首页 DDoS 防护 DDoS原生防护 用户指南 防护配置(公测)

防护配置(公测)

更新时间: 2023-09-04 11:38:41

当您的公网IP资产接入原生防护后,您可以通过设置防护策略,放行或丢弃包含指定特征的业务流量,提升DDoS防护效果。本文介绍DDoS防护策略配置相关内容。

防护策略类型

DDoS原生防护支持设置如下四种防护策略类型:

策略类型说明
IP防护策略-触发模式当公网IP资产被攻击且流量超过清洗阈值后,防护设备会结合您设置的防护策略自动进行网络三层及网络四层的大流量DDoS攻击防护,直至攻击停止。
IP防护策略-串联模式对经过公网IP资产的所有业务流量生效,命中设置的防护规则即执行防护动作。主要用来防护网络三层及网络四层的DDoS和CC攻击。
端口防护策略端口防护适用于非网站业务的TCP连接资源耗尽型攻击(网络四层CC攻击),支持精细化应用层特征检测与过滤,放行或丢弃包含指定特征的业务流量,主要用来防护网络四层的CC攻击。
近源压制策略-默认在指定的封禁时间内直接丢弃所有跨境业务流量,适用于业务本身不存在跨境流量的场景。
  • 如果云资产的地域是中国内地,开启近源压制将封禁所有来自非中国内地(含海外地域、中国香港、中国澳门、中国台湾)的流量。
  • 如果云资产的地域是非中国内地(含海外地域、中国香港、中国澳门、中国台湾),开启近源压制将封禁所有来自中国内地的流量。
每个DDoS原生防护实例每月默认拥有10次触发流量封禁的额度。

不同地域的防护策略支持情况

公测期间,防护配置免费为用户开放使用,但支持的能力和地域有限,具体请参见下表。如不能满足业务需求,您可以通过智能在线咨询技术支持人员。

本文中,对表示支持,错表示不支持。
公网IP资产类型地域IP防护策略-触发模式IP防护策略-串联模式端口防护策略近源压制策略-默认
原生防护企业版防护IP(ECS、SLB、EIP(包含绑定NAT网关的EIP)、轻量服务器、WAF、GA、AnycastEIP中国内地对错错对
非中国内地支持的地域:中国香港、美国(弗吉尼亚)、美国(硅谷)、德国(法兰福克)、英国(伦敦)、日本(东京)、新加坡、印度尼西亚(雅加达)、马来西亚(吉隆坡)。错错错
DDoS防护增强EIP(高防EIP)中国内地对对仅华东1(杭州)支持。对
非中国内地支持的地域:中国香港、美国(弗吉尼亚)、美国(硅谷)、德国(法兰福克)、英国(伦敦)、日本(东京)、新加坡、印度尼西亚(雅加达)、马来西亚(吉隆坡)。支持的地域:中国香港、美国(弗吉尼亚)、美国(硅谷)、德国(法兰福克)、英国(伦敦)、日本(东京)、新加坡。错错
云下IDC代播非中国内地错错错错

前提条件

满足如下条件之一:

IP防护策略-触发模式

为公网IP资产设置防护策略时,您可以查看已存在的策略模板是否满足业务需求,如果满足业务需求您可以直接将公网IP添加为模板的防护对象,否则您需要先创建策略模板,然后将公网IP添加为防护对象。

