本文介紹如何配置DDoS原生防護的自定義防護策略。
概述
您將公網IP資產添加到防護對象后,DDoS原生防護會使用默認的防護策略對公網IP資產進行防護,您可以根據業務特征自定義防護策略,放行或丟棄包含指定特征的業務流量,也可以在受到DDoS攻擊后,通過防護日志或者攻擊分析詳情查看攻擊流量特征,調整自定義的防護策略,以提升DDoS防護效果。關于如何查看防護日志和攻擊分析詳情,請參見查詢防護日志和攻擊分析。
防護策略類型
IP防護策略-觸發模式、IP防護策略-串聯模式和端口防護策略支持的配置項不同,建議您同時配置,發生DDoS攻擊時,流量按照IP防護策略-觸發模式、IP防護策略-串聯模式、端口防護策略的順序依次執行防護動作。近源壓制策略有一定的時效性以及額度限制,建議您在受到DDoS攻擊時配置。
策略類型 | 說明 |
IP防護策略-觸發模式 | 當公網IP資產被攻擊且流量超過清洗閾值后,DDoS原生防護會結合您設置的防護策略自動進行網絡三層及網絡四層的大流量DDoS攻擊防護,直至攻擊停止。 |
IP防護策略-串聯模式 | 對經過公網IP資產的所有業務流量生效,命中設置的防護規則即執行防護動作。主要用來防護網絡三層及網絡四層的DDoS和CC攻擊。 |
端口防護策略 | 端口防護適用于非網站業務的TCP連接資源耗盡型攻擊(網絡四層CC攻擊),支持精細化應用層特征檢測與過濾,放行或丟棄包含指定特征的業務流量,主要用來防護網絡四層的CC攻擊。 |
近源壓制策略-默認 | 在指定的封禁時間內直接丟棄所有跨境業務流量,適用于業務本身不存在跨境流量的場景。近源壓制一般通過運營商骨干網核心路由器,在靠近攻擊源的位置丟棄特定區域的流量。 說明 IP防護策略-串聯模式中的區域封禁,是在靠近被攻擊目標的位置丟棄特定區域的流量。
每個DDoS原生防護實例每月默認擁有10次觸發流量封禁的額度。 |
不同地域的防護策略支持情況
公測期間,防護配置免費為用戶開放使用,但支持的能力和地域有限,具體請參見下表。如不能滿足業務需求,您可以通過智能在線咨詢技術支持人員。
本文中,
表示支持,
表示不支持。
公網IP資產類型 | 地域 | IP防護策略-觸發模式 | IP防護策略-串聯模式 | 端口防護策略 | 近源壓制策略-默認 |
原生防護1.0及原生防護2.0防護的公網IP資產 | 中國內地 |
|
|
|
|
非中國內地 | 支持的地域:中國香港、美國(弗吉尼亞)、美國(硅谷)、德國(法蘭福克)、英國(倫敦)、日本(東京)、新加坡、印度尼西亞(雅加達)、馬來西亞(吉隆坡)。 |
|
|
| |
DDoS防護增強EIP(高防EIP) | 中國內地 |
|
| 僅華東1(杭州)支持。 |
|
非中國內地 | 支持的地域:中國香港、美國(弗吉尼亞)、美國(硅谷)、德國(法蘭福克)、英國(倫敦)、日本(東京)、新加坡、印度尼西亞(雅加達)、馬來西亞(吉隆坡)。 | 支持的地域:中國香港、美國(弗吉尼亞)、美國(硅谷)、德國(法蘭福克)、英國(倫敦)、日本(東京)、新加坡。 |
|
| |
云下IDC代播 | 非中國內地 |
|
|
|
|
IP防護策略-觸發模式
前提條件
如果您購買的是原生防護1.0或原生防護2.0,請先將公網IP資產添加到防護對象中。具體操作,請參見防護對象。
如果您購買的是DDoS防護增強EIP(高防EIP),購買后高防EIP會自動添加到DDoS原生防護的防護對象中,無需您手動操作。
