All Products
Search

This Product

    Anti-DDoS:Kebijakan proteksi IP

    Document Center

    Anti-DDoS:Kebijakan proteksi IP

    Last Updated:Jun 04, 2026

    Kebijakan mitigasi spesifik IP menyaring trafik berbahaya selama serangan DDoS pada lapisan jaringan atau lapisan transport tanpa mengganggu operasi yang sah. Aturan mencakup perlindungan cerdas berbasis AI, daftar hitam dan daftar putih, pemblokiran geografis, pemblokiran port, serta penyaringan sidik jari paket. Topik ini menjelaskan cara membuat, memodifikasi, dan mengelola kebijakan mitigasi spesifik IP.

    Batasan

    • Aset cloud standar hanya mendukung kebijakan mitigasi spesifik IP. Aset cloud tingkat tinggi mendukung kebijakan mitigasi spesifik IP maupun spesifik port. Jika keduanya dikonfigurasi, kebijakan spesifik IP memiliki prioritas lebih tinggi.

    • Alamat IP publik hanya dapat di-bind ke satu kebijakan mitigasi spesifik IP.

    • Kebijakan mitigasi kustom merupakan cara spesifik yang digunakan Anti-DDoS Native untuk mencegat trafik. Trafik yang dicegat oleh kebijakan mitigasi kustom tetap dihitung dalam statistik trafik serangan.

    Sebelum memulai

    • Untuk melindungi aset cloud standar: terlepas dari edisi Anti-DDoS Native (1.0, 2.0, atau post-paid), tambahkan alamat IP publik ke objek yang dilindungi terlebih dahulu.

    • Untuk melindungi aset cloud tingkat tinggi: Anti-DDoS Native secara otomatis menambahkan aset cloud tingkat tinggi yang telah dibeli ke objek yang dilindungi. Tidak diperlukan tindakan manual.

    Buat kebijakan mitigasi spesifik IP

    Langkah 1: Buat informasi dasar

    1. Buka halaman Mitigation Settings di Konsol Keamanan Lalu Lintas.

    2. Klik Create Policy. Pada kotak dialog yang muncul, masukkan Policy Name, lalu klik OK.

    3. Setelah kebijakan dibuat, klik OK pada kotak dialog The policy is created. untuk menuju halaman Create Rule.

      Catatan

      Anda juga dapat menemukan kebijakan yang baru dibuat pada halaman daftar kebijakan dan mengklik Modify Mitigation Policy untuk membuka panel konfigurasi aturan.

    Langkah 2: Konfigurasi aturan mitigasi

    Pada halaman Create Rule, konfigurasikan aturan mitigasi berikut.

    Catatan efektivitas aturan

    • Prioritas efektivitas aturan:

      • Aset cloud standar: Pemblokiran protokol ICMP > Daftar putih > Daftar hitam > Pemblokiran geografis > Pemblokiran port > Penyaringan sidik jari paket.

      • Aset cloud tingkat tinggi: Pemblokiran protokol ICMP > Daftar putih > Daftar hitam > Pemblokiran geografis > Pemblokiran port > Penyaringan sidik jari paket > Penyaringan Serangan Refleksi > Pembatasan laju sumber.

    • Durasi efektivitas aturan: Semua aturan berlaku permanen kecuali daftar hitam, yang memerlukan pengaturan durasi.

    • Waktu penerapan aturan: Perhatikan bahwa beberapa aturan hanya berlaku selama terjadi serangan.

      • Berlaku selama serangan: Aturan diaktifkan hanya ketika Anti-DDoS Native mendeteksi trafik serangan dan memulai pembersihan lalu lintas. Aturan tidak berlaku dalam kondisi normal (tidak ada serangan).

      • Selalu berlaku: Aturan tetap aktif terlepas dari status serangan.

    Ikhtisar aturan mitigasi

    Aturan

    Aset cloud standar

    Aset cloud tingkat tinggi

    Deskripsi

    Intelligent Protection

    Tidak Didukung

    Didukung

    Mesin analisis data besar cerdas secara otomatis mempelajari garis dasar trafik bisnis dan memberikan perlindungan adaptif terhadap serangan DDoS.

    ICMP Blocking

    Didukung

    Berlaku selama serangan

    Didukung

    Selalu berlaku

    Membuang trafik ICMP selama pembersihan untuk menyaring serangan ICMP dan mengurangi risiko probing server.

