大项

需求细项

具体说明

基本

需求

接入方式

同时支持域名cname、绑定高防IP等方式接入。

防护能力

(1)网络层DDoS防护能力≥10Gbps;(2 )应用层CC防护能力≥40000QPS(每秒请求数);( 3 ) 终端用户正常业务带宽保障≥10M。

域名配置

(1)主域名数(Http/Https)≥9；(2)域名总数(Http/Https)≥200个(含子域名，对单一主域名下子域名数不做限制)；(3)转发端口数(TCP/UDP)≥50个;(4)至少提供A记录解析、AAAA记录解析、CNAME记录解析等DNS解析方式。

CDN加速融合

支持安全加速一体化

源站保护

(1)隐藏源站IP(含IPV4和IPV6);(2)单客户提供云端可配置IP个数(含IPV4和 IPV6)≥10;(3)支持服务器敏感信息泄露防护，包括服务器类型信息、服务器版本信息、敏感路径信息泄露、网站源码泄露等。

防护原理

分布式节点防护，智能调度，智能边缘防护，可防御超大流量攻击实时清洗，不影响正常业务。

运营商覆盖

至少覆盖三大运营商(电信、移动、联通)，其他小运营商覆盖可在验收文档中附加说明。

防护算法

支持:(1)大数据分析;(2)动态日志分析;(3)智能学习。

防护节点

(1)云安全防护厂商防护节点数≥20；(2)单节点防护能力≥500M,全部节点防护能力≥10T;(3)节点支持BGPAnycast分布式流量清洗。

网络层DDos

防护

防护类型

(1)实时阻断SYN Flood、ACK Flood、ICMP Flood、UDP Flood、NTP Flood、SSDP Flood、DNS Flood(含Query和 replay)、TCP Flood、RST Flood等各类网络层DDoS攻击;(2)支持反射型DDoS攻击防护,直接过滤来自常用的反射端口(如NTP、Memcache、SSDP等)的报文防御反射型DDoS攻击;(3)支持对TCP/UDP/IP等类型的畸形报文攻击进行防护、支持对Smurf攻击、Land攻击、Fraggle攻击、Ping of Death攻击等DDOS攻击进行流量清洗。

SYNF lood

防护

支持实时检测过滤畸形包(如长度值异常等)和不符合规则的报文，同时通过SYNCookie校验、重传验证等方式完成客户端的协议行为验证，在不影响正常客户端连接的情况下阻断攻击。

ACK Flood

防护

实时存储连接表信息，通过对接收到的 ACK 报文进行智能校验，判断其是否为合法报文，如不合法，则直接丢弃，进而高效阻断攻击报文，不对正常访问造成影响。

ICMP Flood 防护

实时统计到达目的 IP 的流量 ，超过设定阈值则直接丢包。

反射型 DDoS 防护

直接过滤来自常用的反射端口(如NTP、Memcache、SSDP 等)的报文防御反射型DDoS攻击

应用层

DDos

防护

防护类型

智能防御各类TCP链接耗尽型/应用层精巧型CC攻击，包括但不限于HTTP Flood、HTTP Get Flood、HTTP Post Flood、TCP Data Flood、慢连接攻击等各类常见的应用层攻击。

CC/HTTP Flood防护

提供JS 验证、META 验证、302 跳转、验证码等多种

人机校验方式，有效拦截攻击的同时，保障正常用户的访问体验。

威胁情报库

可实时汇总分析攻击日志，提取攻击特征并进行威胁等级评估，形成威胁情报库。

个性化策略配置

对请求没有命中威胁情报库中的高风险特征，提供通过IP黑白名单、访问频率控制等个性化防御攻击策略配置。

人机校验

当请求与网站正常访问基线不一致时，可启动人机校验(如JS验证、META验证等)方式进行验证，拦截攻击。

WEB攻击防护

HTTP请求合规检测

(1)支持HTTP/HTTPS协议合规性检查,包括畸形报文、HTTP版本检查、报文头缺失、请求方法限制、协议违规等;(2)阻止不合规(RFC、用户定义)的HTTP请求。

注入类防护

可识别和阻断SQL注入、Cookie注入、命令注入、SSI

注入防护、LDAP注入、XPATH注入等常见的注入类攻击。

木马后门

防护

可识别和阻止攻击者向网站服务器上传webshell后门，包括但不限于ASP木马、JSP木马、PHP木马、一句话木马、菜刀工具等.

