防護標準型云產品或增強型云產品時,針對網絡層及傳輸層的大流量DDoS攻擊,您可以設置IP防護策略,根據防護規則過濾或放行業務流量,提升DDoS防護效果。本文介紹如何設置IP防護策略。
注意事項
標準型云產品僅支持IP防護策略,不支持端口防護策略。增強型云產品既支持IP防護策略,也支持端口防護策略,同時配置時生效順序是IP防護策略>端口防護策略。
一個公網IP資產只允許綁定一個IP防護策略。
前提條件
防護標準型云產品時:無論您使用的是原生防護1.0、2.0,還是后付費版本,請先將公網IP資產添加到防護對象中。具體操作,請參見防護對象。
防護增強型云產品時:購買增強型云產品后,DDoS原生防護會自動將其添加到防護對象中,無需您手動操作。
操作步驟
登錄流量安全產品控制臺。
在左側導航欄,選擇。
單擊新建策略,輸入策略名稱,策略類型選擇IP防護策略,然后單擊確定。
在策略創建成功對話框中,單擊確定,設置詳細的防護規則,然后單擊下一步。
重要規則生效優先級:需要注意部分規則僅攻擊狀態生效,具體請參見下表。
標準型云產品:黑名單>ICMP協議禁用>白名單>區域封禁>端口封禁>指紋過濾。
增強型云產品:黑名單>ICMP協議禁用>白名單>端口封禁>指紋過濾>反射攻擊過濾>源限速。
規則生效時長:除黑名單需要設置生效時長外,其余規則均永久生效。
規則名稱
規則介紹
標準型云產品
增強型云產品
說明
AI智能防護
智能大數據分析引擎自學習業務流量基線,自適應防護網絡層及傳輸層DDoS攻擊。
×
√
重要創建策略模板后功能默認開啟,防護等級為正常,大概需要3天業務流量訓練后達到最佳防護效果。
結合歷史業務及專家經驗算法,各等級的防護效果如下:
寬松:針對攻擊明顯的惡意IP進行防護,存在一定漏過,誤殺率低。
正常:針對攻擊明顯,疑似的惡意IP進行防護,平衡防護效果及誤殺。
嚴格:針對攻擊防御效果強,但存在一定概率誤殺。
ICMP協議禁用
流量清洗時直接丟棄ICMP協議流量,過濾ICMP攻擊并減少服務器被探測的風險。
√
攻擊時生效
√
攻擊時生效
ICMP協議禁用對白名單中IP也會生效,即開啟該策略后,來自白名單IP的ICMP協議流量也會被丟棄。
重要禁用后會導致ping命令將無法得到響應,進行網絡診斷與維護前請先解除禁用。
黑白名單
針對源IP設置過濾或放行規則,直接丟棄或放行指定源IP的流量。
√
攻擊時生效
√
常態化生效
添加黑名單時,需要設置黑名單超時時間(1~10080分鐘),設置后對當前黑名單中所有IP均生效。
黑白名單可以分別添加2000個IP。
區域封禁
基于地理區域的訪問請求封禁策略。開啟后,由封禁區域到目的IP的流量將被丟棄。
√
攻擊時生效
√
常態化生效
支持您按照地區或國家進行封禁。
端口封禁
針對UDP或TCP協議,設置源端口或目的端口過濾規則,直接丟棄來自指定協議及對應端口的流量,可以用于過濾UDP反射攻擊。
√
攻擊時生效
√
攻擊時生效
最多支持8條規則。
重要建議您根據業務場景選擇以下推薦配置,提升防護效果:
如果生效資產中只有TCP業務(無UDP業務),建議您封禁全部UDP源端口。但如果您后續增加了UDP業務,請及時調整防護策略。
如果生效資產中存在UDP業務,建議您封禁常見的UDP反射源端口,包括1~52、54~161、389、1900、11211。
源限速
對訪問頻率超出閾值的源IP地址進行限速。