    Blacklist and Whitelist

    Didukung

    Berlaku selama serangan

    Didukung

    Selalu berlaku

    Mengonfigurasi aturan penyaringan atau izin berdasarkan alamat IP sumber. Anda dapat menambahkan hingga 2.000 alamat IP ke masing-masing daftar hitam dan daftar putih.

    Location Blacklist

    Didukung

    Berlaku selama serangan

    Didukung

    Selalu berlaku

    Memblokir permintaan akses berdasarkan wilayah geografis. Anda dapat memblokir berdasarkan wilayah atau negara.

    Port Blocking

    Didukung

    Berlaku selama serangan

    Didukung

    Selalu berlaku

    Mengonfigurasi aturan penyaringan port sumber atau port tujuan untuk protokol UDP atau TCP. Mendukung hingga 8 aturan.

    Source Rate Limiting

    Tidak Didukung

    Didukung

    Selalu berlaku

    Mem-batas laju alamat IP sumber yang frekuensi aksesnya melebihi ambang batas. Mendukung empat dimensi: PPS, BPS, SYN PPS, dan PS.

    Reflection Attack Filtering

    Tidak Didukung

    Didukung

    Selalu berlaku

    Hanya berlaku untuk trafik protokol UDP. Membuang trafik dari port sumber refleksi UDP tertentu. Mendukung jenis aturan default dan kustom.

    Byte-Match Filter

    Didukung

    Berlaku selama serangan

    Didukung

    Selalu berlaku

    Mencocokkan fitur paket pada lokasi tertentu dan mengonfigurasi aturan penyaringan, izin, atau pembatasan laju berdasarkan hasil pencocokan.

    Anti-DDoS Proxy Back-to-Origin Whitelisting

    Tidak Didukung

    Didukung

    Menambahkan alamat IP kembali ke asal dari Anti-DDoS Proxy ke daftar putih kontrol akses untuk mencegah pemblokiran tidak sengaja terhadap trafik bisnis.

    Intelligent Protection

    Mesin analisis data besar cerdas mempelajari garis dasar trafik bisnis dan memberikan perlindungan adaptif terhadap serangan DDoS pada lapisan jaringan dan lapisan transport.

    • Skenario penerapan: Selalu berlaku untuk aset cloud standar maupun tingkat tinggi.

    • Efek perlindungan: Berdasarkan data historis trafik dan algoritma berbasis pengalaman ahli, tingkat perlindungan terdiri atas:

      Penting

      Setelah Anda membuat templat kebijakan, fitur ini diaktifkan secara default pada level Normal. Perlindungan optimal memerlukan pelatihan trafik bisnis selama kurang lebih 3 hari.

      • Loose: Memblokir IP dengan pola serangan yang jelas. Beberapa serangan mungkin lolos, tetapi tingkat positif palsu rendah.

      • Normal: Memblokir IP dengan pola serangan jelas maupun yang dicurigai berbahaya. Menyeimbangkan perlindungan dan tingkat positif palsu.

      • Strict: Pertahanan maksimal, tetapi tingkat positif palsu lebih tinggi.

    • Metode konfigurasi:

      1. Pada panel konfigurasi aturan, temukan bagian Intelligent Protection.

      2. Pada bagian Level, pilih tingkat perlindungan: Loose, Normal, atau Strict.

    ICMP Blocking

    Membuang trafik ICMP selama pembersihan untuk menyaring serangan ICMP dan mengurangi risiko probing server.

    • Skenario penerapan: Berlaku selama serangan untuk aset cloud standar. Selalu berlaku untuk aset cloud tingkat tinggi.

    • Efek perlindungan:

      • Jika pemblokiran ICMP diaktifkan, perintah ping tidak akan menerima tanggapan.

        Peringatan

        Nonaktifkan pemblokiran ICMP sebelum menjalankan diagnostik jaringan. Jika tidak, ping tidak akan berfungsi.

      • Pemblokiran ICMP juga berlaku untuk IP dalam daftar putih. Trafik ICMP dari IP dalam daftar putih akan dibuang.

    • Metode konfigurasi:

      1. Pada panel konfigurasi aturan, temukan bagian ICMP Blocking.

      2. Pada bagian Status, aktifkan atau nonaktifkan sakelar. Aktifkan aturan ini jika bisnis Anda tidak menggunakan ICMP.

    Blacklist and Whitelist

    • Skenario penerapan: Berlaku selama serangan untuk aset cloud standar. Selalu berlaku untuk aset cloud tingkat tinggi.

    • Efek perlindungan: Mengonfigurasi aturan untuk langsung membuang atau mengizinkan trafik dari IP sumber tertentu.

