IBM Cloud Docs
关于 IBM Cloud Internet Services

关于 IBM Cloud Internet Services

IBM Cloud® Internet Services 由 Cloudflare 提供支持,为在 IBM Cloud 上运行业务的客户提供快速、高性能、可靠和安全的互联网服务。

IBM CIS 通过建立默认设置,您可以使用用户界面或应用程序接口轻松更改默认设置,从而快速上手。

时钟同步

ISO 27001 要求组织或安全域内所有相关信息处理系统的时钟必须与单个参考时间源同步。CIS 使系统与网络时间协议 (NTP) 服务器同步,以确保所有基于时间的活动在网络上的任何位置都同步发生。

IBM CIS 使用以下内部 NTP 服务器:

  • time.adn.networklayer.com/
  • time.service.networklayer.com

安全性功能

代理 DNS 记录全局负载均衡器 以使用安全功能。 代理允许流量流经我们的服务器,您可以监视数据。

安全图形{: caption="的图像安全" caption-side="bottom}

TLS

保护您的站点并控制您的传输层安全性 (TLS) 设置。 管理用于保护站点流量的证书。

管理 TLS 证书,以加密源服务器与用户之间的流量。

速率限制

使用限速规则,通过阻止与 URL 模式匹配或超过规定阈值的客户端IP地址,保护您的网站或API免受恶意流量攻击。

流量擦除

CIS 提供248 Tbps的全球网络边缘容量,可以缓解数据包和 请求速率极高的 攻击。HTTP DDoS

发生 DDoS 攻击时,CIS 不会使用擦除中心; 将在边缘分析活动,这有助于缓解最接近源的 DDoS 攻击。

标识为“脏”或攻击的一部分的流量不会包含在计费中。 将针对 受保护流量对客户进行计费,该流量由转发到源的干净流量以及从边缘返回到客户机的响应组成。

Web 应用程序防火墙 (WAF)

WAF通过多个规则集实现 :OWASP、CIS 以及“暴露的凭证检查”。

IP 防火墙

IBM Cloud Internet Services 提供多个工具来控制流量,以便可保护您的域、URL 和目录,避免受到流量、特定请求者组和特定请求 IP 的访问。

IP 规则

通过 IP 规则,您可以控制特定 IP 地址、IP 范围、特定国家、特定 ASN 和特定 CIDR 块的访问。 针对入局请求的可用操作包括:

  • 允许列表
  • 阻止
  • 质询(验证码)
  • JavaScript 提问 (防御方式)

例如,如果您注意到特定 IP 导致恶意请求,那么您可以按 IP 地址阻止该用户。

IP规则适用于TCP、HTTP 和 HTTPS Range应用程序,因为IP规则适用于开放系统互连(OSI)第3层和第4层。

用户代理阻止规则

通过用户代理拦截规则,您可以对您选择的任何用户代理字符串采取行动。 此功能的工作方式类似于域锁定,只是块会检查入局用户代理字符串而不是 IP。 您可以使用在 IP 规则中建立的相同操作列表(阻止、质疑和 JS 质疑)来选择如何处理匹配请求。 用户代理拦截适用于整个区域。 您不能像锁定域名那样指定子域名。

此工具很适合用于阻止您认为可疑的任何“用户代理”字符串。

域锁定

通过使用域锁定,可以允许列出特定 IP 地址和 IP 范围,从而阻止列出所有其他 IP。 域锁定支持以下项。

  • 特定子域 - 例如,可以允许 IP 1.2.3.4 访问域 foo.example.com,允许 IP 5.6.7.8 访问域 bar.example.com,但不允许反向访问。
  • 特定 URL - 例如,可以允许 IP 1.2.3.4 访问目录 example.com/foo/*,允许 IP 5.6.7.8 访问目录 example.com/bar/*,但不允许反向访问。

当您需要更精细的访问规则时,这种功能非常有用,因为通过 IP 规则,您可以将拦截应用于当前域的所有子域,也可以应用于账户上的所有域。 您不能指定统一资源标识符(URI)。

防火墙规则

创建根据一组过滤器来检查入局 HTTP 流量的规则,以阻止、提问、记录或允许匹配的请求。

一般来说,防火墙规则是为OSI Layer-7 ( HTTP )中暴露的属性而设计的,例如请求头和正文内容特征。 因此,防火墙规则适用于 HTTP / HTTPS Range应用程序

