跳到主要内容
版本:v1.5.2

使用手册

1 看板

看板页面以数据报表的形式展示了瑞数云服务检测到的安全数据,帮助管理员对业务的访问情况进行监测和管理。

看板页面展示了JS探针的运行状态以及访问业务的客户端相关数据。通过顶部的时间配置选项可以选定需要查看的时间段,选定后单击“搜索”即可。

  • 检测回传次数:展示了瑞数云服务在时间范围内的收到的与检测相关的请求总数。

  • 业务请求量:展示了访问站点的客户端请求数量。

  • 业务请求IP数:展示了访问站点的客户端的IP地址数量。

  • Bot 识别次数:展示了JS探针检测并判定为自动化工具发出的请求总数。

  • JS探针下载次数:展示了JS探针在客户端被下载运行的次数。

  • 探针侦测请求次数:展示了探针JS在客户端运行时主动上报给瑞数云服务检测服务的请求总数。

  • 业务请求判定分布:以饼图的形式展示了云服务针对客户端请求的检测结果分类占比。

  • Bot检出类型分布:以饼图的形式展示了瑞数云服务识别到的使用的自动化工具(如扫描器、自动化爬取工具)占比。

  • 浏览器客户端类型分布:以饼图的形式展示了识别到的不同类的浏览器客户端的分布情况。

  • 站点流量分布:展示了连接不同站点配置ID的站点资源(例如反向代理服务器上的server或者location)的访问量占比。

  • 业务访问量时间图:展示了指定时间段内访问站点的客户端总请求量和异常请求量曲线。

  • 业务流量请求排行榜:展示了站点路径的排行榜,,默认按照请求次数从高到低排序。

  • JS探针运行路径排行榜:展示了运行了JS探针的referer路径排行榜,默认按照运行次数从高到低排序。

  • 业务请求IP分布:展示了源IP的排行榜,默认按照请求次数从高到低排序。

2 搜索

搜索页面提供了查看原始日志、检测日志和自定义日志的入口,如下图所示。

通过界面中的下拉菜单指定需要查看的日志,即可显示该日志的所有内容。通过页面左上角的“新增过滤”按钮可以实现仅显示指定字段的日志。通过页面右上角的时间配置项可以显示指定时间段内的日志。

💡   提示:

关于“搜索”页面常用的字段及其含义,请参考附录1 字段列表

如果需要针对具体的业务需求定制报表,请通过附录 4中的信息联系我们。

3 站点配置

站点配置页面用于制定和保存不同的安全防护方案。这些方案包含了防护机制的详细配置,其中包括瑞数云服务运行模式、WEB防护配置、WEB字段提取等。

通过在Nginx代理服务器的配置文件中引用某个方案的ID号,实现对不同的上游服务器采用不同的防护方案,以及针对同一个上游服务器快速切换防护方案以适应不同的安防需求。

站点配置页面中单击创建站点配置将会弹出方案编辑窗口。以下内容将针对窗口中的各个配置项进行详细讲解。

💡   提示:

站点配置页面的右上角提供了 “下载插件” ,用于下载瑞数云服务的插件文件。

采用无插件接入的情况下,以下站点配置项中仅 “令牌 cookie 名称、身份 cookie 名称、浏览器特征检测、获取源IP” 能够生效。

3.1 配置名称

管理员通过配置名称对不同的方案进行区别和管理。不同的配置方案之间不能使用相同的名称,并且每个配置方案都会在创建完成后,自动分配一个ID,以便在Nginx中引用该ID。

3.2 运行模式

瑞数云服务可以工作在三种模式下。

选择透传模式时,配置窗口不提供任何配置选项。

该模式下,瑞数云服务所有的安全机制都停止工作,不会对流量执行任何安全检查,仅记录日志。

选择监控模式时,配置窗口会提供包括探针JS、动态令牌、例外配置、检测配置等选项。

该模式下,瑞数云服务不会对异常流量进行拦截,但会进行安全检查并记录日志。

选择拦截模式时,配置窗口中除了包含监控模式下的所有选项,还增加了拦截相关的配置。

该模式下,瑞数云服务会对异常流量进行拦截,并同时记录日志。

3.3 详细配置

当选择监控或者拦截时,窗口会展示更多的配置项,以下内容将对这些配置项进行详细解释。

💡   提示:

