防护标准型云产品或增强型云产品时,针对网络层及传输层的大流量DDoS攻击,您可以设置IP防护策略,根据防护规则过滤或放行业务流量,提升DDoS防护效果。本文介绍如何设置IP防护策略。
注意事项
标准型云产品仅支持IP防护策略,不支持端口防护策略。增强型云产品既支持IP防护策略,也支持端口防护策略,同时配置时生效顺序是IP防护策略>端口防护策略。
一个公网IP资产只允许绑定一个IP防护策略。
前提条件
防护标准型云产品时:无论您使用的是原生防护1.0、2.0,还是后付费版本,请先将公网IP资产添加到防护对象中。具体操作,请参见防护对象。
防护增强型云产品时:购买增强型云产品后,DDoS原生防护会自动将其添加到防护对象中,无需您手动操作。
操作步骤
登录流量安全产品控制台。
在左侧导航栏,选择。
单击新建策略,输入策略名称,策略类型选择IP防护策略,然后单击确定。
在策略创建成功对话框中,单击确定,设置详细的防护规则,然后单击下一步。
重要规则生效优先级:需要注意部分规则仅攻击状态生效,具体请参见下表。
标准型云产品:黑名单>ICMP协议禁用>白名单>区域封禁>端口封禁>指纹过滤。
增强型云产品:黑名单>ICMP协议禁用>白名单>端口封禁>指纹过滤>反射攻击过滤>源限速。
规则生效时长:除黑名单需要设置生效时长外,其余规则均永久生效。
规则名称
规则介绍
标准型云产品
增强型云产品
说明
AI智能防护
智能大数据分析引擎自学习业务流量基线,自适应防护网络层及传输层DDoS攻击。
×
√
重要创建策略模板后功能默认开启,防护等级为正常,大概需要3天业务流量训练后达到最佳防护效果。
结合历史业务及专家经验算法,各等级的防护效果如下:
宽松:针对攻击明显的恶意IP进行防护,存在一定漏过,误杀率低。
正常:针对攻击明显,疑似的恶意IP进行防护,平衡防护效果及误杀。
严格:针对攻击防御效果强,但存在一定概率误杀。
ICMP协议禁用
流量清洗时直接丢弃ICMP协议流量,过滤ICMP攻击并减少服务器被探测的风险。
√
攻击时生效
√
攻击时生效
ICMP协议禁用对白名单中IP也会生效,即开启该策略后,来自白名单IP的ICMP协议流量也会被丢弃。
重要禁用后会导致ping命令将无法得到响应,进行网络诊断与维护前请先解除禁用。
黑白名单
针对源IP设置过滤或放行规则,直接丢弃或放行指定源IP的流量。
√
攻击时生效
√
常态化生效
添加黑名单时,需要设置黑名单超时时间(1~10080分钟),设置后对当前黑名单中所有IP均生效。
黑白名单可以分别添加2000个IP。
区域封禁
基于地理区域的访问请求封禁策略。开启后,由封禁区域到目的IP的流量将被丢弃。
√
攻击时生效
√
常态化生效
支持您按照地区或国家进行封禁。
端口封禁
针对UDP或TCP协议,设置源端口或目的端口过滤规则,直接丢弃来自指定协议及对应端口的流量,可以用于过滤UDP反射攻击。
√
攻击时生效
√
攻击时生效
最多支持8条规则。
重要建议您根据业务场景选择以下推荐配置,提升防护效果:
如果生效资产中只有TCP业务(无UDP业务),建议您封禁全部UDP源端口。但如果您后续增加了UDP业务,请及时调整防护策略。
如果生效资产中存在UDP业务,建议您封禁常见的UDP反射源端口,包括1~52、54~161、389、1900、11211。
源限速
对访问频率超出阈值的源IP地址进行限速。
×
√
常态化生效
支持源PPS限速、源带宽限速、源SYN PPS限速、源SYN 带宽限速。设置限速阈值后,您也可以设置60秒内5次超限就将该源IP加入黑名单,即所有来自该IP的访问请求会被丢弃。
反射攻击过滤
仅针对UDP协议流量生效,处理UDP协议流量时,直接丢弃您指定的UDP反射源端口的流量。
×
√
常态化生效
提供了一键过滤策略和自定义过滤策略。
一键过滤策略:列出了常见的UDP反射攻击,如果您的业务不涉及这些UDP源端口,建议您全部封禁。
自定义过滤策略:自定义反射源端口,最多设置20个端口,端口不能与一键过滤策略中的端口重复。
指纹过滤
由攻击工具伪造的攻击报文通常都拥有相同的特征字段,比如都包含某一字符串或整个报文内容一致,通过对数据包中指定位置的内容进行特征匹配,根据匹配结果设置过滤、放行或限速规则。
√
攻击时生效
√
攻击时生效
配置指导:
协议:TCP或UDP。
开始源端口 - 结束源端口:源端口范围。可选范围:0~65535。
开始目的端口 - 结束目的端口:目的端口范围。可选范围:0~65535。
最小包长 - 最大包长:IP数据包的长度范围。可选范围:1~1500,单位:Byte。
偏移量:UDP或TCP头部后数据体(payload)的偏移量,可选范围:0~1500,单位:Byte。
偏移量为0时,从数据体的第一字节开始匹配。
检测载荷:要匹配的数据体(payload)内容,输入十六进制字符串,长度为1~15字节。
匹配后动作:匹配中特征后,对流量执行的操作。可选值:通过、丢弃、源IP限速、session限速。
选择源IP限速、session限速后,必须设置限速值。取值范围:1~100000,单位:pps。
高防回源加白
将DDoS高防的回源IP添加到云产品的访问控制策略白名单中。
×
√
防护增强型云产品时,流量会通过DDoS高防清洗中心转发回源,强烈建议开启高防回源加白功能,避免业务流量误伤。
在生效资产列表的待选择对象区域,根据地域和实例名称选择公网IP资产,单击确认添加。
相关操作
修改IP防护策略模板:在防护配置页面,选择端口防护策略,定位到目标策略,单击操作列的修改防护规则。
重要修改策略模板后,该模板关联的防护对象将执行修改后的防护策略,请谨慎操作。
删除IP防护策略模板:在防护配置页面,选择端口防护策略,定位到目标策略,单击操作列的删除。
重要删除策略模板时,如果策略已关联防护对象,则不支持删除。如果确认需要删除,请先删除该模板关联的防护对象。
为策略模板添加或删除防护对象:在防护配置页面,选择端口防护策略,定位到目标策略,单击操作列的关联防护对象,为策略模板添加或删除防护对象。
配置示例
对于标准云产品,针对网络层、传输层的大流量攻击,您可以基于业务特征,设置IP防护策略。
配置项 | 说明 |
ICMP协议禁用 | 如果您的业务不涉及ICMP协议,可以将ICMP协议封禁。 |
黑白名单 | 受到攻击后,您可以在攻击分析页面,将排名靠前的可疑源IP添加到黑名单中,最多可以添加2000个IP。更多信息,请参见攻击分析。 |
区域封禁 | 您可以将非业务访问的地域全部封禁,例如您没有海外业务,可以将非中国内地的地域全部封禁。 |
端口封禁 | 如果您的业务不涉及UDP端口,可以将所有的UDP端口一键封禁。 |
指纹过滤 | 您可以通过分析攻击流量,根据特征配置指纹过滤。 |