区域封禁指针对访问DDoS高防实例的源IP,按地理区域在清洗机房进行一键封禁,帮助您一键阻断来自指定地区的源IP的访问请求。该功能针对增强功能套餐的DDoS高防实例生效。开启区域封禁后,由封禁地区到DDoS高防实例的流量将被丢弃。本文介绍了设置和开启区域封禁的操作方法。
前提条件
背景信息
区域封禁通过直接丢弃来自指定中国地区、海外地区和国家来源IP的所有访问请求,达到阻断非业务来源请求的目的。假设访问DDoS高防实例的正常用户均来自中国,您可以为DDoS高防实例设置区域封禁,封禁来自海外地区或国家的访问请求。
区域封禁VS近源流量压制说明 区域封禁针对DDoS高防实例生效。如果您需要对多个不同DDoS高防实例开启区域封禁,则需要对不同DDoS高防实例分别进行设置。不支持对多个DDoS高防实例批量设置。
区域封禁在DDoS高防清洗机房内部实现,在靠近被攻击目标的位置丢弃特定区域的流量(近目的流量封禁)。区域封禁根据源IP的归属区域在DDoS高防中识别过滤,并不能减小进入高防网络的攻击流量,适用于防护连接资源消耗型攻击。
相比于区域封禁,近源流量压制一般通过运营商骨干网核心路由器,在靠近攻击源的位置丢弃特定区域的流量(例如海外流量)。更多信息,请参见设置近源流量压制。
说明 目前仅DDoS高防(新BGP)服务支持近源流量压制功能。
区域封禁VS针对域名的区域封禁
针对域名的区域封禁功能和(针对DDoS高防实例的)区域封禁功能一起使用时,后者优先生效。
例如,针对DDoS高防实例已经通过区域封禁功能封禁了海外地区的流量,关联该DDoS高防实例的域名无论有没有设置区域封禁(针对域名)功能,海外地区用户都不能访问。如果需要实现部分业务封禁海外地区访问,部分业务不封禁海外地区访问,建议您设置针对域名的区域封禁,而非针对DDoS高防实例设置区域封禁。更多信息,请参见设置区域封禁(针对域名)。