拦截模式下窗口会显示所有可用的配置项,其中包括了监控模式下的配置项,因此以下将以拦截模式为例进行讲解。

3.3.1 黑白名单配置标签(仅限监控或拦截模式)

该标签下的配置项通过名单的形式来实现对指定路径和源IP的例外处理方式。默认为没有例外,即对所有请求都会进行检查。

  • 名单模式

    • 检查所有请求:选中该选项时,系统会对所有路径和源IP的请求进行安全检查。此时 启用路径名单启用IP名单 选项不可用。

    • 仅检查以下请求:选中该选项时,只有请求路径匹配路径名单(如果已启用)的请求、或者源IP匹配IP名单(如果已启用)的请求才会被瑞数云服务检查。如果两个名单都没有启用,则会透传所有请求。

    • 仅透传以下请求:选中该选项时,只有请求路径匹配路径名单(如果已启用)的请求、或者源IP匹配IP名单(如果已启用)的请求才会被瑞数云服务透传。如果两个名单都没有启用,则会检查所有请求。

  • 启用路径名单

    启用后,填写请求路径,每行一条路径。

  • 启用IP名单

    启用后,填写源IP,每行一个源IP。

💡   注意:

路径名单和IP名单选项之间为逻辑或的关系。

如果仅需要指定路径名单或者IP名单,请禁用另一个名单,以免其默认值造成干扰。

3.3.2 WEB防护配置标签(仅限监控或拦截模式)

该标签下的配置项针对的是Web端的安全防护。

  • 动态令牌(仅限监控或拦截模式)

    用于配置令牌cooki名称、身份cookie名称和过期时间(默认60秒)。当动态令牌过期后客户端再次请求时,服务器端会要求客户端重新下载探针JS。探针JS只能在真实的浏览器中运行并从瑞数云服务获取新的cookie令牌,从而防止了非法客户端访问站点。

    建议保持默认即可。

  • 拦截功能(仅限拦截模式)

    提供了拦截相关的几种配置。

    • 拦截响应状态码:设置发生拦截操作时(例如请求触发了某个策略而被拦截),返回给客户端的响应码。建议保持默认400即可。

    • 拦截响应内容:设置发生拦截操作时(例如请求触发了某个策略而被拦截),返回给客户端的页面内容。建议保持默认即可。

    • 重载校验状态码:设置当需要客户端重新发起请求时(例如请求未包含合法令牌或令牌已过期)的返回码。建议保持默认412即可。

    • 重载响应内容:设置当需要客户端重新发起请求时(例如请求未包含合法令牌或令牌已过期)返回的页面内容。建议保持默认即可。

  • 检测配置(仅限监控或拦截模式)

    • 浏览器特征检测:

      该开关用于启用/禁用检测服务中对浏览器特征的检测。启用时,检测服务可以检测到由自动化工具(如webdriver)发起的请求,当插件配置中对应的crzz_secure_plugin_block_bots打开时,将会拦截对应的自动化工具请求。禁用时,检测服务则不会进行相应的检测,对应的插件也不会对自动化工具发出的请求进行拦截。

    • 隐藏服务器信息:

      该开关启用时,响应中包含的服务器信息会被隐藏。禁用时,响应中包含的服务器信息以明文显示出来。

    • 获取源IP:

      该配置项用于指定检测服务如何获取源IP(src_ip值),以便进行数据统计。

      下拉菜单中提供了四种获取请求源IP的方式:

      X-Real-IP表示将请求头中的X-Real-IP字段的IP作为源IP地址;

      X-Forwarded-For选项被选中时,下拉菜单包含“最左”、“过滤”和“最右”三个选项,最左和最右两个选项分别指采用X-Forworded_For字段中的最左边、或者最右边的IP作为源IP。选中“过滤”时,会显示一个额外的名为“源IP可信来源”的配置框,用于填写反向代理服务器之前的所有代理转发节点的IP。云服务会将X-Forwarded-for字段中的每个IP从右到左依次与“源IP可信来源”配置框中的IP地址比对,当出现第一个无法与该字段中的任何IP匹配的地址时,即作为源IP地址,从而避免将反向代理服务器的IP误作为源IP。

      默认表示将取与检测服务直接建立连接的对端IP为该请求的源IP地址;

