本文介绍如何配置DDoS原生防护的自定义防护策略。
概述
您将公网IP资产添加到防护对象后,DDoS原生防护会使用默认的防护策略对公网IP资产进行防护,您可以根据业务特征自定义防护策略,放行或丢弃包含指定特征的业务流量,也可以在受到DDoS攻击后,通过防护日志或者攻击分析详情查看攻击流量特征,调整自定义的防护策略,以提升DDoS防护效果。关于如何查看防护日志和攻击分析详情,请参见查询防护日志和攻击分析。
防护策略类型
IP防护策略-触发模式、IP防护策略-串联模式和端口防护策略支持的配置项不同,建议您同时配置,发生DDoS攻击时,流量按照IP防护策略-触发模式、IP防护策略-串联模式、端口防护策略的顺序依次执行防护动作。近源压制策略有一定的时效性以及额度限制,建议您在受到DDoS攻击时配置。
策略类型 | 说明 |
IP防护策略-触发模式 | 当公网IP资产被攻击且流量超过清洗阈值后,DDoS原生防护会结合您设置的防护策略自动进行网络三层及网络四层的大流量DDoS攻击防护,直至攻击停止。 |
IP防护策略-串联模式 | 对经过公网IP资产的所有业务流量生效,命中设置的防护规则即执行防护动作。主要用来防护网络三层及网络四层的DDoS和CC攻击。 |
端口防护策略 | 端口防护适用于非网站业务的TCP连接资源耗尽型攻击(网络四层CC攻击),支持精细化应用层特征检测与过滤,放行或丢弃包含指定特征的业务流量,主要用来防护网络四层的CC攻击。 |
近源压制策略-默认 | 在指定的封禁时间内直接丢弃所有跨境业务流量,适用于业务本身不存在跨境流量的场景。近源压制一般通过运营商骨干网核心路由器,在靠近攻击源的位置丢弃特定区域的流量。 说明 IP防护策略-串联模式中的区域封禁,是在靠近被攻击目标的位置丢弃特定区域的流量。
每个DDoS原生防护实例每月默认拥有10次触发流量封禁的额度。 |
不同地域的防护策略支持情况
公测期间,防护配置免费为用户开放使用,但支持的能力和地域有限,具体请参见下表。如不能满足业务需求,您可以通过智能在线咨询技术支持人员。
本文中,表示支持,表示不支持。
公网IP资产类型 | 地域 | IP防护策略-触发模式 | IP防护策略-串联模式 | 端口防护策略 | 近源压制策略-默认 |
原生防护1.0及原生防护2.0防护的公网IP资产 | 中国内地 | ||||
非中国内地 | 支持的地域:中国香港、美国(弗吉尼亚)、美国(硅谷)、德国(法兰福克)、英国(伦敦)、日本(东京)、新加坡、印度尼西亚(雅加达)、马来西亚(吉隆坡)。 | ||||
DDoS防护增强EIP(高防EIP) | 中国内地 | 仅华东1(杭州)支持。 | |||
非中国内地 | 支持的地域:中国香港、美国(弗吉尼亚)、美国(硅谷)、德国(法兰福克)、英国(伦敦)、日本(东京)、新加坡、印度尼西亚(雅加达)、马来西亚(吉隆坡)。 | 支持的地域:中国香港、美国(弗吉尼亚)、美国(硅谷)、德国(法兰福克)、英国(伦敦)、日本(东京)、新加坡。 | |||
云下IDC代播 | 非中国内地 |
IP防护策略-触发模式
前提条件
如果您购买的是原生防护1.0或原生防护2.0,请先将公网IP资产添加到防护对象中。具体操作,请参见防护对象。
如果您购买的是DDoS防护增强EIP(高防EIP),购买后高防EIP会自动添加到DDoS原生防护的防护对象中,无需您手动操作。
新建策略模板并绑定防护对象
登录流量安全产品控制台。
在左侧导航栏,选择 。
单击新建策略,输入策略名称并选择策略类型为IP防护策略-触发模式,单击确定。
在策略创建成功对话框单击确定。
为策略模板设置防护规则,并单击下一步。
如果生效资产中只有TCP业务(无UDP业务),建议您封禁全部UDP源端口。但如果您后续增加了UDP业务,请及时调整防护策略。
如果生效资产中存在UDP业务,建议您封禁常见的UDP反射源端口,包括1~52、54~161、389、1900、11211。
单击端口封禁区域的设置,在禁用端口页签单击添加端口。
配置端口规则后,单击确定。
协议:要封禁的协议类型。可选值:TCP、UDP。
开始源端口 - 结束源端口:要封禁的源端口范围。可选范围:1~65535。
开始目的端口 - 结束目的端口:要封禁的目的端口范围。可选范围:1~65535。
匹配后动作:匹配中协议及对应端口后,对流量执行的操作。取值固定为丢弃。
单击黑白名单区域的设置。
在黑白名单库页签单击添加黑白名单。
设置黑名单和白名单,单击确定。
单击指纹过滤区域的设置。
在指纹过滤特征页签单击添加特征。
新增指纹过滤特征配置后单击确定。