新建策略模板并添加防护对象

  1. 登录流量安全产品控制台

  2. 在左侧导航栏,选择网络安全 > DDoS原生防护 > 防护配置

  3. 单击新建策略,输入策略名称并选择策略类型IP防护策略-触发模式,单击确定
  4. 策略创建成功对话框单击确定
  5. 为策略模板设置防护规则,并单击下一步
    重要 策略生效优先级:黑名单>ICMP协议禁用>白名单>源端口封禁>指纹过滤。
    规则名称说明配置方法
    ICMP协议禁用在流量清洗时直接丢弃ICMP协议流量,可以过滤ICMP攻击,并减少服务器被探测的风险。单击ICMP协议禁用区域的状态开关,并单击确定
    说明 ICMP协议禁用对白名单中IP也会生效,即开启该策略后,来自白名单IP的ICMP协议流量也会被丢弃。
    源端口封禁针对UDP或TCP协议+源或目的端口设置过滤规则,直接丢弃来自指定协议及对应端口的流量,可以用于过滤UDP反射攻击。单击源端口封禁区域的设置,在禁用端口页签单击添加端口,新增禁用端口后单击确定
    • 协议:要封禁的协议类型。可选值:TCPUDP
    • 开始源端口 - 结束源端口:要封禁的源端口范围。可选范围:1~65535。
      说明 同一协议下端口的范围不允许重合。
    • 开始目的端口 - 结束目的端口:要封禁的目的端口范围。可选范围:1~65535。
      说明 同一协议下端口的范围不允许重合。
    • 匹配后动作:匹配中协议及对应端口后,对流量执行的操作。取值固定为丢弃
    重要 建议您根据业务场景选择以下推荐配置,提升防护效果:
    • 如果生效资产中只有TCP业务(无UDP业务),建议您封禁全部UDP源端口。
    • 如果生效资产中存在UDP业务,建议您封禁常见的UDP反射源端口,包括1~52、54~161、389、1900、11211。
    黑白名单针对源IP设置过滤或放行规则,直接丢弃或放行指定源IP的流量。单击黑白名单区域的设置,在黑白名单库页签单击添加黑白名单,设置黑名单白名单,单击确定
    指纹过滤在流量清洗时,对数据包中指定位置的内容进行特征匹配,根据匹配结果设置过滤、放行或限速规则。单击指纹过滤区域的设置,在指纹过滤特征页签单击添加特征,新增指纹过滤特征配置后单击确定
    • 协议:协议类型。可选值:TCPUDP
    • 开始源端口 — 结束源端口:源端口范围。可选范围:0~65535。
    • 开始目的端口 — 结束目的端口:目的端口范围。可选范围:0~65535。
    • 最小包长 — 最大包长:IP数据包的长度范围。可选范围:1~1500,单位:Byte。
    • 偏移量:UDP或TCP头部后数据体(payload)的偏移量,可选范围:0~1500,单位:Byte。

      偏移量为0时,从数据体的第一字节开始匹配。

    • 检测载荷:要匹配的数据体(payload)内容,需要输入以0x开头的十六进制字符串。
    • 匹配后动作:匹配中特征后,对流量执行的操作。可选值:通过丢弃源IP限速session限速

      选择源IP限速session限速后,必须设置限速值限速值取值范围:1~100000,单位:pps。

    您可以在指纹过滤特征列表中管理已有特征,例如编辑删除特征,或者对特征排序。
    说明 特征排序仅为了方便您管理现有规则,不会对规则生效有任何影响。
  6. 选择策略模板的生效对象。
    生效资产列表待选择对象区域,根据地域和实例名称筛选要添加规则的公网IP,勾选公网IP后单击右箭头图标,单击确认添加
    说明 一个公网IP只允许关联一个策略模板。如果公网IP已经关联了其他策略模板,则不允许添加到当前策略模板。

为策略模板添加或删除防护对象

  • 为策略模板添加防护对象
    1. 防护配置页签选择IP防护策略-触发模式后,定位到要操作的策略名称,单击操作列的关联防护对象
    2. 单击添加防护对象,在生效资产列表待选择对象区域,根据地域和实例名称筛选要添加规则的公网IP,勾选公网IP后单击右箭头图标,单击确认添加
  • 为策略模板删除防护对象
    1. 防护配置页签选择IP防护策略-触发模式后,定位到要操作的策略名称,单击操作列的关联防护对象
    2. 定位到目标公网IP,单击操作列的删除,您也可以勾选多个公网IP,单击批量删除

修改或删除策略模板

  1. 防护配置页签,选择IP防护策略-触发模式
  2. 如果您要修改策略模板 ,定位到要操作的策略名称,单击操作列的修改防护规则,修改完成后单击确定
    重要 修改策略模板后,该模板关联的防护对象将执行修改后的防护策略,请谨慎操作。
  3. 如果您要删除策略模板 ,定位到要操作的策略名称,单击操作列的删除后单击确定
    如果策略已关联防护对象,则不支持删除。如果确认需要删除,请先删除该模板关联的防护对象。

IP防护策略-串联模式

为高防EIP设置防护策略时,您可以查看已存在的策略模板是否满足业务需求,如果满足业务需求您可以直接将高防EIP添加为模板的防护对象,否则您需要先创建策略模板,然后将高防EIP添加为防护对象。