新建策略模板并綁定防護對象
登錄流量安全產品控制臺。
在左側導航欄,選擇。
單擊新建策略,輸入策略名稱并選擇策略類型為IP防護策略-觸發模式,單擊確定。
在策略創建成功對話框單擊確定。
為策略模板設置防護規則,并單擊下一步。
如果生效資產中只有TCP業務(無UDP業務),建議您封禁全部UDP源端口。但如果您后續增加了UDP業務,請及時調整防護策略。
如果生效資產中存在UDP業務,建議您封禁常見的UDP反射源端口,包括1~52、54~161、389、1900、11211。
單擊端口封禁區域的設置,在禁用端口頁簽單擊添加端口。
配置端口規則后,單擊確定。
協議:要封禁的協議類型。可選值:TCP、UDP。
開始源端口 - 結束源端口:要封禁的源端口范圍。可選范圍:1~65535。
開始目的端口 - 結束目的端口:要封禁的目的端口范圍。可選范圍:1~65535。
匹配后動作:匹配中協議及對應端口后,對流量執行的操作。取值固定為丟棄。
單擊黑白名單區域的設置。
在黑白名單庫頁簽單擊添加黑白名單。
設置黑名單和白名單,單擊確定。
單擊指紋過濾區域的設置。
在指紋過濾特征頁簽單擊添加特征。
新增指紋過濾特征配置后單擊確定。
協議:協議類型。可選值:TCP、UDP。
開始源端口 — 結束源端口:源端口范圍。可選范圍:0~65535。
開始目的端口 — 結束目的端口:目的端口范圍。可選范圍:0~65535。
最小包長 — 最大包長:IP數據包的長度范圍。可選范圍:1~1500,單位:Byte。
偏移量:UDP或TCP頭部后數據體(payload)的偏移量,可選范圍:0~1500,單位:Byte。
偏移量為0時,從數據體的第一字節開始匹配。
檢測載荷:要匹配的數據體(payload)內容,需要輸入以0x開頭的十六進制字符串。
匹配后動作:匹配中特征后,對流量執行的操作。可選值:通過、丟棄、源IP限速、session限速。
選擇源IP限速、session限速后,必須設置限速值。限速值取值范圍:1~100000,單位:pps。
在生效資產列表的待選擇對象區域,根據地域和實例名稱選擇公網IP資產,單擊確認添加。
說明一個公網IP資產只允許綁定一個IP防護策略-觸發模式的策略模板。
策略生效優先級:黑名單>ICMP協議禁用>白名單>源端口封禁>指紋過濾。
規則名稱 | 說明 | 配置方法 |
ICMP協議禁用 | 在流量清洗時直接丟棄ICMP協議流量,可以過濾ICMP攻擊,并減少服務器被探測的風險。 說明 ICMP協議禁用對白名單中IP也會生效,即開啟該策略后,來自白名單IP的ICMP協議流量也會被丟棄。 | 打開狀態開關,并單擊確定。 |
端口封禁 | 針對UDP或TCP協議,設置源端口或目的端口過濾規則,直接丟棄來自指定協議及對應端口的流量,可以用于過濾UDP反射攻擊。 重要 建議您根據業務場景選擇以下推薦配置,提升防護效果: | 同一協議同一端口類型的端口范圍不能重合,最多支持8條規則。 |
黑白名單 | 針對源IP設置過濾或放行規則,直接丟棄或放行指定源IP的流量。 | |
指紋過濾 | 在流量清洗時,由攻擊工具偽造的攻擊報文通常都擁有相同的特征字段,比如都包含某一字符串或整個報文內容一致,通過對數據包中指定位置的內容進行特征匹配,根據匹配結果設置過濾、放行或限速規則。 | 您可以在指紋過濾特征列表中管理已有特征,例如編輯、刪除特征,或者對特征排序。 說明 特征排序僅為了方便您管理現有規則,不會對規則生效有任何影響。 |
