本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
购买DDoS原生防护实例后,您需要将公网IP资产添加为防护对象,DDoS原生防护才会使用默认防护模板为其提供DDoS防护能力。防护对象遭受跨境DDoS攻击后,如果不涉及跨境业务,可以及时开启近源压制,快速屏蔽跨境流量。本文介绍如何添加防护对象,以及如何为防护对象开启近源压制。
添加防护对象
如果您是第一次使用DDoS原生防护实例,添加防护对象时请根据页面提示完成云产品授权,授权DDoS原生防护实例访问您的其他云产品。
场景一:购买了原生防护1.0(包年包月)实例
仅包含企业版实例,用于防护标准型云产品。
登录流量安全产品控制台。
在顶部菜单栏左上角处,选择实例所在资源组和地域。
在左侧导航栏,选择。
在防护对象页面,选择目标实例,单击添加防护对象。
在添加防护对象对话框,选择从资产中添加或手工添加,然后单击确认。
从资产中添加:选择当前阿里云账号下的公网IP资产。
手工添加:手动输入当前阿里云账号下的公网IP资产。
场景二:购买了原生防护2.0(包年包月)实例
包含企业版实例、中小企业普惠版实例,用于防护标准型云产品。
登录流量安全产品控制台。
在顶部菜单栏左上角处,选择实例所在资源组,地域选择全球。
在左侧导航栏,选择。
在防护对象页面,选择目标实例,单击添加防护对象。
在添加防护对象对话框,选择从资产中添加或手工添加,然后单击确认。
从资产中添加:选择当前阿里云账号下的公网IP资产。
手工添加:手动输入当前阿里云账号下的公网IP资产。
场景三:购买了原生防护2.0(后付费)实例
(后付费)实例支持防护标准型云产品、DDoS防护(增强版)EIP。
标准型云产品:请您按照如下操作手动添加到防护对象中。
DDoS防护(增强版)EIP:购买成功后会自动添加到防护对象中,无需手动添加。您可以在防护对象页面的DDoS防护(增强版)EIP页签查看到购买的DDoS防护(增强版)EIP。
登录流量安全产品控制台。
在顶部菜单栏左上角处,选择实例所在资源组,地域选择全球。
在左侧导航栏,选择。
在防护对象页面,选择目标实例,单击添加防护对象。
在添加防护对象对话框,选择从资产中添加或手工添加,然后单击确认。
从资产中添加:选择当前阿里云账号下的公网IP资产。
手工添加:手动输入当前阿里云账号下的公网IP资产。
场景四:开通多账号统一管理后,添加成员账号的资产
如果当前阿里云账号开通了多账号管理功能且为管理账号,可以将成员账号的公网IP资产添加为防护对象。详细内容,请参见多账号统一管理。
仅DDoS原生防护2.0(包年包月)企业版实例、DDoS原生防护2.0(后付费)实例支持开通多账号统一管理功能。
标准型云产品:请您按照如下操作手动添加到防护对象中。
DDoS防护(增强版)EIP:开通了多账号管理功能后,成员账号新购买的DDoS防护(增强版)EIP,会自动添加到防护对象中,无需手动添加。您可以在防护对象页面的DDoS防护(增强版)EIP页签查看到购买的DDoS防护(增强版)EIP。
登录流量安全产品控制台。
在顶部菜单栏左上角处,选择实例所在资源组,地域选择全球。
在左侧导航栏,选择。
在防护对象页面,选择目标实例,单击添加防护对象。
在添加防护对象对话框,选择成员账号资产添加,然后单击确认。
为防护对象开启近源压制
近源压制策略有一定的时效性以及每月10次的额度限制,建议您在遭受DDoS攻击时配置。
近源压制即在指定的封禁时间内直接丢弃所有跨境业务流量,适用于业务本身不存在跨境流量的场景。近源压制一般通过运营商骨干网核心路由器,在靠近攻击源的位置丢弃特定区域的流量。
如果公网IP资产的地域是中国内地:开启近源压制将封禁所有来自非中国内地(含海外地域、中国香港、中国澳门、中国台湾)的流量。
如果公网IP资产的地域是非中国内地(含海外地域、中国香港、中国澳门、中国台湾):开启近源压制将封禁所有来自中国内地的流量。
遭受攻击时,您可以登录流量安全产品控制台,在攻击分析页面查看具体攻击事件详情,如果发现攻击流量均来自跨境IP,可以为公网IP资产开启近源压制,封禁时间结束后流量封禁自动解除。如果您想提前解除流量封禁,可以手动关闭近源压制。
