防護增強型云產品時,針對非網站業務的TCP連接資源耗盡型攻擊(非Web類應用層CC攻擊),您可以設置端口防護策略,通過設置精細化應用層特征檢測與過濾,放行或丟棄包含指定特征的業務流量。本文介紹如何設置端口防護策略。
注意事項
標準型云產品僅支持IP防護策略,不支持端口防護策略。增強型云產品既支持IP防護策略,也支持端口防護策略,同時配置時生效順序是IP防護策略>端口防護策略。
一個端口只允許綁定一個端口防護策略。
前提條件
已在防護對象中配置增強型云產品的端口。具體操作,請參見防護對象。
操作步驟
登錄流量安全產品控制臺。
在左側導航欄,選擇。
單擊新建策略,輸入策略名稱,策略類型選擇端口防護策略,然后單擊確定。
在策略創建成功對話框中,單擊確定。
單擊新增規則,為策略模板設置防護規則后,單擊下一步。
配置項
說明
規則名稱
自定義規則名稱。每個策略模板最多可以添加10條防護規則。
會話流啟動規則匹配的最小字節數閾值
會話流啟動檢測的最小字節數,取值0~2048。默認為0,代表會話存在發送的字節,字節數大于0即生效。
例如取值為1500,會話流長度小于1500字節時不會被檢測,大于等于1500字節時才會被檢測。
規則類型
檢測哪種類型的會話流。取值:字符串匹配(ASCII)、十六進制匹配。
匹配條件
起始位置:檢測的起始位置,取值0~2047。例如取值為0,表示從會話流的第1個字節開始檢測。取值為1,表示從會話流的第2個字節開始檢測,以此類推。
檢測窗口長(從起始位置檢測多少Bytes):從起始位置開始檢測多少個字節,取值1~2048。例如取值為20,如果起始位置取值為10,則檢測會話流第11~30個字節的內容。
匹配內容:匹配的內容。長度不超過2048的字符串。
優先級
檢測優先級,數字越小優先級越高。取值為1~100。
邏輯符
設置是命中匹配條件執行相應動作,還是非命中匹配條件時執行相應動作。
動作
會話流的處理方式。固定取值丟棄。
在生效資產列表的待選擇對象區域,根據地域、實例名稱、IP篩選要添加規則的端口,勾選要防護的端口/協議后,單擊確認添加。
相關操作
修改端口防護策略模板:在防護配置頁面,選擇端口防護策略,定位到目標策略,單擊操作列的修改防護規則。
重要修改策略模板后,該模板關聯的防護對象將執行修改后的防護策略,請謹慎操作。
刪除端口防護策略模板:在防護配置頁面,選擇端口防護策略,定位到目標策略,單擊操作列的刪除。
重要刪除策略模板時,如果策略已關聯防護對象,則不支持刪除。如果確認需要刪除,請先刪除該模板關聯的防護對象。
為策略模板添加或刪除防護對象:在防護配置頁面,選擇端口防護策略,定位到目標策略,單擊操作列的關聯防護對象,為策略模板添加或刪除防護對象。
配置示例
例如,您的游戲業務部署在高防EIP,使用基于TCP的私有協議,通過8191、8192端口對外提供業務。建議您接入后日常封禁HTTP協議相關特征請求,或者遭受攻擊后通過抓包等工具,分析攻擊請求特征,調整端口防護策略。
封禁HTTP請求:
配置項 | 說明 |
會話流啟動規則匹配的最小字節數閾值 | 設置為0。 |
規則類型 | 使用字符串匹配(ASCII)。 |
匹配條件 |
|
優先級 | 優先級設置為1。 |
邏輯符 | 設置為命中。 |
動作 | 設置為丟棄。當檢測到會話流前3個字節為GET字符串時,丟棄該會話流。 |