×
√
常態化生效
支持源PPS限速、源帶寬限速、源SYN PPS限速、源SYN 帶寬限速。設置限速閾值后,您也可以設置60秒內5次超限就將該源IP加入黑名單,即所有來自該IP的訪問請求會被丟棄。
反射攻擊過濾
僅針對UDP協議流量生效,處理UDP協議流量時,直接丟棄您指定的UDP反射源端口的流量。
×
√
常態化生效
提供了一鍵過濾策略和自定義過濾策略。
一鍵過濾策略:列出了常見的UDP反射攻擊,如果您的業務不涉及這些UDP源端口,建議您全部封禁。
自定義過濾策略:自定義反射源端口,最多設置20個端口,端口不能與一鍵過濾策略中的端口重復。
指紋過濾
由攻擊工具偽造的攻擊報文通常都擁有相同的特征字段,比如都包含某一字符串或整個報文內容一致,通過對數據包中指定位置的內容進行特征匹配,根據匹配結果設置過濾、放行或限速規則。
√
攻擊時生效
√
攻擊時生效
配置指導:
協議:TCP或UDP。
開始源端口 - 結束源端口:源端口范圍。可選范圍:0~65535。
開始目的端口 - 結束目的端口:目的端口范圍。可選范圍:0~65535。
最小包長 - 最大包長:IP數據包的長度范圍。可選范圍:1~1500,單位:Byte。
偏移量:UDP或TCP頭部后數據體(payload)的偏移量,可選范圍:0~1500,單位:Byte。
偏移量為0時,從數據體的第一字節開始匹配。
檢測載荷:要匹配的數據體(payload)內容,輸入十六進制字符串,長度為1~15字節。
匹配后動作:匹配中特征后,對流量執行的操作。可選值:通過、丟棄、源IP限速、session限速。
選擇源IP限速、session限速后,必須設置限速值。取值范圍:1~100000,單位:pps。
高防回源加白
將DDoS高防的回源IP添加到云產品的訪問控制策略白名單中。
×
√
防護增強型云產品時,流量會通過DDoS高防清洗中心轉發回源,強烈建議開啟高防回源加白功能,避免業務流量誤傷。
在生效資產列表的待選擇對象區域,根據地域和實例名稱選擇公網IP資產,單擊確認添加。
相關操作
修改IP防護策略模板:在防護配置頁面,選擇端口防護策略,定位到目標策略,單擊操作列的修改防護規則。
重要修改策略模板后,該模板關聯的防護對象將執行修改后的防護策略,請謹慎操作。
刪除IP防護策略模板:在防護配置頁面,選擇端口防護策略,定位到目標策略,單擊操作列的刪除。
重要刪除策略模板時,如果策略已關聯防護對象,則不支持刪除。如果確認需要刪除,請先刪除該模板關聯的防護對象。
為策略模板添加或刪除防護對象:在防護配置頁面,選擇端口防護策略,定位到目標策略,單擊操作列的關聯防護對象,為策略模板添加或刪除防護對象。
配置示例
對于標準云產品,針對網絡層、傳輸層的大流量攻擊,您可以基于業務特征,設置IP防護策略。
配置項 | 說明 |
ICMP協議禁用 | 如果您的業務不涉及ICMP協議,可以將ICMP協議封禁。 |
黑白名單 | 受到攻擊后,您可以在攻擊分析頁面,將排名靠前的可疑源IP添加到黑名單中,最多可以添加2000個IP。更多信息,請參見攻擊分析。 |
區域封禁 | 您可以將非業務訪問的地域全部封禁,例如您沒有海外業務,可以將非中國內地的地域全部封禁。 |
端口封禁 | 如果您的業務不涉及UDP端口,可以將所有的UDP端口一鍵封禁。 |
指紋過濾 | 您可以通過分析攻擊流量,根據特征配置指紋過濾。 |