      Penting

      Jika trafik yang diizinkan oleh daftar putih terlalu besar, trafik tersebut mungkin tetap terkena kebijakan pembatasan laju berdasarkan alamat IP tujuan default dari Anti-DDoS Native karena spesifikasi aset cloud dan jaminan platform cloud.

    • Metode konfigurasi:

      1. Pada panel konfigurasi aturan, temukan bagian Blacklist and Whitelist dan klik Settings.

      2. Pilih Blacklist atau Whitelist, lalu lengkapi konfigurasi sebagai berikut.

        Blacklist

        1. Tetapkan periode timeout (Blacklist saja): Anda harus menetapkan periode timeout saat menambahkan daftar hitam. Pengaturan ini berlaku untuk semua IP dalam daftar hitam.

          1. Pada tab Blacklist, klik Validity Period Setting.

          2. Pada bagian Validity Period Setting pada kotak dialog, tetapkan periode timeout sesuai kebutuhan bisnis Anda. Anda dapat memilih Custom (5 hingga 43.200 menit), Permanent, 30 menit, atau periode waktu lainnya.

        2. Tambahkan alamat IP:

          1. Klik Add. Kotak dialog konfigurasi Blacklist Configuration akan muncul.

          2. Pada kotak dialog konfigurasi, masukkan alamat IP daftar hitam. Pisahkan beberapa alamat dengan spasi atau baris baru.

            Catatan

            Anda dapat menambahkan hingga 2.000 alamat IP secara manual ke daftar hitam.

        Whitelist

        1. Klik Add. Kotak dialog konfigurasi Whitelist Configuration akan muncul.

        2. Pada kotak dialog konfigurasi, masukkan alamat IP daftar putih. Pisahkan beberapa alamat dengan spasi atau baris baru.

          Catatan

          Anda dapat menambahkan hingga 2.000 alamat IP secara manual ke daftar putih.

    Location Blacklist

    Memblokir permintaan akses berdasarkan wilayah geografis.

    • Skenario penerapan: Berlaku selama serangan untuk aset cloud standar. Selalu berlaku untuk aset cloud tingkat tinggi.

    • Efek perlindungan: Trafik dari wilayah yang diblokir ke alamat IP tujuan akan dibuang. Blokir berdasarkan wilayah atau negara.

    • Metode konfigurasi:

      1. Pada panel konfigurasi aturan, temukan bagian Location Blacklist.

      2. Pada daftar pemilihan wilayah, pilih wilayah atau negara yang ingin diblokir, lalu klik OK.

        Catatan

        Blokir semua wilayah yang tidak memiliki trafik bisnis yang sah.

    Port Blocking

    Mengonfigurasi aturan penyaringan port sumber atau port tujuan untuk protokol UDP atau TCP.

    • Skenario penerapan: Berlaku selama serangan untuk aset cloud standar. Selalu berlaku untuk aset cloud tingkat tinggi.

    • Efek perlindungan: Membuang trafik dari port protokol tertentu. Gunakan fitur ini untuk menyaring serangan refleksi UDP.

    • Saran konfigurasi:

      • Jika aset Anda hanya menggunakan trafik TCP, blokir semua port sumber UDP.

        Catatan

        Ubah kebijakan jika Anda menambahkan layanan UDP di kemudian hari.

      • Jika aset Anda menggunakan trafik UDP, blokir port sumber refleksi UDP umum: 1–52, 54–161, 389, 1900, dan 11211.

    • Metode konfigurasi:

      1. Pada panel konfigurasi aturan, klik Settings pada bagian Port Blocking.

      2. Pada halaman Configure Source Port Blocking, klik Add Port.

      3. Pada kotak dialog Add Port, lengkapi konfigurasi sebagai berikut dan klik OK untuk menyimpan aturan.

        Catatan

        Mendukung hingga 8 aturan.

        • Protocol: Pilih jenis protokol: TCP atau UDP.

        • Source Port Range, Destination Port Range: Tetapkan range port sumber dan range port tujuan.

        • Action: Hanya Discard yang didukung.

    Source Rate Limiting

    Membatasi laju alamat IP sumber yang frekuensi aksesnya melebihi ambang batas.

    • Skenario penerapan: Hanya didukung oleh aset cloud tingkat tinggi. Selalu berlaku.

    • Efek perlindungan: IP sumber yang melebihi ambang batas akan dimasukkan ke daftar hitam, dan seluruh trafiknya akan dibuang.