      自定义表示从指定的请求头字段中获取源IP地址。

3.3.3 WEB字段提取(仅限监控或拦截模式)

该标签的配置项用于指定登录时页面的一些特征字段(即DOM对象的 queryselector() 方法支持的元素属性,例如页面元素的id号以#id的模式填写),以便帮助瑞数云服务解析终端用户的登录信息,例如用户名、是否登录成功,并显示在报表里。

  • 启用账户提取(启用时WEB字段提取功能生效)

    • 登录页面路径:

      填写登录页面的路径,瑞数云服务会在该路径的页面中查找下面指定的各个页面元素。

    • 登录输入框特征:

      将登录页面上用户名输入框元素的某个属性,以DOM对象的 queryselector() 方法支持的方式填写到文本框中 ,例如登录用户名输入框的id 值为 "uid", 那么就填写 #uid。瑞数云服务会自动在登录页面中查找该元素中包含的用户名,并将其放入报表中的account字段。

    • 登录成功信息特征 和 登录成功信息内容:

      将登录成功后页面上的提示文本所在的元素的某个属性和内容,以DOM对象的 queryselector() 方法支持的方式填写到文本框中。例如登录成功后页面显示文本 Congratulations,并且该文本所在元素的id值为 _ctl0__ctl0_Content_Main_promo,则在登录成功信息特征中填写 #_ctl0__ctl0_Content_Main_promo,并且在登录成功信息内容中填写 Congratulations。瑞数云服务会自动在登录成功的页面中查找你指定的元素,当该元素的内容成功匹配文本 Congratulations 时,就会在报表中的 login_status 字段中写入 2,表示登录成功。

    • 登录失败信息特征 和 登录失败信息内容:

      将登录失败后页面上的提示文本所在的元素的某个属性和内容,以DOM对象的 queryselector() 方法支持的方式填写到文本框中,例如登录失败后页面显示文本 Login Failed,并且该文本所在元素的id值为 “_ctl0__ctl0_Content_Main_message”,则在登录失败信息特征中填写 #_ctl0__ctl0_Content_Main_message,并且在登录失败信息内容中填写 Login Failed。瑞数云服务会自动在登录失败的页面中查找你指定的元素,当该元素的内容成功匹配文本 Login Failed 时,就会在报表中的 login_status 字段中写入 1,表示登录失败。

💡   提示:

当瑞数云服务无法成功匹配 “登录成功信息特征” 和 “登录失败信息特征” 时,会在报表中的 login_status 字段中写入 0,表示非登录行为。

方案列表右方操作栏中为每个方案提供了编辑、删除、复制按钮。

配置完成后单击配置窗口的保存按钮即可。

保存成功后,可以在方案配置页面中看到包括该方案ID号在内的方案信息。将方案的ID写入反向代理服务器(网关)的配置文件中,并完成一系列的配置工作,即可实现基于该方案的防护措施(请参考接入指南页面中插件版相关文档内指令集的内容)。

4 企业管理

💡   提示:

由于只有管理员可以查看企业管理,因此企业管理菜单只对管理员可见。

企业管理页面主要包含了当前用户信息、防护模块激活状态、账号管理和购买记录等。如下图所示。

com_manage

页面顶部的企业ID号和客户名称是购买防护服务时所注册的ID和名称。版本类型显示为“测试”,表示当前用户未购买任何防护服务。版本类型显示为“正式”,表示当前用户已购买了防护服务。

4.1 激活内容

module_status

显示当前以及当前各个防护模块的工作状态和规格。当模块正常工作时,工作状态显示为“激活”。没有购买的模块会显示为“未购买”。已超过使用期限的模块,会显示“已过期”。

4.2 账号管理

acounts

显示当前每个可用账号的创建时间、账号ID、账号名、状态、权限和操作等信息。支持对账号进行密码重置、禁用、修改权限的操作。并且在右上角提供账号筛选下拉菜单和创建新账号按钮。

💡   注意:

仅管理员有权对其他账号进行操作。另外,管理员不能对自己进行禁用或修改权限。

账号筛选下拉菜单可以根据账号的激活状态和启用禁用状态进行筛选,并显示筛选结果。单击右上角的创建账号按钮,可以添加新账号,如下图所示。

以下表格对配置项进行了说明。

配置项说明
角色为账户分配管理员(可访问看板、站点配置、企业管理)、用户(可访问看板、站点配置)或者访客(可访问看板)角色。
邮箱输入邮箱后,该邮箱可以作为账号名登录系统。