事件

查看活动 Web 应用程序防火墙规则触发的事件。 对于每个事件,可根据请求方 IP 地址或整个请求方区域来更改触发的操作。

范围

通过使用 Range 应用程序,将 CIS DDoS, TLS 和 IP 防火墙的功能扩展到您的网络服务器和基于 TCP 的服务,使其保持在线和安全。

高级安全性

高级安全设置包含以下功能,您可以更改,启用或禁用这些功能。

  • 浏览器完整性检查- 浏览器完整性检查会查找垃圾邮件发送者常滥用的 HTTP 标头。 此检查会拒绝那些头访问页面时所带来的流量。 它还会阻止或质疑没有用户代理或添加非标准用户代理的访问者。 此策略通常由滥用机器人,搜寻器或 API 使用。
  • 提问通道-控制通过提问 (或 JavaScript 提问) 的访问者在再次提问之前获得对站点的访问权的时间长度。 这种挑战基于访问者的 IP,因此不适用于 WAF 规则提出的挑战,因为它们基于用户在网站上执行的操作。
  • 安全级别-设置 Web 站点的安全级别,以确定哪些访问者接收到提问页面。
  • 请使用 HTTPS- 将所有访问者重定向到 HTTPS 版本。
  • 电子邮件混淆--防止垃圾邮件收割机和机器人试图访问您网页上的电子邮件地址。
  • 自动重写 HTTPS- 通过将网站上可使用 HTTPS 服务的所有资源(或链接)的 http 更改为 https,帮助修复混合内容。
  • 机会加密- 通过告知浏览器您的网站可通过加密连接访问,让浏览器从 HTTP/2 的性能改进中获益。
  • 通用 SSL- 激活从区域到边缘的通用 SSL 证书。
  • True 客户机 IP 头-在 True-Client-IP 头中发送用户的 IP 地址。

安全标准和平台

  • TLS(SHA2 和 SHA1)
  • IPv4 和 IPv6
  • HTTP/2

网络攻击和缓解

通常,攻击分为两类:

网络攻击类型
Layer-3 或 Layer-4 攻击 Layer-7 攻击
这些攻击包括 ISO 第 3 层(网络层)的流量泛洪,如 ICMP 泛洪,或第 4 层(传输层)的流量泛洪,如 TCP SYN 泛洪或反射 UDP 泛洪。 这些攻击会发送恶意 ISO Layer-7 请求(应用层),如 GET 泛洪。
在 CIS 边缘自动屏蔽 CIS 使用“防御”方式,WAF 和安全级别设置来处理这些攻击。

按需 anti-DDoS

IBM Cloud Internet Services 通过在域的 DNS 查找上返回 CIS IP 地址 (而不是源服务器的 IP 地址的实际记录) 来摄入流量。 这允许 CIS 在将数据发送到源服务器目标之前采集,单次传递检查和重新加密数据。CIS 还可以在仅 DNS 方式下执行操作,返回实际 DNS 记录而不对 IP 进行模糊处理,这将禁用 DDoS 和 CIS的其他功能。 要启用 CIS 保护,请将每个 DNS 记录旁边的 "proxy" 滑块切换到 ; 要禁用保护,请切换到

无限制 DDoS 缓解

DDoS 缓解通常是昂贵的服务,在遭受攻击时成本可能增加。 CIS 随附了无限制的 DDoS 缓解,无需额外费用。

缓解层 7 攻击 (配置)

虽然缺省情况下在 CIS中启用了 DDoS,但您可以通过以下方法进一步配置层 7 安全性:

  • 配置WAF规则集的敏感度和响应行为
  • 添加速率限制
  • 添加防火墙规则

使用这些功能可定制卷和非卷攻击的层 7 缓解。

缓解非容量攻击

CIS WAF包含用于缓解非容量攻击的规则集,包括跨站伪造、跨站脚本(XSS)、文件包含和SQL注入。 有关 WAF 的其他信息,请参阅 Web 应用程序防火墙概念

费用保护

CIS 不会对作为 DDoS 缓解,防火墙或速率限制的一部分而阻塞的流量进行计量或计费。 只有通过 CIS 网络传递到源目标的请求才会产生费用或使用情况。

CIS 还通过仅传递源需要响应的正常请求,帮助控制来自源的出口带宽费用。 所有 CIS 套餐都提供了无限制且未计量的 DDoS 攻击缓解。 不会向您收取攻击流量费用。 不会因为攻击流量而对峰值进行惩罚,因此客户不会进行退款。

可靠性功能

可靠性图形{: caption="的图像可靠性" caption-side="bottom"}

全局负载均衡功能

全局负载均衡服务通过源池,运行状况检查和负载均衡器组合在多个服务器之间分发流量。 全局负载均衡具有以下功能:

  • 针对负载均衡的代理和非代理选项
  • 原产地水池和健康检查

全球 anycast 网络

可用的运行状况检查区域基于 Cloudflare Global Anycast Network

DNS 功能部件

CIS 中的 DNS 具有以下功能:

  • DNS 管理 - 管理 DNS 记录、控制代理并启用 DNS 安全。
  • DNSSEC - DNS 安全性对区域进行加密签名,以确保提供给用户的 DNS 记录与 DNS 服务器上发布的 DNS 记录相同。

gRPC 协议支持

gRPC 协议使用较小的有效内容构建高效 API,这将减少带宽需求,减少等待时间,并增加实现时间。CIS 支持针对任何代理的 gRPC 端点的 gRPC 协议。 要启用或禁用 gRPC 支持,请浏览至 可靠性 部分,选择 高级 选项卡,然后切换 gRPC 开关。

在使用 gRPC: 之前,必须满足以下要求

  • gRPC 端点必须侦听端口 443
  • gRPC 端点必须支持 TLS 和 HTTP/2
  • 必须通过应用层协议协商 (ALPN) 宣传 HTTP/2
  • gRPC 请求的 content-type 头必须使用 application/grpcapplication/grpc+<message type>

性能功能

性能图形{: caption="的图像性能" caption-side="bottom}

缓存

控制 CIS 如何管理高速缓存的资产。

页面规则

微调高速缓存行为并创建内容优化。

路由

通过使用实时网络连接来分析和优化整个全球因特网中的路由决策,消除大量等待时间。

高级性能

在高级性能部分中应用 Brotli 压缩并限制上载大小。