防护配置（公测）

防护策略类型

DDoS原生防护支持设置如下四种防护策略类型：

不同地域的防护策略支持情况

公测期间，防护配置免费为用户开放使用，但支持的能力和地域有限，具体请参见下表。如不能满足业务需求，您可以通过智能在线咨询技术支持人员。

本文中，表示支持，表示不支持。

公网IP资产类型	地域	IP防护策略-触发模式	IP防护策略-串联模式	端口防护策略	近源压制策略-默认
原生防护企业版防护IP（ECS、SLB、EIP（包含绑定NAT网关的EIP）、轻量服务器、WAF、GA、AnycastEIP）	中国内地
	非中国内地	支持的地域：中国香港、美国（弗吉尼亚）、美国（硅谷）、德国（法兰福克）、英国（伦敦）、日本（东京）、新加坡、印度尼西亚（雅加达）、马来西亚（吉隆坡）。
DDoS防护增强EIP（高防EIP）	中国内地			仅华东1（杭州）支持。
	非中国内地	支持的地域：中国香港、美国（弗吉尼亚）、美国（硅谷）、德国（法兰福克）、英国（伦敦）、日本（东京）、新加坡、印度尼西亚（雅加达）、马来西亚（吉隆坡）。	支持的地域：中国香港、美国（弗吉尼亚）、美国（硅谷）、德国（法兰福克）、英国（伦敦）、日本（东京）、新加坡。
云下IDC代播	非中国内地

前提条件

IP防护策略-触发模式

为公网IP资产设置防护策略时，您可以查看已存在的策略模板是否满足业务需求，如果满足业务需求您可以直接将公网IP添加为模板的防护对象，否则您需要先创建策略模板，然后将公网IP添加为防护对象。

新建策略模板并添加防护对象

1. 登录流量安全产品控制台。

2. 在左侧导航栏，选择网络安全 > DDoS原生防护 > 防护配置。

3. 单击新建策略，输入策略名称并选择策略类型为IP防护策略-触发模式，单击确定。
4. 在策略创建成功对话框单击确定。
5. 为策略模板设置防护规则，并单击下一步。
   重要 策略生效优先级：黑名单>ICMP协议禁用>白名单>源端口封禁>指纹过滤。

   规则名称	说明	配置方法
   ICMP协议禁用	在流量清洗时直接丢弃ICMP协议流量，可以过滤ICMP攻击，并减少服务器被探测的风险。	单击ICMP协议禁用区域的状态开关，并单击确定。 说明 ICMP协议禁用对白名单中IP也会生效，即开启该策略后，来自白名单IP的ICMP协议流量也会被丢弃。
   源端口封禁	针对UDP或TCP协议+源或目的端口设置过滤规则，直接丢弃来自指定协议及对应端口的流量，可以用于过滤UDP反射攻击。	单击源端口封禁区域的设置，在禁用端口页签单击添加端口，新增禁用端口后单击确定。 协议：要封禁的协议类型。可选值：TCP、UDP。 开始源端口 - 结束源端口：要封禁的源端口范围。可选范围：1~65535。 说明 同一协议下端口的范围不允许重合。 开始目的端口 - 结束目的端口：要封禁的目的端口范围。可选范围：1~65535。 说明 同一协议下端口的范围不允许重合。 匹配后动作：匹配中协议及对应端口后，对流量执行的操作。取值固定为丢弃。 重要 建议您根据业务场景选择以下推荐配置，提升防护效果： 如果生效资产中只有TCP业务（无UDP业务），建议您封禁全部UDP源端口。 如果生效资产中存在UDP业务，建议您封禁常见的UDP反射源端口，包括1~52、54~161、389、1900、11211。
   黑白名单	针对源IP设置过滤或放行规则，直接丢弃或放行指定源IP的流量。	单击黑白名单区域的设置，在黑白名单库页签单击添加黑白名单，设置黑名单和白名单，单击确定。
   指纹过滤	在流量清洗时，对数据包中指定位置的内容进行特征匹配，根据匹配结果设置过滤、放行或限速规则。	单击指纹过滤区域的设置，在指纹过滤特征页签单击添加特征，新增指纹过滤特征配置后单击确定。 协议：协议类型。可选值：TCP、UDP。 开始源端口 — 结束源端口：源端口范围。可选范围：0~65535。 开始目的端口 — 结束目的端口：目的端口范围。可选范围：0~65535。 最小包长 — 最大包长：IP数据包的长度范围。可选范围：1~1500，单位：Byte。 偏移量：UDP或TCP头部后数据体（payload）的偏移量，可选范围：0~1500，单位：Byte。 偏移量为0时，从数据体的第一字节开始匹配。 检测载荷：要匹配的数据体（payload）内容，需要输入以0x开头的十六进制字符串。 匹配后动作：匹配中特征后，对流量执行的操作。可选值：通过、丢弃、源IP限速、session限速。 选择源IP限速、session限速后，必须设置限速值。限速值取值范围：1~100000，单位：pps。 您可以在指纹过滤特征列表中管理已有特征，例如编辑、删除特征，或者对特征排序。 说明 特征排序仅为了方便您管理现有规则，不会对规则生效有任何影响。

