接入 ESA:把「防CC/防DDoS + Bot + WAF + 源站隐藏」一次装齐
想让商家网站抗住刷接口、恶意爬虫、突发流量,又不想源站IP暴露,直接用腾讯云边缘安全加速 ESA 的组合拳就行:七层DDoS/CC防护 + Bot 管理 + 自定义WAF规则 + 源站隐藏,全在一个控制台里搞定。
- 把业务域名接入 ESA,加速节点对外提供服务
- 源站只对 ESA 回源放行,外网扫不到真实IP
- 攻击流量在边缘被清洗/拦截,源站压力明显下降
控制台怎么配:防护开关、Bot 策略、WAF 自定义规则
防DDoS/防CC(七层)怎么开
在安全防护 > DDoS 防护 > 站点(七层)服务防护里,界面在2026年1月12日后有更新:支持勾选多个域名后点“批量启用”。适合多店铺、多子站点一起开保护。
调优小技巧:如果你是活动站,别一上来就把阈值拉得很死。建议先观察 1-2 天的正常峰值,比如日常每IP 30-60 次/分钟的接口请求,就别把 CC 限制设成每IP 20 次/分钟,不然真实用户会被误伤。
Bot 管理:拦“脚本”,放“真人”
在 Bot 管理里把策略按路径拆开:/login、/api、/coupon 这类敏感接口更严格;/product、/blog 可放宽。一个常见案例:某零售站被脚本批量撞库,给 /login 加上 Bot 挑战与频率限制后,失败登录告警量能从几千次/小时降到几百次/小时。
自定义 WAF:用最少规则解决最痛问题
自定义规则建议从“可解释、可回滚”的写法开始:
- 按 URL 精准打:只保护 /api/order、/pay/callback,不要全站一刀切
- 按方法限制:比如 /api/order 只允许 POST,GET 直接拦
- 按参数特征:订单号只允许数字长度 18-24,超出就拦
规则动作别都用拦截。灰度期可以用观察/告警跑半天,确认误杀率再切拦截。
源站隐藏:别让攻击绕过 ESA 直打服务器
这步很多人漏掉,结果“边缘拦得住,源站被直连打挂”。做法很实用:
- 源站防火墙/安全组只放行 ESA 回源 IP 段或回源专线能力(按你实际产品形态配置)
- 源站只开必要端口,管理端口改白名单
- 把历史暴露过的源站IP替换掉,避免被老攻击脚本继续命中
日志分析实操:用数据把策略调到“不误伤还更狠”
别靠感觉调策略。看日志时盯三类指标就够用:Top 命中规则、Top 攻击IP/UA、被拦截的URL。如果发现 80% 拦截都集中在 /api/search,说明要么被刷接口,要么你的缓存/限频没跟上。
可执行建议:今天就做三件事——把所有域名在七层防护页批量启用;给 /login 和 /api 加一条 Bot 挑战 + 每IP限频;源站安全组改成只允许回源访问。明天看日志,把误杀最多的那条 WAF 规则改成“观察”,再细分到具体路径。