登录流量安全产品控制台。
在顶部菜单栏左上角处,选择实例所在资源组和地域。
原生防护1.0(包年包月)实例:请选择实例所在地域。
原生防护2.0(包年包月)实例、原生防护2.0(后付费)实例:请选择全球。
在左侧导航栏,选择。
选择目标实例后,定位到目标IP,开启近源压制列的开关,设置封禁时长。
说明封禁时长支持30分钟~1天,封禁时长设置生效后不支持修改。如果您需要修改封禁时长,必须先关闭已生效的近源压制再重新开启近源压制。
您可以在资产列表中查看封禁开始时间和封禁结束时间,等待已设置的封禁时长结束后,流量封禁将自动取消,公网IP的近源黑洞状态将变更为关闭。
管理防护对象
查看防护对象详情
登录流量安全产品控制台。
在顶部菜单栏左上角处,选择实例所在资源组和地域。
原生防护1.0(包年包月)实例:请选择实例所在地域。
原生防护2.0(包年包月)实例、原生防护2.0(后付费)实例:请选择全球。
在左侧导航栏,选择。
在防护对象页面,选择您要查看的实例,您可以查看该实例下的公网IP资产的防护配置详情。
IP资产、WAF资产
信息项
说明
IP
该实例绑定的公网IP资产。
资产归属
如果当前阿里云账号开通了多账号管理功能且为管理账号,且您使用的是原生防护2.0企业版实例,会显示该项。
表示该公网IP资产所属的阿里云账号。
清洗阈值
触发流量清洗的最小访问带宽,包括流量(Mbps)和报文数量(PPS)。更多信息,请参见设置流量清洗阈值。
资产区域
公网IP资产所属的地域。
资产类型
公网IP资产的资产类型。
状态
公网IP资产的DDoS安全状态。
正常
黑洞中:单击操作列的解除黑洞,在解除黑洞对话框中查看剩余黑洞解除次数,确认解除黑洞后单击确定。您可以查看黑洞事件记录,具体操作,请参见查看黑洞事件详情。
防护模版
公网IP资产关联的防护策略模板。
如果为默认,表示该公网IP资产没有设置防护策略,使用的DDoS原生防护的默认防护能力。如果为自定义的防护策略模板,您可以单击模板,跳转到防护配置页面查看模板详情。
近源压制
是否开启近源压制。
操作
删除:删除防护对象。
解除黑洞:仅当资产IP状态为黑洞中时支持该操作。
查看实时生效策略:查看该公网IP资产防护策略的具体信息。
DDoS防护增强EIP(高防EIP)
信息项
说明
IP
高防EIP。
资产归属
如果当前阿里云账号开通了多账号管理功能且为管理账号会显示该项。
表示该公网IP资产所属的阿里云账号。
清洗阈值
触发流量清洗的最小访问带宽,包括流量(Mbps)和报文数量(PPS)。更多信息,请参见设置流量清洗阈值。
资产区域
高防EIP所属的地域。
资产类型
DDoS防护增强EIP(高防EIP)。
端口数量
高防EIP下配置了端口防护的端口数量。您可以单击目标IP左侧的
,查看哪些端口配置了防护策略。状态
公网IP资产的DDoS安全状态。
正常
黑洞中:单击操作列的解除黑洞,在解除黑洞对话框中查看剩余黑洞解除次数,确认解除黑洞后单击确定。您可以查看黑洞事件记录,具体操作,请参见查看黑洞事件详情。
防护模版
高防EIP关联的防护策略模板。
如果为默认,表示该高防EIP没有设置防护策略,使用的DDoS原生防护的默认防护能力。如果为自定义的防护策略模板,您可以单击模板,跳转到防护配置页面查看模板详情。
近源压制
是否开启近源压制。
操作
添加端口:添加指定端口。
解除黑洞:仅当高防EIP状态为黑洞中时支持该操作。
查看实时生效策略:查看该高防EIP防护策略详情。
删除防护对象
在防护对象页面,选择目标实例。
在资产列表中,定位到目标公网IP资产,单击操作列的删除。
在删除防护对象对话框中查看提示信息,然后单击确定。
常见问题
相关文档
添加防护对象后,防护模版显示为默认,表示该公网IP资产使用的DDoS原生防护的默认防护能力,如果您的业务要求放行或丢弃包含指定特征的业务流量,可以自定义防护策略模板,并为防护对象绑定自定义的防护策略模板。详细介绍,请参见IP防护策略、端口防护策略。
为公网IP资产设置端口防护策略时,会导致TCP业务闪断,请您在业务低峰期操作。
标准型云产品仅支持IP防护策略,不支持端口防护策略。增强型云产品既支持IP防护策略,也支持端口防护策略,同时配置时生效顺序是IP防护策略>端口防护策略。