    • Metode konfigurasi:

      1. Pada panel konfigurasi aturan, klik Settings pada bagian Source Rate Limiting.

      2. Pada panel Configure Source Rate Limiting, aktifkan sakelar dimensi pembatasan laju (Source PPS, Source Bandwidth, PPS of Source SYN Packets, atau Bandwidth of Source SYN Packets), lalu masukkan ambang batas pembatasan laju.

      3. (Opsional) Aktifkan fitur penambahan otomatis ke daftar hitam: Pilih If a source IP address triggers rate limiting five times within 60 seconds, the IP address is added to the blacklist.. IP yang melebihi batas laju sebanyak 5 kali dalam 60 detik akan ditambahkan ke daftar hitam.

    Reflection Attack Filtering

    • Skenario penerapan: Hanya didukung oleh aset cloud tingkat tinggi. Selalu berlaku.

    • Efek perlindungan: Hanya berlaku untuk trafik UDP. Membuang trafik dari port sumber refleksi UDP tertentu.

    • Metode konfigurasi:

      1. Pada panel konfigurasi aturan, klik Settings pada bagian Reflection Attack Filtering.

      2. Pada panel Configure Filtering Policies for UDP Reflection Attacks, pilih strategi penyaringan. Dua strategi berikut didukung:

        • One-click Filtering Policy: Menampilkan daftar port serangan refleksi UDP umum. Blokir semua port yang tidak digunakan oleh bisnis Anda.

        • Custom Filtering Policy: Sesuaikan port sumber refleksi (maksimal 20). Port tidak boleh duplikat dengan yang ada di One-click Filtering Policy.

    Byte-Match Filter

    • Skenario penerapan: Berlaku selama serangan untuk aset cloud standar. Selalu berlaku untuk aset cloud tingkat tinggi.

    • Efek perlindungan: Paket serangan palsu biasanya memiliki bidang fitur yang sama, seperti string tertentu atau konten identik. Cocokkan konten pada lokasi paket tertentu untuk menyaring, mengizinkan, atau membatasi laju trafik.

    • Metode konfigurasi:

      1. Pada panel konfigurasi aturan, klik Settings pada bagian Byte-Match Filter.

      2. Pada panel Configure Byte-Match Filter, klik Add Feature.

      3. Pada halaman Add Byte-Match Filter Rule, lengkapi konfigurasi sebagai berikut dan klik OK.

        • Protocol: TCP atau UDP.

        • Source Port Range: Range port sumber. Nilai valid: 0 hingga 65535.

        • Destination Port Range: Range port tujuan. Nilai valid: 0 hingga 65535.

        • Packet Length Range: Range panjang paket IP. Nilai valid: 1 hingga 1500. Satuan: byte.

        • Offset: Offset badan data (payload) setelah header UDP atau TCP. Nilai valid: 0 hingga 1500. Satuan: byte.

          Jika offset bernilai 0, pencocokan dimulai dari byte pertama badan data.

        • Payload: Konten badan data (payload) yang akan dicocokkan. Masukkan string heksadesimal dengan panjang 1 hingga 15 byte. Anda tidak perlu menyertakan awalan "0x" untuk nilai heksadesimal. Misalnya, untuk mencocokkan 0xad, cukup masukkan "ad".

        • Action: Aksi yang dilakukan terhadap trafik setelah fitur cocok. Nilai valid: Pass, Discard, Limit Bandwidth of Source IP Address, dan Limit Bandwidth of Session. Jika Anda memilih Limit Bandwidth of Source IP Address atau Limit Bandwidth of Session, Anda juga harus menetapkan nilai batas laju.

          Catatan

          Limit Bandwidth of Session mengacu pada semua cookie yang dibawa dalam setiap permintaan.

    Anti-DDoS Proxy Back-to-Origin Address Whitelisting

    Menambahkan alamat IP kembali ke asal dari Anti-DDoS Proxy ke daftar putih kontrol akses. Hanya didukung oleh aset cloud tingkat tinggi. Saat melindungi aset cloud tingkat tinggi, trafik diteruskan kembali ke origin melalui pusat pembersihan Anti-DDoS Proxy. Aktifkan fitur ini untuk mencegah pemblokiran tidak sengaja terhadap trafik bisnis yang sah.