新建策略模板并添加防护对象

  1. 登录流量安全产品控制台

  2. 在左侧导航栏,选择网络安全 > DDoS原生防护 > 防护配置

  3. 单击新建策略,输入策略名称并选择策略类型IP防护策略-串联模式,单击确定
  4. 策略创建成功对话框单击确定
  5. 为策略模板设置防护规则,并单击下一步
    重要 策略生效优先级:黑/白名单 > 反射攻击过滤 > 区域封禁 > 源限速。
    策略名称说明配置方法
    AI智能防护智能大数据分析引擎自学习业务流量基线,发现并阻断四层连接型CC攻击,可有效防护四层连接型攻击。单击AI智能防护区域的设置,在AI智能防护对话框设置状态等级,单击确定。各等级的防护效果如下:
    • 宽松:结合历史业务及专家经验算法,针对攻击明显的恶意IP进行防护,存在一定漏过,误杀率低。
    • 正常:结合历史业务及专家经验算法,针对攻击明显,疑似的恶意IP进行防护,平衡防护效果及误杀。
    • 严格:结合历史业务及专家经验算法,针对攻击防御效果强,但存在一定概率误杀。
    重要 创建策略模板后功能默认开启,防护等级为正常,大概需要3天业务流量训练后达到最佳防护效果。
    黑白名单针对源IP设置过滤或放行规则,黑名单IP的请求流量将被直接丢弃,白名单IP的请求流量将被直接放行。单击黑/白名单区域的设置,在设置黑/白名单页签设置黑名单白名单
    重要 添加黑名单时,需要设置黑名单超时时间。黑名单超时时间最长为7天,且设置后对当前黑名单中所有IP均生效。
    区域封禁对已接入防护的业务设置基于地理区域的访问请求封禁策略。开启区域封禁后,由封禁区域到目的IP的流量将被丢弃。单击区域封禁区域的设置,在封禁区域设置页签选择要封禁的区域后并单击确定
    源限速对访问频率超出阈值的源IP地址进行限速。开启源限速后,超出访问限制的源IP将触发请求限速或加入黑名单处理。源IP一旦被添加到黑名单,则所有来自该IP的访问请求会被丢弃。单击源限速区域的设置,在源限速设置页签设置源PPS限速源带宽限速源SYN PPS限速源SYN 带宽限速后,单击确定。您可以设置限速阈值,以及满足条件后是否将该源IP加入黑名单。
    反射攻击过滤仅针对UDP协议流量生效,DDoS原生防护实例在处理UDP协议流量时,直接丢弃您指定的UDP反射源端口的流量。单击反射攻击过滤区域的设置,在设置UDP反射攻击防护页签的一键过滤策略勾选需要过滤的反射源端口,您也可以在自定义过滤策略中设置其他反射源端口。
  6. 选择策略模板的生效对象。
    生效资产列表待选择对象区域,根据地域和实例名称筛选要添加规则的公网IP,勾选公网IP后单击右箭头图标,单击确认添加

为策略模板添加或删除防护对象

  • 为策略模板添加防护对象
    1. 防护配置页签选择IP防护策略-串联模式后,定位到要操作的策略名称,单击操作列的关联防护对象
    2. 单击添加防护对象,在生效资产列表待选择对象区域,根据地域和实例名称筛选要添加规则的公网IP,勾选公网IP后单击右箭头图标,单击确认添加
  • 为策略模板删除防护对象
    1. 防护配置页签选择IP防护策略-串联模式后,定位到要操作的策略名称,单击操作列的关联防护对象
    2. 定位到目标公网IP,单击操作列的删除,您也可以勾选多个公网IP,单击批量删除

修改或删除策略模板

  1. 防护配置页签,选择IP防护策略-触发模式
  2. 如果您要修改策略模板 ,定位到要操作的策略名称,单击操作列的修改防护规则,修改完成后单击确定
    重要 修改策略模板后,该模板关联的防护对象将执行修改后的防护策略,请谨慎操作。
  3. 如果您要删除策略模板 ,定位到要操作的策略名称,单击操作列的删除后单击确定
    如果策略已关联防护对象,则不支持删除。如果确认需要删除,请先删除该模板关联的防护对象。

端口防护策略

为高防EIP的端口设置防护策略时,您可以查看已存在的策略模板是否满足业务需求,如果满足业务需求您可以直接将端口添加为模板的防护对象,否则您需要先创建策略模板,然后将端口添加为防护对象。