6. 选择策略模板的生效对象。
   在生效资产列表的待选择对象区域，根据地域和实例名称筛选要添加规则的公网IP，勾选公网IP后单击，单击确认添加。

   说明 一个公网IP只允许关联一个策略模板。如果公网IP已经关联了其他策略模板，则不允许添加到当前策略模板。

为策略模板添加或删除防护对象

• 为策略模板添加防护对象
  1. 在防护配置页签选择IP防护策略-触发模式后，定位到要操作的策略名称，单击操作列的关联防护对象。
  2. 单击添加防护对象，在生效资产列表的待选择对象区域，根据地域和实例名称筛选要添加规则的公网IP，勾选公网IP后单击，单击确认添加。
• 为策略模板删除防护对象
  1. 在防护配置页签选择IP防护策略-触发模式后，定位到要操作的策略名称，单击操作列的关联防护对象。
  2. 定位到目标公网IP，单击操作列的删除，您也可以勾选多个公网IP，单击批量删除

修改或删除策略模板

1. 在防护配置页签，选择IP防护策略-触发模式。
2. 如果您要修改策略模板 ，定位到要操作的策略名称，单击操作列的修改防护规则，修改完成后单击确定。
   重要 修改策略模板后，该模板关联的防护对象将执行修改后的防护策略，请谨慎操作。
3. 如果您要删除策略模板 ，定位到要操作的策略名称，单击操作列的删除后单击确定。
   如果策略已关联防护对象，则不支持删除。如果确认需要删除，请先删除该模板关联的防护对象。

IP防护策略-串联模式

为高防EIP设置防护策略时，您可以查看已存在的策略模板是否满足业务需求，如果满足业务需求您可以直接将高防EIP添加为模板的防护对象，否则您需要先创建策略模板，然后将高防EIP添加为防护对象。

新建策略模板并添加防护对象

1. 登录流量安全产品控制台。

2. 在左侧导航栏，选择网络安全 > DDoS原生防护 > 防护配置。

3. 单击新建策略，输入策略名称并选择策略类型为IP防护策略-串联模式，单击确定。
4. 在策略创建成功对话框单击确定。
5. 为策略模板设置防护规则，并单击下一步。
   重要 策略生效优先级：黑/白名单 > 反射攻击过滤 > 区域封禁 > 源限速。

