端口防护策略

防护增强型云产品时,针对非网站业务的TCP连接资源耗尽型攻击(非Web类应用层CC攻击),您可以设置端口防护策略,通过设置精细化应用层特征检测与过滤,放行或丢弃包含指定特征的业务流量。本文介绍如何设置端口防护策略。

注意事项

  • 标准型云产品仅支持IP防护策略,不支持端口防护策略。增强型云产品既支持IP防护策略,也支持端口防护策略,同时配置时生效顺序是IP防护策略>端口防护策略。

  • 一个端口只允许绑定一个端口防护策略。

前提条件

已在防护对象中配置增强型云产品的端口。具体操作,请参见防护对象

操作步骤

  1. 登录流量安全产品控制台

  2. 在左侧导航栏,选择网络安全 > DDoS原生防护 > 防护配置

  3. 单击新建策略,输入策略名称,策略类型选择端口防护策略,然后单击确定

  4. 策略创建成功对话框中,单击确定

  5. 单击新增规则,为策略模板设置防护规则后,单击下一步

    配置项

    说明

    规则名称

    自定义规则名称。每个策略模板最多可以添加10条防护规则。

    会话流启动规则匹配的最小字节数阈值

    会话流启动检测的最小字节数,取值0~2048。默认为0,代表会话存在发送的字节,字节数大于0即生效。

    例如取值为1500,会话流长度小于1500字节时不会被检测,大于等于1500字节时才会被检测。

    规则类型

    检测哪种类型的会话流。取值:字符串匹配(ASCII)、十六进制匹配。

    匹配条件

    • 起始位置:检测的起始位置,取值0~2047。例如取值为0,表示从会话流的第1个字节开始检测。取值为1,表示从会话流的第2个字节开始检测,以此类推。

    • 检测窗口长(从起始位置检测多少Bytes):从起始位置开始检测多少个字节,取值1~2048。例如取值为20,如果起始位置取值为10,则检测会话流第11~30个字节的内容。

    • 匹配内容:匹配的内容。长度不超过2048的字符串。

    优先级

    检测优先级,数字越小优先级越高。取值为1~100。

    逻辑符

    设置是命中匹配条件执行相应动作,还是非命中匹配条件时执行相应动作。

    动作

    会话流的处理方式。固定取值丢弃

  6. 生效资产列表待选择对象区域,根据地域、实例名称、IP筛选要添加规则的端口,勾选要防护的端口/协议后,单击确认添加

相关操作

  • 修改端口防护策略模板:在防护配置页面,选择端口防护策略,定位到目标策略,单击操作列的修改防护规则

    重要

    修改策略模板后,该模板关联的防护对象将执行修改后的防护策略,请谨慎操作。

  • 删除端口防护策略模板:在防护配置页面,选择端口防护策略,定位到目标策略,单击操作列的删除

    重要

    删除策略模板时,如果策略已关联防护对象,则不支持删除。如果确认需要删除,请先删除该模板关联的防护对象。

  • 为策略模板添加或删除防护对象防护配置页面,选择端口防护策略,定位到目标策略,单击操作列的关联防护对象,为策略模板添加或删除防护对象。

配置示例

例如,您的游戏业务部署在高防EIP,使用基于TCP的私有协议,通过8191、8192端口对外提供业务。建议您接入后日常封禁HTTP协议相关特征请求,或者遭受攻击后通过抓包等工具,分析攻击请求特征,调整端口防护策略。

封禁HTTP请求:

配置项

说明

会话流启动规则匹配的最小字节数阈值

设置为0。

规则类型

使用字符串匹配(ASCII)。

匹配条件

  • 起始位置:设置为0.

  • 检测窗口长(从起始位置检测多少Bytes):设置为3。

  • 匹配内容:GET。

优先级

优先级设置为1。

逻辑符

设置为命中。

动作

设置为丢弃。当检测到会话流前3个字节为GET字符串时,丢弃该会话流。