协议:协议类型。可选值:TCP、UDP。
开始源端口 — 结束源端口:源端口范围。可选范围:0~65535。
开始目的端口 — 结束目的端口:目的端口范围。可选范围:0~65535。
最小包长 — 最大包长:IP数据包的长度范围。可选范围:1~1500,单位:Byte。
偏移量:UDP或TCP头部后数据体(payload)的偏移量,可选范围:0~1500,单位:Byte。
偏移量为0时,从数据体的第一字节开始匹配。
检测载荷:要匹配的数据体(payload)内容,需要输入以0x开头的十六进制字符串。
匹配后动作:匹配中特征后,对流量执行的操作。可选值:通过、丢弃、源IP限速、session限速。
选择源IP限速、session限速后,必须设置限速值。限速值取值范围:1~100000,单位:pps。
在生效资产列表的待选择对象区域,根据地域和实例名称选择公网IP资产,单击确认添加。
说明一个公网IP资产只允许绑定一个IP防护策略-触发模式的策略模板。
策略生效优先级:黑名单>ICMP协议禁用>白名单>源端口封禁>指纹过滤。
规则名称 | 说明 | 配置方法 |
ICMP协议禁用 | 在流量清洗时直接丢弃ICMP协议流量,可以过滤ICMP攻击,并减少服务器被探测的风险。 说明 ICMP协议禁用对白名单中IP也会生效,即开启该策略后,来自白名单IP的ICMP协议流量也会被丢弃。 | 打开状态开关,并单击确定。 |
端口封禁 | 针对UDP或TCP协议,设置源端口或目的端口过滤规则,直接丢弃来自指定协议及对应端口的流量,可以用于过滤UDP反射攻击。 重要 建议您根据业务场景选择以下推荐配置,提升防护效果: | 同一协议同一端口类型的端口范围不能重合,最多支持8条规则。 |
黑白名单 | 针对源IP设置过滤或放行规则,直接丢弃或放行指定源IP的流量。 | |
指纹过滤 | 在流量清洗时,由攻击工具伪造的攻击报文通常都拥有相同的特征字段,比如都包含某一字符串或整个报文内容一致,通过对数据包中指定位置的内容进行特征匹配,根据匹配结果设置过滤、放行或限速规则。 | 您可以在指纹过滤特征列表中管理已有特征,例如编辑、删除特征,或者对特征排序。 说明 特征排序仅为了方便您管理现有规则,不会对规则生效有任何影响。 |
IP防护策略-串联模式
购买高防EIP后,高防EIP会自动添加到DDoS原生防护的防护对象中,无需您手动添加,您只需创建IP防护策略-串联模式的防护策略,并将策略绑定该高防EIP即可。
新建策略模板并绑定防护对象
登录流量安全产品控制台。
在左侧导航栏,选择 。
单击新建策略,输入策略名称并选择策略类型为IP防护策略-串联模式,单击确定。
在策略创建成功对话框单击确定。
为策略模板设置防护规则,并单击下一步。
重要策略生效优先级:黑/白名单 > 反射攻击过滤 > 区域封禁 > 源限速。
策略名称
说明
配置方法
AI智能防护
智能大数据分析引擎自学习业务流量基线,发现并阻断四层连接型CC攻击,可有效防护四层连接型攻击。
单击AI智能防护区域的设置,在AI智能防护对话框设置状态和等级,单击确定。各等级的防护效果如下:
宽松:结合历史业务及专家经验算法,针对攻击明显的恶意IP进行防护,存在一定漏过,误杀率低。
正常:结合历史业务及专家经验算法,针对攻击明显,疑似的恶意IP进行防护,平衡防护效果及误杀。
严格:结合历史业务及专家经验算法,针对攻击防御效果强,但存在一定概率误杀。
重要创建策略模板后功能默认开启,防护等级为正常,大概需要3天业务流量训练后达到最佳防护效果。
黑白名单
针对源IP设置过滤或放行规则,黑名单IP的请求流量将被直接丢弃,白名单IP的请求流量将被直接放行。
单击黑/白名单区域的设置,在设置黑/白名单页签设置黑名单和白名单。
重要添加黑名单时,需要设置黑名单超时时间。黑名单超时时间最长为7天,且设置后对当前黑名单中所有IP均生效。
区域封禁
对已接入防护的业务设置基于地理区域的访问请求封禁策略。开启区域封禁后,由封禁区域到目的IP的流量将被丢弃。
单击区域封禁区域的设置,在封禁区域设置页签选择要封禁的区域后并单击确定。
源限速
对访问频率超出阈值的源IP地址进行限速。开启源限速后,超出访问限制的源IP将触发请求限速或加入黑名单处理。源IP一旦被添加到黑名单,则所有来自该IP的访问请求会被丢弃。
单击源限速区域的设置,在源限速设置页签设置源PPS限速、源带宽限速、源SYN PPS限速和源SYN 带宽限速后,单击确定。您可以设置限速阈值,以及满足条件后是否将该源IP加入黑名单。
反射攻击过滤
