DDoS高防实例的全局防护策略-DDoS防护(Anti-DDoS)-阿里云帮助中心

业务接入DDoS高防实例后，实例会默认绑定全局防护策略，策略可以在攻击发生的瞬间有效减少攻击透过所带来的危害。全局防护策略支持传统模式和AI自动驾驶模式。传统模式提供宽松、正常、严格三个防护等级。AI自动驾驶模式由SecOps Agent根据您的业务画像智能生成并持续优化防护策略。本文介绍两种模式的防护能力，以及如何设置和切换。

什么是全局防护策略

全局防护策略是DDoS防护引擎在日常海量攻防事件中沉淀的通用防护策略，可以缓解已知特征的流量型攻击，在攻击发生时即刻生效，减少已知特征攻击发生瞬间出现的攻击透过的危害。

全局防护策略是在一个高防实例上应用的统一防护规则，这些规则对实例上所有绑定的业务资源生效。无论是多个网站、应用服务还是跨地区的业务节点，只要它们通过同一个高防实例进行保护，都会受到全局防护策略的保护。

说明

全局防护策略仅在DDoS高防实例IP处于被攻击状态时生效。

防护模式介绍

全局防护策略支持以下两种防护模式：

防护模式	功能概述	版本要求	适用场景
传统模式	提供宽松、正常、严格三个固定防护等级，可以根据业务需要手动选择防护等级。防护等级说明，请参见传统模式。	适用于所有DDoS高防实例。标准功能套餐仅支持传统模式，默认防护等级为正常。	当对防护策略有明确的等级需求时，可以选择传统模式。
AI 自动驾驶模式	由SecOps Agent智能分析实例流量画像和业务特征，自动生成最优防护策略，并持续根据攻防态势动态调整。可以通过自然语言与SecOps Agent对话，补充业务诉求或调整防护姿态。	仅适用于DDoS高防（中国内地）和DDoS高防（非中国内地）增强功能实例。增强功能套餐，默认开启AI自动驾驶模式，支持模式切换。	适用于希望获得智能化、个性化防护策略的业务场景。

适用范围

已将网站业务或非网站业务接入DDoS高防。具体操作，请参见添加网站配置或配置端口转发规则。
AI 自动驾驶：仅增强功能套餐支持，标准功能套餐不支持。

传统模式

传统模式下，支持调整防护策略，操作步骤如下：

登录DDoS高防控制台。
在左侧导航栏，选择防护设置 > 通用防护策略。
在基础设施DDoS防护页签的DDoS全局防护策略区域，调整防护策略，支持调整为宽松、正常、严格。

防护等级	防护操作	说明
宽松	过滤不符合协议规范的畸形报文过滤明确攻击特征的TCP/UDP/ICMP报文过滤IP分片报文及非TCP/非UDP/非ICMP的协议过滤不满足转发端口协议的全部流量	仅防护明显攻击特征报文，存在部分复杂攻击透传风险，建议仅在出现业务误拦截情况下选择和开启。
正常	过滤不符合协议规范的畸形报文过滤明确攻击特征的TCP/UDP/ICMP报文过滤IP分片报文及非TCP/非UDP/非ICMP的协议过滤不满足转发端口协议的全部流量对部分异常访问源IP进行校验及限速对UDP报文进行校验及限制	兼顾业务可用性和防护效果，适用于绝大多数业务，可有效防护常见DDoS攻击。
严格	过滤不符合协议规范的畸形报文过滤明确攻击特征的TCP/UDP/ICMP报文过滤IP分片报文及非TCP/非UDP/非ICMP的协议过滤不满足转发端口协议的全部流量对部分访问源IP进行严格的校验及限速对UDP报文进行严格校验及限制	防护策略较严格，极端情况下存在误拦截风险，建议仅在出现攻击透传情况下选择和开启。

AI自动驾驶模式（公测中）

重要

AI自动驾驶模式仅适用于DDoS高防（中国内地）和DDoS高防（非中国内地）增强版实例。如果实例不是增强版，将不会显示开启AI自动驾驶按钮。

开启AI自动驾驶模式

登录DDoS高防控制台。
在左侧导航栏，选择防护设置 > 通用防护策略。
在基础设施DDoS防护页签左侧的实例列表中，选择目标增强版实例（带有标签）。
在右侧的DDoS全局防护策略区域，单击开启AI自动驾驶。
在弹出的SecOps Agent对话框中，完成以下配置后，单击确定。
1. 智能画像分析：SecOps Agent会根据实例的历史流量数据自动分析并生成业务画像，包括以下维度：
  - 业务类型：例如电商平台、游戏、内容服务等。您可以添加或删除标签。
  - 服务地域分布：例如中国出海、全球覆盖等。
  - 流量波动模式：例如活动驱动、稳定流量等。
  - 业务规模：例如中等规模、大规模等。
  如果AI生成的画像与实际业务不符，您可以手动修改标签以确保防护策略更贴合业务需求。
2. 业务诉求补充（可选）：可以通过以下方式补充防护需求：
  - 单击快捷标签：例如新手入门推荐电商大促防护、游戏开服防护、金融安全防护、直播流量防护、API 接口防护等。
  - 自然语言描述：在文本输入框中用自然语言描述业务场景和防护需求。例如：“我需要为即将到来的618大促活动提供防护，流量预计比平时大100倍”。
在弹出的确认对话框中，核对智能画像标签信息，单击确定。

查看AI自动驾驶策略

开启成功后，DDoS全局防护策略区域将显示AI 自动驾驶标识，同时在实时攻防动态区域，可查看系统根据实时攻防形式变化，动态触发，而做出的主动防护策略调整情况。

策略描述：SecOps Agent根据业务画像定制的具体防护规则清单。
策略调整：
- 保持：若当前策略合理，可忽略提示。
- 更换：检测到当前策略存在优化空间时，SecOps Agent将根据分析的结果，进行策略调整，无需手动操作，并说明调整原因。

调整自动防护策略

在AI自动驾驶模式下，可以随时通过与SecOps Agent对话来调整防护策略。

在DDoS全局防护策略区域，单击SecOps Agent。
在弹出的SecOps Agent对话框中，执行以下操作：
- 修改智能画像：修改智能画像中的业务类型、服务地域分布、流量波动模式、业务规模等标签。
- 补充防护需求：在业务诉求补充区域，调整快捷标签或通过自然语言补充新的防护需求，例如"即将进行618大促，需要加强防护"。
单击确定，SecOps Agent将根据更新后的信息重新分析并调整防护策略。

模式切换

切换至传统模式：
- 在右侧的DDoS全局防护策略区域，单击返回传统模式。
- 选择防护等级（宽松、正常、严格）后，单击确定。
切换至AI自动驾驶模式：参考开启AI自动驾驶模式，重新操作即可。

计费说明

公测期间，若购买了DDoS高防增强功能套餐，无需额外付费，即可使用AI自动驾驶模式。关于功能套餐的详情，请参见标准功能和增强功能的差异。