新建策略模板并添加防护对象

  1. 登录流量安全产品控制台

  2. 在左侧导航栏,选择网络安全 > DDoS原生防护 > 防护配置

  3. 单击新建策略,输入策略名称并选择策略类型端口防护策略,单击确定
  4. 策略创建成功对话框单击确定
  5. 为策略模板设置防护规则后,单击下一步
    配置项说明
    规则名称自定义规则名称。
    说明 每个策略模板最多可以添加10条防护规则。
    会话流启动规则匹配的最小字节数阈值会话流启动检测的最小字节数,取值0~2048。

    例如取值为20,会话流长度小于20字节时不会被检测,大于等于20字节时才会被检测。

    规则类型

    检测哪种类型的会话流。

    取值:
    • 字符串匹配(ASCII)
    • 十六进制匹配
    匹配条件
    • 起始位置:检测的起始位置,取值0~2047。例如取值为0,表示从会话流的第1个字节开始检测。取值为1,表示从会话流的第2个字节开始检测,以此类推。
    • 检测窗口长:从起始位置开始检测多少个字节,取值1~2048。例如取值为20,如果起始位置取值为10,则检测会话流第11~30个字节的内容。
    • 匹配内容:匹配的内容。长度不超过2048的字符串。
    优先级检测优先级,数字越小优先级越高。取值为1~100。
    逻辑符设置是命中匹配条件执行相应动作,还是非命中匹配条件时执行相应动作。取值:
    • 命中
    • 非命中
    动作会话流的处理方式。固定取值丢弃
  6. 选择生效对象。
    生效资产列表待选择对象区域,根据地域、实例名称、IP筛选要添加规则的端口,勾选要防护的IP端口/协议后,单击确认添加

为策略模板添加或删除防护对象

  • 为策略模板添加防护对象
    1. 防护配置页签选择端口防护策略后,定位到要操作的策略名称,单击操作列的关联防护对象
    2. 单击添加防护对象,在生效资产列表待选择对象区域,根据地域、实例名称、IP筛选要添加规则的端口,勾选要防护的IP端口/协议后,单击确认添加
  • 为策略模板删除防护对象
    1. 防护配置页签选择端口防护策略后,定位到要操作的策略名称,单击操作列的关联防护对象
    2. 定位到目标端口,单击操作列的删除,您也可以勾选多个公网IP,单击批量删除

修改或删除策略模板

  1. 防护配置页签,选择端口防护策略
  2. 如果您要修改策略模板 ,定位到要操作的策略名称,单击操作列的修改防护规则,修改完成后单击确定
    重要 修改策略模板后,该模板关联的防护对象将执行修改后的防护策略,请谨慎操作。
  3. 如果您要删除策略模板 ,定位到要操作的策略名称,单击操作列的删除后单击确定
    如果策略已关联防护对象,则不支持删除。如果确认需要删除,请先删除该模板关联的防护对象。

近源压制

如果您需要丢弃所有跨境业务流量,可以为公网IP开启近源压制,封禁时间结束后流量封禁自动解除。如果您想提前解除流量封禁,可以手动解除近源压制。

开启近源压制

  1. 登录流量安全产品控制台

  2. 在左侧导航栏,选择网络安全 > DDoS原生防护 > 防护配置

  3. 防护配置页签选择近源压制策略-默认后,单击操作列的修改策略
  4. 防护规则区域,通过地域和实例名称筛选要设置防护规则的IP,针对IP设置防护规则。
    • 为一个公网IP单独开启近源压制:开启公网IP对应的近源黑洞开关,设置流量封禁的持续时长,并单击确定
    • 为多个公网IP批量开启近源压制:选中要操作的公网IP,单击批量禁封,设置流量封禁的持续时长,并单击确定
    您可以在资产列表中查看封禁开始时间封禁结束时间,等待已设置的封禁时长结束后,流量封禁将自动取消,公网IP的近源黑洞状态将变更为关闭。
    说明 封禁时长设置生效后不支持修改。如果您需要修改封禁时长,必须先解除已生效的近源压制再重新开启近源压制。

手动解除近源压制

  1. 防护配置页签选择近源压制策略-默认后,单击操作列的修改策略
  2. 防护规则区域,通过地域和实例名称筛选要解除近源压制的IP。
    • 为一个公网IP单独解除近源压制:关闭公网IP对应的近源黑洞开关,单击确定
    • 为多个公网IP批量解除近源压制:选中要操作的公网IP,单击批量解封,单击确定
阿里云首页 DDoS 防护 相关技术圈