扫描器扫描防护

可识别和阻止扫描器对站点进行漏洞扫描，包括但不限于Appscan、Awvs、Pangolin、Burpsuite、啊D、明小子、Nikto等扫描器。

恶意爬虫

防护

可通过User-Agent匹配及访问速度限制阻断恶意爬虫程序抓取站点信息，可区分对待各类搜索引擎( 包括但不限于百度、谷歌、必应、360、搜狗、神马搜索)与各类恶意爬虫的行为特征，可自定义配置基于特定URL的爬虫防护配置。

Cookie保护

阻止攻击者通过对Cookie的篡改、盗用实施注入、会话劫持等攻击。

文件包含

防护

(1)阻止攻击者利用本地文件包含漏洞窃取网站服务器的重要文件；(2)阻止攻击者引入利用远程文件包含漏洞向网站服务器引入恶意文件。

黑白名单访问控制

(1) 黑白名单规则可对某些URL 选择设置拦截、只检测、放行等3种防护模式，支持正则；(2)黑白名单规则可对某IP选择设置拦截、只检测、放行等3种防护模式，支持设置多个IP且IP不限国内国外等地域。

CDN

加速

智能调度

(1)可根据local DNS 动态选择最佳服务节点，实现智能判断故障并切换；(2) 全面支持EDNS，根据网站 IP所在地动态选择边缘服务节点。

请求优化

(1)支持节点与客户端持久连接、range 请求优化、post请求优先响应等优化；(2)支持302重定向跟随、错误页面重定向、URL嵌入改写等URL请求重定向优化。

新协议支持

(1)支持IPv6与IPv4的CDN网络层转换,解决IPv4用户接入IPv6源或IPv6用户接入IPv4源的互连互通问题;(2)支持https加速;(3)https支持SNI协议。

安全

告警

全局告警

提供多维度全方位的监控报警服务，包括实时攻击监控报警、潜在安全风险预警，第一时间将网站各种异常情况以邮件、短信等形式，通知网站管理人员。

网络层DDoS告报警

实时采集并统计网络层攻击带宽，当网络层攻击到达攻击带宽阈值时，发送相应攻击报警给网站管理人员。

应用层DDoS告报警

通过动态学习访问日志，建立动态访问基线，当检测到异常访问时，发送相应攻击报警给网站管理人员。

安全预警

对云端攻击数据进行分析，提取攻击特征，进行安全事件关联分析，发送防护策略建议给网站管理人员。

可视化

网站防护

总览视图

实时展示展示网站防护概况，可实时查看全局防护状态、攻击趋势等安全状态。

攻击事件

关联视图

以攻击事件形式关联展示攻击IP、IP归属地、攻击类型、攻击量、攻击时间等视图。

报表视图

(1)日志报表：可按日统计并形成安全防护相关安全防护数据视图；(2)自定义报表：支持自定义时间段的视图报表功能；(3)曲线趋势视图：以曲线形式展示安全防护相关数据视图。

安全

报表

防护日志

下载

支持SI界面导出防护日志到EXCEL并可下载到本地。

防护日志

定期发送

支持每日/每周/每月往指定邮箱发送防护日志。

安全报告

下载

支持SI界面导出云安全服务报告。

安全报告

定期发送

支持每日/每周/每月往指定邮箱发送服务报告。

应急

7*24应急

响应

在紧急情形下7*24响应协助网站管理人员开展与相关的应急工作，有具体远程服务人员提供远程协助服务。