购买DDoS原生防护企业版实例后,您需要将公网IP资产添加为实例的防护对象,DDoS才可以为已添加的防护对象IP提供DDoS防护能力。本文介绍如何添加防护对象,以及防护对象的相关配置操作。

前提条件

操作流程

防护对象操作流程图

步骤一:添加防护对象

说明 如果您的资产类型是高防EIP,则不需要添加防护对象。您在防护对象页签选择实例后,可以直接查看到高防EIP。

您可以通过如下两种方式之一添加防护对象。

防护对象页签添加

  1. 登录流量安全产品控制台
  2. 在左侧导航栏,选择网络安全 > DDoS原生防护 > 防护对象
  3. 在顶部菜单栏左上角处,选择实例所在资源组和地域。
  4. 防护对象页面,选择目标原生防护企业版实例,单击添加防护对象
  5. 如果您是第一次使用DDoS原生防护实例,请根据页面提示完成云产品授权,授权DDoS原生防护实例访问您的其他云产品。
  6. 添加防护对象对话框,输入您需要防护的云产品的IP,并单击确认
    说明
    • 输入的IP地址必须和原生防护企业版实例在相同地域,且必须为当前阿里云账号保有的云资源的IP地址。
    • 多个IP间以英文逗号(,)分隔。

实例管理页签添加

您也可以通过实例管理页面为实例添加防护对象:在实例管理页面,定位到目标原生防护企业版实例,单击操作列下的添加防护对象
说明 只有在当前实例未添加任何防护IP时,操作列才会出现添加防护对象。如果当前实例下已添加过防护IP,您可以单击实例操作列下的管理,并在实例详情页面单击添加防护对象

(可选)步骤二:添加防护策略

为实例添加防护对象后,DDoS会为其提供默认的DDoS防护能力。您还可以为公网IP资产或者端口设置防护策略,根据业务需要放行或丢弃包含指定特征的业务流量,提升DDoS防护效果。具体操作,请见防护配置(公测)

(可选)步骤三:查看防护策略

为公网IP资产或者端口设置防护策略后,您可以按照如下操作查看策略相关信息。

  1. 登录流量安全产品控制台
  2. 在左侧导航栏,选择网络安全 > DDoS原生防护 > 防护对象
  3. 在顶部菜单栏左上角处,选择实例所在资源组和地域。
  4. 防护对象页签,选择您要查看的实例,您可以查看该实例下的公网IP资产的防护设置信息。
    信息项 说明
    IP 该实例绑定的公网IP资产。
    清洗阈值 触发流量清洗的最小访问带宽,包括流量(Mbps)和报文数量(PPS)。更多信息,请参见设置流量清洗阈值
    资产类型 公网IP资产的资产类型。
    端口数量 公网IP资产下设置了端口防护策略的端口数量。您可以单击目标IP左侧的展开箭头,查看该IP下端口防护策略的详细信息。
    说明 目前仅高防EIP支持设置端口防护策略,因此其他公网IP资产类型无法查看到端口防护策略的详细信息。
    状态 公网IP资产的DDoS安全状态。
    防护模板 公网IP资产关联的防护策略模板。

    您可以单击防护模板跳转到防护配置页签,查看模板的具体信息。

    说明 如果防护模板默认,说明该公网IP资产没有设置防护策略,使用的DDoS原生防护的默认防护能力。
    操作
    • 如果您的资产是高防EIP:
      • 添加端口:为该公网IP资产增加端口策略。
      • 解除黑洞:仅当您的资产IP状态为黑洞中时支持该操作。
      • 查看实时生效策略:查看该公网IP资产防护策略的具体信息。
    • 如果您的资产是除高防EIP外的原生防护企业版防护IP:
      • 删除:删除该IP的防护策略信息,即将防护对象和防护策略解绑。
      • 解除黑洞:仅当您的资产IP状态为黑洞中时支持该操作。
      • 查看实时生效策略:查看该公网IP资产防护策略的具体信息。
  5. 如果您的资产是高防EIP,您可以单击目标IP左侧的展开箭头,查看该IP下的端口防护策略的详细信息。
    信息项 说明
    端口 表示设置了防护策略的端口号。
    协议类型 表示端口的协议类型。
    添加时间 表示为端口添加防护策略的时间。
    防护状态 表示端口防护策略的生效状态。
    • 防护关闭:设置了端口防护策略但是没有启用,即未生效。您可以单击操作列的开启防护启用端口防护策略。
    • 防护中
    防护模板 表示端口绑定的防护策略模板。单击模板名称,跳转到防护配置页签,您可以在该页面修改防护规则关联防护对象
    操作 如果防护状态显示防护中,您可以执行如下操作:
    • 关闭防护
    • 查看实时生效策略
      说明 如果您只是添加了端口ID,但是还未绑定端口防护策略,控制台会显示绑定已有策略,不显示查看实时生效策略
    • 解除策略绑定
    • 删除防护
    如果防护状态显示防护关闭,您可以执行如下操作:
    • 开启防护
    • 绑定已有策略
    • 删除防护

更多操作

管理防护对象

为防护对象绑定防护策略

  1. 单击目标公网IP操作列的防护模板后,单击右上角的添加防护策略
  2. 找到要添加的防护模板,单击操作列的关联防护对象,在查看生效对象页签单击添加防护对象
  3. 根据地域和实例名称筛选要添加规则的资产IP,勾选资产IP后单击右箭头图标,单击确认添加

为防护对象更换防护策略:您需要先在已绑定的防护策略中将该防护对象删除,再将该防护对象绑定到其他策略中。具体操作,请参见防护配置(公测)

为防护对象删除防护策略:您需要在已绑定的防护策略中将该防护对象删除。具体操作,请参见防护配置(公测)

管理端口防护策略(仅高防EIP支持)

添加端口防护策略

  1. 单击目标公网IP操作列的添加端口后,输入端口名称单击确认
  2. 端口列表中找到您刚添加的端口,单击操作列的绑定已有策略
  3. 绑定已有策略对话框中选择要绑定的策略,单击确定
  4. 单击操作列的开启防护
    警告 为公网IP资产开启端口防护时,会导致TCP业务闪断,请您在业务低峰期操作。

为端口更换防护策略

  1. 定位到目标公网IP,单击IP左侧的展开箭头展开端口列表。
  2. 单击目标端口操作列的更多后,单击解除策略绑定,解除已绑定的端口防护策略。
  3. 单击目标端口操作列的绑定已有策略,为端口重新绑定端口防护策略。

删除端口防护策略

  1. 定位到目标公网IP,单击IP左侧的展开箭头展开端口列表。
  2. 单击目标端口操作列的更多后,单击删除防护

手动解除黑洞

如果您的防护对象的状态黑洞中,您可以手动解除黑洞。

  1. 登录流量安全产品控制台
  2. 在左侧导航栏,选择网络安全 > DDoS原生防护 > 防护对象
  3. 在顶部菜单栏左上角处,选择实例所在资源组和地域。
  4. 选择目标实例后,定位到需要解除黑洞的IP,单击操作列的解除黑洞
  5. 解除黑洞对话框中您可以查看剩余黑洞解除次数,确认手动解除本次黑洞后单击确定

常见问题

相关文档