   策略名称	说明	配置方法
   AI智能防护	智能大数据分析引擎自学习业务流量基线，发现并阻断四层连接型CC攻击，可有效防护四层连接型攻击。	单击AI智能防护区域的设置，在AI智能防护对话框设置状态和等级，单击确定。各等级的防护效果如下： 宽松：结合历史业务及专家经验算法，针对攻击明显的恶意IP进行防护，存在一定漏过，误杀率低。 正常：结合历史业务及专家经验算法，针对攻击明显，疑似的恶意IP进行防护，平衡防护效果及误杀。 严格：结合历史业务及专家经验算法，针对攻击防御效果强，但存在一定概率误杀。 重要 创建策略模板后功能默认开启，防护等级为正常，大概需要3天业务流量训练后达到最佳防护效果。
   黑白名单	针对源IP设置过滤或放行规则，黑名单IP的请求流量将被直接丢弃，白名单IP的请求流量将被直接放行。	单击黑/白名单区域的设置，在设置黑／白名单页签设置黑名单和白名单。 重要 添加黑名单时，需要设置黑名单超时时间。黑名单超时时间最长为7天，且设置后对当前黑名单中所有IP均生效。
   区域封禁	对已接入防护的业务设置基于地理区域的访问请求封禁策略。开启区域封禁后，由封禁区域到目的IP的流量将被丢弃。	单击区域封禁区域的设置，在封禁区域设置页签选择要封禁的区域后并单击确定。
   源限速	对访问频率超出阈值的源IP地址进行限速。开启源限速后，超出访问限制的源IP将触发请求限速或加入黑名单处理。源IP一旦被添加到黑名单，则所有来自该IP的访问请求会被丢弃。	单击源限速区域的设置，在源限速设置页签设置源PPS限速、源带宽限速、源SYN PPS限速和源SYN 带宽限速后，单击确定。您可以设置限速阈值，以及满足条件后是否将该源IP加入黑名单。
   反射攻击过滤	仅针对UDP协议流量生效，DDoS原生防护实例在处理UDP协议流量时，直接丢弃您指定的UDP反射源端口的流量。	单击反射攻击过滤区域的设置，在设置UDP反射攻击防护页签的一键过滤策略勾选需要过滤的反射源端口，您也可以在自定义过滤策略中设置其他反射源端口。

6. 选择策略模板的生效对象。
   在生效资产列表的待选择对象区域，根据地域和实例名称筛选要添加规则的公网IP，勾选公网IP后单击，单击确认添加。

为策略模板添加或删除防护对象

• 为策略模板添加防护对象
  1. 在防护配置页签选择IP防护策略-串联模式后，定位到要操作的策略名称，单击操作列的关联防护对象。
  2. 单击添加防护对象，在生效资产列表的待选择对象区域，根据地域和实例名称筛选要添加规则的公网IP，勾选公网IP后单击，单击确认添加。
• 为策略模板删除防护对象
  1. 在防护配置页签选择IP防护策略-串联模式后，定位到要操作的策略名称，单击操作列的关联防护对象。
  2. 定位到目标公网IP，单击操作列的删除，您也可以勾选多个公网IP，单击批量删除。

修改或删除策略模板

1. 在防护配置页签，选择IP防护策略-触发模式。
2. 如果您要修改策略模板 ，定位到要操作的策略名称，单击操作列的修改防护规则，修改完成后单击确定。
   重要 修改策略模板后，该模板关联的防护对象将执行修改后的防护策略，请谨慎操作。
3. 如果您要删除策略模板 ，定位到要操作的策略名称，单击操作列的删除后单击确定。
   如果策略已关联防护对象，则不支持删除。如果确认需要删除，请先删除该模板关联的防护对象。

端口防护策略

为高防EIP的端口设置防护策略时，您可以查看已存在的策略模板是否满足业务需求，如果满足业务需求您可以直接将端口添加为模板的防护对象，否则您需要先创建策略模板，然后将端口添加为防护对象。