    Metode konfigurasi:

    1. Pada panel konfigurasi aturan, temukan bagian Add Back-to-origin CIDR Blocks of Anti-DDoS Proxy to Whitelist.

    2. Aktifkan atau nonaktifkan sakelar. Sangat disarankan untuk aset cloud tingkat tinggi.

    Langkah 3: Pilih objek yang dilindungi

    Setelah mengonfigurasi aturan mitigasi, klik Next untuk menuju halaman pemilihan objek yang dilindungi.

    1. Pada bagian Objects to Select pada halaman Protected Assets, pilih objek yang dilindungi (alamat IP publik) tempat Anda ingin menerapkan kebijakan ini.

    2. Klik Add. Setelah kebijakan mitigasi dibuat, klik Back. Pada halaman Mitigation Settings, Anda dapat melihat kebijakan yang baru dibuat.

    Catatan

    Alamat IP publik hanya dapat di-bind ke satu kebijakan mitigasi spesifik IP. Jika suatu IP sudah di-bind ke kebijakan lain, kebijakan aslinya tidak lagi berlaku untuk IP tersebut setelah Anda mengaitkannya dengan kebijakan baru.

    Modifikasi kebijakan mitigasi spesifik IP

    1. Pada halaman Mitigation Settings, temukan kebijakan target dan klik Modify Mitigation Policy pada kolom Actions.

    2. Pada panel Modify Mitigation Policy yang muncul dari sisi kanan, modifikasi aturan mitigasi sesuai kebutuhan bisnis Anda. Setiap aturan mengikuti konfigurasi yang sama seperti yang dijelaskan pada bagian "Buat kebijakan mitigasi spesifik IP".

    3. Setelah melakukan modifikasi, klik OK di bagian bawah panel untuk menyimpan perubahan Anda.

    Peringatan

    Kebijakan yang dimodifikasi langsung berlaku untuk semua objek yang dilindungi terkait. Lakukan dengan hati-hati.

    Kelola objek yang dilindungi

    1. Pada halaman Mitigation Settings, temukan kebijakan target dan klik Add Object for Protection pada kolom Actions.

    2. Pada halaman View Applicable Object, lakukan operasi berikut:

      • Add Object for Protection:

        Catatan

        Alamat IP publik hanya dapat di-bind ke satu kebijakan mitigasi spesifik IP. Jika suatu IP sudah di-bind ke kebijakan lain, kebijakan aslinya tidak lagi berlaku untuk IP tersebut setelah Anda mengaitkannya dengan kebijakan baru.

        1. Klik Add Object for Protection di atas daftar.

        2. Pada bagian Objects to Select pada halaman Protected Assets, pilih objek yang dilindungi (alamat IP publik) tempat Anda ingin menerapkan kebijakan ini.

        3. Klik Add di bagian bawah.

      • Delete: Klik Delete pada kolom Actions untuk IP target.

      • Delete: Pilih beberapa IP target dan klik Delete di bawah daftar.

    3. Setelah menyimpan perubahan, kembali ke halaman daftar kebijakan dan verifikasi bahwa kolom Add Object for Protection untuk kebijakan target menampilkan jumlah objek yang dilindungi yang telah diperbarui.

    Hapus kebijakan mitigasi spesifik IP

    1. Pada halaman Mitigation Settings, temukan kebijakan target dan klik Delete pada kolom Actions.

    2. Pada kotak dialog konfirmasi yang muncul, konfirmasi nama kebijakan dan klik Delete.

    Penting

    Anda tidak dapat menghapus kebijakan yang terkait dengan objek yang dilindungi. Hapus semua objek yang dilindungi terkait terlebih dahulu.

    Contoh konfigurasi

    Konfigurasikan kebijakan mitigasi spesifik IP untuk aset cloud standar dalam menghadapi serangan lapisan jaringan atau lapisan transport berskala besar berdasarkan karakteristik trafik Anda.

    Item konfigurasi

    Deskripsi

    ICMP Blocking

    Blokir trafik ICMP jika bisnis Anda tidak menggunakan ICMP.

    Blacklist and Whitelist

    Saat terjadi serangan, tambahkan IP sumber yang mencurigakan ke daftar hitam dari halaman Attack Analysis (maksimal 2.000 IP). Lihat analisis peristiwa serangan.

    Location Blacklist

    Blokir semua wilayah yang tidak memiliki trafik bisnis. Misalnya, jika bisnis Anda hanya melayani Tiongkok daratan, blokir semua wilayah lainnya.

    Port Blocking

    Blokir semua port UDP jika bisnis Anda tidak menggunakan UDP.

    Byte-Match Filter

    Analisis trafik serangan dan konfigurasikan penyaringan sidik jari berdasarkan fitur serangan.