟随源站”是指访问源站的站点域名仍然是填写的源站地址中的信息,不随CDN服务域名改变而改变
然后就是点击DNS,复制下来CNAME解析值后前往域名解析处添加CNAME解析
安全设置
选择HTTP,就可以选择自动跳转https访问服务
选择HTTPS,可以设置网站服务的SSL安全设置,支持启用HTTP2/3,然后TLS选择你需要的版本即可,加固建议:启用对TLS 1.2和TLS 1.3的支持,并禁用对TLS 1.0的支持,不懂什么是TLS可以去简单了解一下
点击更多选项进入扩展设置,HSTS是HTTP 严格传输安全,简单说明就是强制只能HTTPS链接;而OCSP Stapling 就是为了解决 OCSP 隐私问题和性能问题而生的,简单说明就是避免了客户端验证会产生的阻塞问题,提升了HTTPS性能
防护设置
首先选择五秒盾,启用五秒盾后可以点击更多选项可以根据自身需求来设置细致的配置
特别要讲
单IP最低QPS:当某个IP在1分钟内平均QPS达到此值时,才会触发5秒盾;如果设置为0,表示任何访问都会触发QPS算法:QPS = 总请求数 / 时间段
加入IP白名单:选中后,表示验证通过后,将访问者IP加入到临时白名单中,此IP下次访问时不再校验5秒盾;此白名单只对5秒盾有效,不影响其他规则。此选项主要用于可能无法正常使用Cookie的网站
选择CC防护,启用CC防护后可以点击更多选项可以根据自身需求来设置细致的配置
特别要讲
使用自定义拦截阈值:请根据自己的服务需求来设置,否则就不动,当发现源站撑不住就需要下调阈值,服务不正常速度慢等就上调阈值,但是需要你的源站服务器性能足够,不然就出现攻击就炸
启用CC无感防护- 是否启用CC防护,启用后,自动检测并拦截CC攻击- 更多选项
单IP最低QPS- 当某个IP在1分钟内平均QPS达到此值时,才会触发CC防护;如果设置为0,表示任何访问都会触发例外URL- 如果填写了例外URL,表示这些URL跳过CC防护不做处理;比如API类的调用不做限制,可以填入/api/*限制URL- 如果填写了支持URL,表示只对这些URL进行CC防护处理;如果不填则表示支持所有的URL;比如只想针对搜索URL进行CC防护,可以填入/search*检查请求来源指纹- 在接收到HTTPS请求时尝试检查请求来源的指纹,用来检测代理服务和爬虫攻击;如果你在网站前面放置了别的反向代理服务,请取消此选项启用GET302校验- 选中后,表示自动通过GET302方法来校验客户端;适用于网页类的应用,不适用于API应用使用自定义阈值- 默认情况下,对CC攻击IP的拦截策略可以在系统集群设置中定义,如果想自己修改,可以选中此选项,并根据自己的需要填入各个时间范围内的请求数限制
WAF设置
防CC攻击策略简单设置
请根据需求调整,有标识,请不要随意设置此项避免出现验严重报错
CC单URL请求数
CC单URL请求数
随机URL攻击
这是LEDCDN默认全局开启的策略
规则示例
只允许某些特定来源的网站访问
这里面就有两个规则:一个是我们允许所有来源为空的访问(也就是用户直接访问网站),第二个就是允许特定域名的来源访问,所以我们要添加的规则就是阻止以下条件的访问:
- 来源不为空
- 来源不是我们允许的域名
在规则集里添加的规则如下:
- 规则:
- 规则1
- 参数:
请求来源 - [refererOrigin] - 操作符:
正则不匹配 - 对比值:
a\.com|b\.c\.d\.com - 这里写的是你允许的域名列表
- 要符合基本的正则表达式语法
- 参数:
- 规则2
- 参数:
请求来源 - [refererOrigin] - 操作符:
字符串不等于 - 对比值:不填留空
- 参数:
- 规则1
- 规则之间的关系:
和(And) - 执行动作:
网页网页(PAGE)
禁止访问特定的URL
比如一个网站禁止访问 /hello.html:
参数:
请求路径 - [requestPath]操作符:
字符串等于对比值:
/hello.html执行动作:
- 状态码:
403
- 状态码:
设置后,访问 /hello.html、/hello.html?v=123 之类的URL会显示403,而访问其他URL则正常。
只允许访问特定的URL
比如一个网站只允许访问 /hello.html ,访问其他页面时提示403:
参数:
请求路径 - [requestPath]操作符:
字符串不等于对比值:
/hello.html执行动作:
- 状态码:
403
- 状态码:
设置后,访问 /hello.html、/hello.html?v=123 之类的URL是正常的,访问 /world.html 会显示403。
只允许访问特定的目录
比如一个网站只允许访问 /images/ ,访问其他页面时提示403:
参数:
请求路径 - [requestPath]操作符:
正则不匹配对比值:
^/images/(其中^在正则中表示开头)执行动作:
- 状态码:
403
- 状态码:
设置后,访问 /images/test.jpg、/images/test.jpg?v=123 之类的URL是正常的,访问 /images2/test.jpg 会显示403。
编解码
编解码可以对输入的参数值进行二次处理后,再跟对比值进行对比。以下是几个示例:
示例1:判断某个参数值的长度必须大于100
如果要想判断某个参数值的长度大于100,可以使用编解码的”计算长度”,规则内容如下:
- 参数:
单个URL参数值-[arg] - 参数名:name (比如要判断的是URL中的参数name)
- 编解码:计算长度
- 操作符:数值大于
- 对比值:100
这样当用户输入的name参数长度大于100的时候就会匹配到此规则。
示例2:判断某个用户输入的某个Base64内容必须包含某个字符串
当用户输入Base64内容的时候,使用常规的手段无法进行对比,所以可以使用编解码中的”BASE64Decode”,规则内容如下:
- 参数:
单个URL参数值-[arg] - 参数名:name (比如要判断的是URL中的参数name)
- 编解码:BASE64Decode
- 操作符:包含字符串
- 对比值:HelloWorld
这样当用户输入类似于”SGVsbG9Xb3JsZA==“的内容时,就能匹配到该规则。
示例3:判断经过转义的URL是否匹配某个规则
如果用户输入的内容中是经过转义的,可能会对我们的判断有所影响,比如:
针对这种情况,我们可以使用编解码中的URLDecode来对输入值进行解码后再对比:
- 参数:
所有URL参数组合-[args] - 参数名:name (比如要判断的是URL中的参数name)
- 编解码:URLDecode
- 操作符:正则匹配
- 对比值:DELETE FROM
经过解码后,上面的一段内容会被解码成:
所以就会和我们写的正则相匹配
其他设置
随便说说就行,因为基本上都有标注了,主打就是出问题就关闭,一般需要设置的需求很少
- 内容压缩
如果启动了发现网站不正常就关闭,亦或者自行调整自己的需求,比如说WP博客程序网上就有很多的设置要求,都一一列出给你们了
- 自定义页面
这是一个可以让你自由自定义网站某状态码下的页面,比如说常见的404,你可以相应状态码是404然后自定义自己想要的404页面,又或者是502等报错,来给访客展示这个状态码下你想转告访客的信息
Websocket
WebSocket是一种网络传输协议,可在单个TCP连接上进行全双工通信,位于OSI模型的应用层;使得客户端和服务器之间的数据交换变得更加简单,允许服务端主动向客户端推送数据,常见使用场景就是实时聊天工具,这样不用你刷新了才看得到别人新发的信息
设置完这些基本上就已经可以使用了
后续需要补充可以留言,我会更新此文章!
