DDoS高防实例的全局防护策略_DDoS防护(Anti-DDoS)-阿里云帮助中心

业务接入DDoS高防实例后，实例会默认绑定全局防护策略，策略可以在攻击发生的瞬间有效减少攻击透过所带来的危害。本文介绍全局防护策略的防护等级，以及如何调整防护等级。

什么是全局防护策略

全局防护策略是DDoS防护引擎在日常海量攻防事件中沉淀的通用防护策略，可以缓解已知特征的流量型攻击，在攻击发生时即刻生效，减少已知特征攻击发生瞬间出现的攻击透过的危害。

全局防护策略是在一个高防实例上应用的统一防护规则，这些规则对实例上所有绑定的业务资源生效。无论是多个网站、应用服务还是跨地区的业务节点，只要它们通过同一个高防实例进行保护，都会受到全局防护策略的保护。

说明

全局防护策略仅在DDoS高防实例IP处于被攻击状态时生效。

默认防护策略包括正常、宽松、严格三个防护等级，购买DDoS高防实例后，全局防护策略的防护等级默认为正常。如果默认防护策略不满足您的要求，请联系您的商务经理定制防护策略。

防护等级	防护操作	说明
宽松	过滤不符合协议规范的畸形报文过滤明确攻击特征的TCP/UDP/ICMP报文过滤IP分片报文及非TCP/非UDP/非ICMP的协议过滤不满足转发端口协议的全部流量	仅防护明显攻击特征报文，存在部分复杂攻击透传风险，建议仅在出现业务误拦截情况下选择和开启。
正常	过滤不符合协议规范的畸形报文过滤明确攻击特征的TCP/UDP/ICMP报文过滤IP分片报文及非TCP/非UDP/非ICMP的协议过滤不满足转发端口协议的全部流量对部分异常访问源IP进行校验及限速对UDP报文进行校验及限制	兼顾业务可用性和防护效果，适用于绝大多数业务，可有效防护常见DDoS攻击。
严格	过滤不符合协议规范的畸形报文过滤明确攻击特征的TCP/UDP/ICMP报文过滤IP分片报文及非TCP/非UDP/非ICMP的协议过滤不满足转发端口协议的全部流量对部分访问源IP进行严格的校验及限速对UDP报文进行严格校验及限制	防护策略较严格，极端情况下存在误拦截风险，建议仅在出现攻击透传情况下选择和开启。

已将网站业务或非网站业务接入DDoS高防。具体操作，请参见添加网站配置或配置端口转发规则。