仅针对UDP协议流量生效,DDoS原生防护实例在处理UDP协议流量时,直接丢弃您指定的UDP反射源端口的流量。
单击反射攻击过滤区域的设置,在设置UDP反射攻击防护页签的一键过滤策略勾选需要过滤的反射源端口,您也可以在自定义过滤策略中设置其他反射源端口。
说明一键过滤策略中列出了常见的UDP反射攻击,如果您的业务不涉及这些UDP源端口,建议您全部封禁。
在生效资产列表的待选择对象区域,根据地域和实例名称选择公网IP资产,单击确认添加。
说明一个高防EIP只允许绑定一个IP防护策略-串联模式的策略模板。
端口防护策略
端口防护策略绑定的是高防EIP的端口,您在购买高防EIP后会自动添加到DDoS原生防护的防护对象中,但需要手动添加要防护的端口,才能将端口和端口防护策略绑定。
前提条件
已在防护对象中配置高防EIP的端口。具体操作,请参见防护对象。
新建策略模板并添加防护对象
登录流量安全产品控制台。
在左侧导航栏,选择 。
单击新建策略,输入策略名称并选择策略类型为端口防护策略,单击确定。
在策略创建成功对话框单击确定。
为策略模板设置防护规则后,单击下一步。
配置项
说明
规则名称
自定义规则名称。
说明每个策略模板最多可以添加10条防护规则。
会话流启动规则匹配的最小字节数阈值
会话流启动检测的最小字节数,取值0~2048。
例如取值为1500,会话流长度小于1500字节时不会被检测,大于等于1500字节时才会被检测。
规则类型
检测哪种类型的会话流。
取值:
字符串匹配(ASCII)
十六进制匹配
匹配条件
起始位置:检测的起始位置,取值0~2047。例如取值为0,表示从会话流的第1个字节开始检测。取值为1,表示从会话流的第2个字节开始检测,以此类推。
检测窗口长:从起始位置开始检测多少个字节,取值1~2048。例如取值为20,如果起始位置取值为10,则检测会话流第11~30个字节的内容。
匹配内容:匹配的内容。长度不超过2048的字符串。
优先级
检测优先级,数字越小优先级越高。取值为1~100。
逻辑符
设置是命中匹配条件执行相应动作,还是非命中匹配条件时执行相应动作。取值:
命中
非命中
动作
会话流的处理方式。固定取值丢弃。
在生效资产列表的待选择对象区域,根据地域、实例名称、IP筛选要添加规则的端口,勾选要防护的IP端口/协议后,单击确认添加。
近源压制
如果您需要丢弃所有跨境业务流量,可以为公网IP开启近源压制,封禁时间结束后流量封禁自动解除。如果您想提前解除流量封禁,可以手动解除近源压制。
前提条件
如果您购买的是原生防护1.0或原生防护2.0,请先将公网IP资产添加到防护对象中。具体操作,请参见防护对象。
如果您购买的是DDoS防护增强EIP(高防EIP),购买后高防EIP会自动添加到DDoS原生防护的防护对象中,无需您手动操作。
开启近源压制
登录流量安全产品控制台。
在左侧导航栏,选择 。
在防护配置页签选择近源压制策略-默认后,单击操作列的修改策略。
在防护规则区域,通过地域和实例名称筛选要设置防护规则的IP,针对IP设置防护规则。
为一个公网IP单独开启近源压制:开启公网IP对应的近源黑洞开关,设置流量封禁的持续时长,并单击确定。
为多个公网IP批量开启近源压制:选中要操作的公网IP,单击批量禁封,设置流量封禁的持续时长,并单击确定。
您可以在资产列表中查看封禁开始时间和封禁结束时间,等待已设置的封禁时长结束后,流量封禁将自动取消,公网IP的近源黑洞状态将变更为关闭。
说明封禁时长设置生效后不支持修改。如果您需要修改封禁时长,必须先解除已生效的近源压制再重新开启近源压制。
手动解除近源压制
在防护配置页签选择近源压制策略-默认后,单击操作列的修改策略。
在防护规则区域,通过地域和实例名称筛选要解除近源压制的IP。
为一个公网IP单独解除近源压制:关闭公网IP对应的近源黑洞开关,单击确定。
为多个公网IP批量解除近源压制:选中要操作的公网IP,单击批量解封,单击确定。
相关操作
针对IP防护策略-触发模式、IP防护策略-串联模式、端口防护规则这三类模板,您还可以进行如下操作。
为策略模板添加或删除防护对象:在防护配置页签选择相应的模板类型后,定位到目标策略名称,单击操作列的关联防护对象,为策略模板添加或删除防护对象。
修改或删除策略模板:在防护配置页签选择相应的模板类型后,定位到目标策略名称,单击操作列的修改防护规则或删除。
重要修改策略模板后,该模板关联的防护对象将执行修改后的防护策略,请谨慎操作。
删除策略模板时,如果策略已关联防护对象,则不支持删除。如果确认需要删除,请先删除该模板关联的防护对象。
- 本页导读 (1)