区域封禁指针对访问DDoS高防实例的源IP,按地理区域在清洗机房进行一键封禁,帮助您一键阻断来自指定地区的源IP的访问请求。该功能针对增强功能套餐的DDoS高防实例生效。开启区域封禁后,由封禁地区到DDoS高防实例的流量将被丢弃。本文介绍了设置和开启区域封禁的操作方法。

前提条件

已开通增强功能套餐的DDoS高防实例。更多信息,请参见开通DDoS高防(新BGP&国际)

背景信息

区域封禁通过直接丢弃来自指定中国地区、海外地区和国家来源IP的所有访问请求,达到阻断非业务来源请求的目的。假设访问DDoS高防实例的正常用户均来自中国,您可以为DDoS高防实例设置区域封禁,封禁来自海外地区或国家的访问请求。
说明 区域封禁针对DDoS高防实例生效。如果您需要对多个不同DDoS高防实例开启区域封禁,则需要对不同DDoS高防实例分别进行设置。不支持对多个DDoS高防实例批量设置。
区域封禁VS近源流量压制

区域封禁在DDoS高防清洗机房内部实现,在靠近被攻击目标的位置丢弃特定区域的流量(近目的流量封禁)。区域封禁根据源IP的归属区域在DDoS高防中识别过滤,并不能减小进入高防网络的攻击流量,适用于防护连接资源消耗型攻击。

相比于区域封禁,近源流量压制一般通过运营商骨干网核心路由器,在靠近攻击源的位置丢弃特定区域的流量(例如海外流量)。更多信息,请参见设置近源流量压制
说明 目前仅DDoS高防(新BGP)服务支持近源流量压制功能。

区域封禁VS针对域名的区域封禁

针对域名的区域封禁功能和(针对DDoS高防实例的)区域封禁功能一起使用时,后者优先生效。

例如,针对DDoS高防实例已经通过区域封禁功能封禁了海外地区的流量,关联该DDoS高防实例的域名无论有没有设置区域封禁(针对域名)功能,海外地区用户都不能访问。如果需要实现部分业务封禁海外地区访问,部分业务不封禁海外地区访问,建议您设置针对域名的区域封禁,而非针对DDoS高防实例设置区域封禁。更多信息,请参见设置区域封禁(针对域名)

操作步骤

  1. 登录DDoS高防控制台
  2. 在顶部菜单栏,选择服务所在地域:
    • 中国内地:DDoS高防(新BGP)服务
    • 非中国内地:DDoS高防(国际)服务
    您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。
  3. 在左侧导航栏,单击防护设置 > 通用防护策略
  4. 基础设施DDoS防护页签下,从左侧实例列表中选择要设置的DDoS高防实例。
    说明 您可以使用实例ID、实例备注搜索目标实例。
  5. 定位到区域封禁配置区域,单击设置
  6. 封禁区域设置页面,勾选要封禁的访问请求的来源地区,并单击确定
  7. 回到区域封禁配置区域,开启区域封禁的状态开关,为DDoS高防实例应用区域封禁设置。