IP防護策略-串聯模式
購買高防EIP后,高防EIP會自動添加到DDoS原生防護的防護對象中,無需您手動添加,您只需創建IP防護策略-串聯模式的防護策略,并將策略綁定該高防EIP即可。
新建策略模板并綁定防護對象
登錄流量安全產品控制臺。
在左側導航欄,選擇。
單擊新建策略,輸入策略名稱并選擇策略類型為IP防護策略-串聯模式,單擊確定。
在策略創建成功對話框單擊確定。
為策略模板設置防護規則,并單擊下一步。
重要策略生效優先級:黑/白名單 > 反射攻擊過濾 > 區域封禁 > 源限速。
策略名稱
說明
配置方法
AI智能防護
智能大數據分析引擎自學習業務流量基線,發現并阻斷四層連接型CC攻擊,可有效防護四層連接型攻擊。
單擊AI智能防護區域的設置,在AI智能防護對話框設置狀態和等級,單擊確定。各等級的防護效果如下:
寬松:結合歷史業務及專家經驗算法,針對攻擊明顯的惡意IP進行防護,存在一定漏過,誤殺率低。
正常:結合歷史業務及專家經驗算法,針對攻擊明顯,疑似的惡意IP進行防護,平衡防護效果及誤殺。
嚴格:結合歷史業務及專家經驗算法,針對攻擊防御效果強,但存在一定概率誤殺。
重要創建策略模板后功能默認開啟,防護等級為正常,大概需要3天業務流量訓練后達到最佳防護效果。
黑白名單
針對源IP設置過濾或放行規則,黑名單IP的請求流量將被直接丟棄,白名單IP的請求流量將被直接放行。
單擊黑/白名單區域的設置,在設置黑/白名單頁簽設置黑名單和白名單。
重要添加黑名單時,需要設置黑名單超時時間。黑名單超時時間最長為7天,且設置后對當前黑名單中所有IP均生效。
區域封禁
對已接入防護的業務設置基于地理區域的訪問請求封禁策略。開啟區域封禁后,由封禁區域到目的IP的流量將被丟棄。
單擊區域封禁區域的設置,在封禁區域設置頁簽選擇要封禁的區域后并單擊確定。
源限速
對訪問頻率超出閾值的源IP地址進行限速。開啟源限速后,超出訪問限制的源IP將觸發請求限速或加入黑名單處理。源IP一旦被添加到黑名單,則所有來自該IP的訪問請求會被丟棄。
單擊源限速區域的設置,在源限速設置頁簽設置源PPS限速、源帶寬限速、源SYN PPS限速和源SYN 帶寬限速后,單擊確定。您可以設置限速閾值,以及滿足條件后是否將該源IP加入黑名單。
反射攻擊過濾
僅針對UDP協議流量生效,DDoS原生防護實例在處理UDP協議流量時,直接丟棄您指定的UDP反射源端口的流量。
單擊反射攻擊過濾區域的設置,在設置UDP反射攻擊防護頁簽的一鍵過濾策略勾選需要過濾的反射源端口,您也可以在自定義過濾策略中設置其他反射源端口。
說明一鍵過濾策略中列出了常見的UDP反射攻擊,如果您的業務不涉及這些UDP源端口,建議您全部封禁。
在生效資產列表的待選擇對象區域,根據地域和實例名稱選擇公網IP資產,單擊確認添加。
說明一個高防EIP只允許綁定一個IP防護策略-串聯模式的策略模板。
端口防護策略
端口防護策略綁定的是高防EIP的端口,您在購買高防EIP后會自動添加到DDoS原生防護的防護對象中,但需要手動添加要防護的端口,才能將端口和端口防護策略綁定。
前提條件
已在防護對象中配置高防EIP的端口。具體操作,請參見防護對象。
新建策略模板并添加防護對象
登錄流量安全產品控制臺。
在左側導航欄,選擇。
單擊新建策略,輸入策略名稱并選擇策略類型為端口防護策略,單擊確定。
在策略創建成功對話框單擊確定。
為策略模板設置防護規則后,單擊下一步。