填写完成后单击“发送”按钮,所填邮箱将收到一封激活邮件。登录该邮箱激活后,即可使用该邮箱地址登录系统。

💡   注意:

已激活的邮箱不能再次用于新账号的创建。5分钟内针对相同邮箱只能发送一封激活邮件,且5分钟内最多创建5个新账号。

4.3 购买记录

显示当前所有的购买订单相关信息,包括订单创建事件、订单号、所购商品名称、订单过期时间、订单状态、备注信息和操作。

💡   提示:

单击操作一栏中的续期按钮,会弹出“请联系您的渠道销售”提示信息,并不能直接续期。

5 其他

在管理界面的右上角可以看到当前登录的账号信息,单击后可以展开我的账号系统版本退出三个选项。

我的账号:显示了当前账号的账号名、ID、角色和权限等信息,同时可以修改当前账号的密码,如下图所示;

💡   提示:

密码长度为8-16位,需要由英文大写/小写/数字/符号中至少3种组合而成,同时系统将对修改后的密码进行弱口令检查。

系统版本:显示了当前系统的版本号;

退出:单击后,将退出当前账号的登录状态,回到登录页面。

附录 1 字段列表

字段名类型解释
accountString通过“WEB字段提取”功能获取的浏览器端登录被保护站点时所用的账号名
body_bytes_sentUInt64浏览器端发起的HTTP请求体长度
client_bot_typeString浏览器端机器人类型
detection_resultString针对浏览器端的检测结果
fingerprintString浏览器端的指纹
guard_statusString插件对于浏览器端请求的判断结果
ip_cityStringIP地址所属城市
ip_classificationStringIP信誉分类
ip_data_center_nameStringIP对应的数据中心名
keeper_versionString当前插件版本
login_statusUInt8浏览器端登录被保护站点时的登录状态。0表示无登录行为,1表示登录成功,2表示登录失败。
meta_dataString客户自定义信息
referrerString浏览器端请求的地址
requestString浏览器端的请求方法+请求路径+请求协议版本
request_timeFloat64请求耗时
sessionString请求会话ID
site_idString站点配置ID
source_typeString请求的来源
src_ipString请求的源IP
statusUInt16请求的响应码
tenant_idString租户ID号
ua_classificationString浏览器类别
ua_familyString浏览器名称
ua_osString浏览器端的操作系统
ua_version_majorString浏览器主版本信息
user_agentString浏览器详细信息
x_forwarded_forString请求头中的X-Forwarded-For字段
raw_dataString原始日志数据
reasonString日志解析失败时的原因
log_idString日志的ID号
log_setting_idString日志配置的ID号
parsedUInt8日志解析成功为1,失败为0
t_detectorDateTime64访问云端花费的时长
event_nameString事件名称
event_configure_idString事件ID号
event_metaString事件详情
has_alarmUInt8启用了规则触发时的告警功能为1,未启用为0
has_actionUInt8启用了规则触发时的动作即为1,未启用为0

附录 2 支持的浏览器

以下表格列出了瑞数云服务的管理界面和JS探针支持的浏览器。

分类浏览器版本
管理界面

• Chrome v57或更高版本

• Firefox v52或更高版本

• Edge v79或更高版本

JS探针

• IE v8或更高版本

• Chrome v49或更高版本

• Firefox v52或更高版本

• Safari v10或更高版本

• Edge v44或更高版本

附录 3 已知问题

  1. 插件配置文件 config.json中的 http.interval_in_seconds 大于等于10时,会导致插件连接状态异常。

    该文件默认路径为 /usr/local/openresty/lualib/riversec/static/config.json,其中 http.interval_in_seconds 配置项默认值为3,如果修改为大于等于10的值,会导致插件连接状态异常。建议保持默认值。

  2. Centos7操作系统上安装插件报错。

    在Centos7操作系统上安装插件,遇到报错信息 "version `GLIBC_2.18' not found" 时,请参考附录4中的信息,联系我们帮助解决。

附录 4 联系我们

技术支持电话

400-611-8558

电子邮件

service@riversecurity.com