新建策略模板并添加防护对象

1. 登录流量安全产品控制台。

2. 在左侧导航栏，选择网络安全 > DDoS原生防护 > 防护配置。

3. 单击新建策略，输入策略名称并选择策略类型为端口防护策略，单击确定。
4. 在策略创建成功对话框单击确定。
5. 为策略模板设置防护规则后，单击下一步。

   配置项	说明
   规则名称	自定义规则名称。 说明 每个策略模板最多可以添加10条防护规则。
   会话流启动规则匹配的最小字节数阈值	会话流启动检测的最小字节数，取值0~2048。 例如取值为20，会话流长度小于20字节时不会被检测，大于等于20字节时才会被检测。
   规则类型	检测哪种类型的会话流。 取值： 字符串匹配（ASCII） 十六进制匹配
   匹配条件	起始位置：检测的起始位置，取值0~2047。例如取值为0，表示从会话流的第1个字节开始检测。取值为1，表示从会话流的第2个字节开始检测，以此类推。 检测窗口长：从起始位置开始检测多少个字节，取值1~2048。例如取值为20，如果起始位置取值为10，则检测会话流第11~30个字节的内容。 匹配内容：匹配的内容。长度不超过2048的字符串。
   优先级	检测优先级，数字越小优先级越高。取值为1~100。
   逻辑符	设置是命中匹配条件执行相应动作，还是非命中匹配条件时执行相应动作。取值： 命中 非命中
   动作	会话流的处理方式。固定取值丢弃。

6. 选择生效对象。
   在生效资产列表的待选择对象区域，根据地域、实例名称、IP筛选要添加规则的端口，勾选要防护的IP端口/协议后，单击确认添加。

为策略模板添加或删除防护对象

• 为策略模板添加防护对象
  1. 在防护配置页签选择端口防护策略后，定位到要操作的策略名称，单击操作列的关联防护对象。
  2. 单击添加防护对象，在生效资产列表的待选择对象区域，根据地域、实例名称、IP筛选要添加规则的端口，勾选要防护的IP端口/协议后，单击确认添加。
• 为策略模板删除防护对象
  1. 在防护配置页签选择端口防护策略后，定位到要操作的策略名称，单击操作列的关联防护对象。
  2. 定位到目标端口，单击操作列的删除，您也可以勾选多个公网IP，单击批量删除。

修改或删除策略模板

1. 在防护配置页签，选择端口防护策略。
2. 如果您要修改策略模板 ，定位到要操作的策略名称，单击操作列的修改防护规则，修改完成后单击确定。
   重要 修改策略模板后，该模板关联的防护对象将执行修改后的防护策略，请谨慎操作。
3. 如果您要删除策略模板 ，定位到要操作的策略名称，单击操作列的删除后单击确定。
   如果策略已关联防护对象，则不支持删除。如果确认需要删除，请先删除该模板关联的防护对象。

近源压制

如果您需要丢弃所有跨境业务流量，可以为公网IP开启近源压制，封禁时间结束后流量封禁自动解除。如果您想提前解除流量封禁，可以手动解除近源压制。

开启近源压制

1. 登录流量安全产品控制台。

2. 在左侧导航栏，选择网络安全 > DDoS原生防护 > 防护配置。

3. 在防护配置页签选择近源压制策略-默认后，单击操作列的修改策略。
4. 在防护规则区域，通过地域和实例名称筛选要设置防护规则的IP，针对IP设置防护规则。
   • 为一个公网IP单独开启近源压制：开启公网IP对应的近源黑洞开关，设置流量封禁的持续时长，并单击确定。
   • 为多个公网IP批量开启近源压制：选中要操作的公网IP，单击批量禁封，设置流量封禁的持续时长，并单击确定。

   您可以在资产列表中查看封禁开始时间和封禁结束时间，等待已设置的封禁时长结束后，流量封禁将自动取消，公网IP的近源黑洞状态将变更为关闭。

   说明 封禁时长设置生效后不支持修改。如果您需要修改封禁时长，必须先解除已生效的近源压制再重新开启近源压制。

手动解除近源压制

1. 在防护配置页签选择近源压制策略-默认后，单击操作列的修改策略。
2. 在防护规则区域，通过地域和实例名称筛选要解除近源压制的IP。
   • 为一个公网IP单独解除近源压制：关闭公网IP对应的近源黑洞开关，单击确定。
   • 为多个公网IP批量解除近源压制：选中要操作的公网IP，单击批量解封，单击确定。