配置項
說明
規則名稱
自定義規則名稱。
說明每個策略模板最多可以添加10條防護規則。
會話流啟動規則匹配的最小字節數閾值
會話流啟動檢測的最小字節數,取值0~2048。
例如取值為1500,會話流長度小于1500字節時不會被檢測,大于等于1500字節時才會被檢測。
規則類型
檢測哪種類型的會話流。
取值:
字符串匹配(ASCII)
十六進制匹配
匹配條件
起始位置:檢測的起始位置,取值0~2047。例如取值為0,表示從會話流的第1個字節開始檢測。取值為1,表示從會話流的第2個字節開始檢測,以此類推。
檢測窗口長:從起始位置開始檢測多少個字節,取值1~2048。例如取值為20,如果起始位置取值為10,則檢測會話流第11~30個字節的內容。
匹配內容:匹配的內容。長度不超過2048的字符串。
優先級
檢測優先級,數字越小優先級越高。取值為1~100。
邏輯符
設置是命中匹配條件執行相應動作,還是非命中匹配條件時執行相應動作。取值:
命中
非命中
動作
會話流的處理方式。固定取值丟棄。
在生效資產列表的待選擇對象區域,根據地域、實例名稱、IP篩選要添加規則的端口,勾選要防護的IP端口/協議后,單擊確認添加。
近源壓制
如果您需要丟棄所有跨境業務流量,可以為公網IP開啟近源壓制,封禁時間結束后流量封禁自動解除。如果您想提前解除流量封禁,可以手動解除近源壓制。
前提條件
如果您購買的是原生防護1.0或原生防護2.0,請先將公網IP資產添加到防護對象中。具體操作,請參見防護對象。
如果您購買的是DDoS防護增強EIP(高防EIP),購買后高防EIP會自動添加到DDoS原生防護的防護對象中,無需您手動操作。
開啟近源壓制
登錄流量安全產品控制臺。
在左側導航欄,選擇。
在防護配置頁簽選擇近源壓制策略-默認后,單擊操作列的修改策略。
在防護規則區域,通過地域和實例名稱篩選要設置防護規則的IP,針對IP設置防護規則。
為一個公網IP單獨開啟近源壓制:開啟公網IP對應的近源黑洞開關,設置流量封禁的持續時長,并單擊確定。
為多個公網IP批量開啟近源壓制:選中要操作的公網IP,單擊批量禁封,設置流量封禁的持續時長,并單擊確定。
您可以在資產列表中查看封禁開始時間和封禁結束時間,等待已設置的封禁時長結束后,流量封禁將自動取消,公網IP的近源黑洞狀態將變更為關閉。
說明封禁時長設置生效后不支持修改。如果您需要修改封禁時長,必須先解除已生效的近源壓制再重新開啟近源壓制。
手動解除近源壓制
在防護配置頁簽選擇近源壓制策略-默認后,單擊操作列的修改策略。
在防護規則區域,通過地域和實例名稱篩選要解除近源壓制的IP。
為一個公網IP單獨解除近源壓制:關閉公網IP對應的近源黑洞開關,單擊確定。
為多個公網IP批量解除近源壓制:選中要操作的公網IP,單擊批量解封,單擊確定。
相關操作
針對IP防護策略-觸發模式、IP防護策略-串聯模式、端口防護規則這三類模板,您還可以進行如下操作。
為策略模板添加或刪除防護對象:在防護配置頁簽選擇相應的模板類型后,定位到目標策略名稱,單擊操作列的關聯防護對象,為策略模板添加或刪除防護對象。
修改或刪除策略模板:在防護配置頁簽選擇相應的模板類型后,定位到目標策略名稱,單擊操作列的修改防護規則或刪除。
重要修改策略模板后,該模板關聯的防護對象將執行修改后的防護策略,請謹慎操作。
刪除策略模板時,如果策略已關聯防護對象,則不支持刪除。如果確認需要刪除,請先刪除該模板關聯的防護對象。