Anti-DDoS:IP 保護ポリシー

ステップ 1：基本情報の作成

1. 緩和設定 ページに移動します。

2. ポリシーの新規作成 をクリックします。表示されるダイアログボックスで ポリシー名 を入力し、確定 をクリックします。

3. ポリシー作成後、OK をクリックして ポリシーが作成されました ダイアログボックスを閉じ、ルールの追加 ページに移動します。

   説明

   ポリシーリストページで新しく作成したポリシーを見つけ、Modify Mitigation Policy をクリックしてルール構成パネルを開くこともできます。

ステップ 2：緩和ルールの構成

ルールの追加 ページで、以下の緩和ルールを構成します。

インテリジェント軽減

インテリジェントなビッグデータ分析エンジンが業務トラフィックのベースラインを学習し、ネットワーク層およびトランスポート層の DDoS 攻撃に対して適応的に保護します。

• 適用シナリオ： 標準および拡張クラウドアセットの両方で常に有効です。

• 保護効果： 過去のトラフィックデータおよび専門家の経験アルゴリズムに基づき、保護レベルは次のとおりです。

  重要

  ポリシーテンプレートを作成すると、この機能はデフォルトで 正常 レベルで有効になります。最適な保護効果を得るには、約 3 日間の業務トラフィックによるトレーニングが必要です。

  • ルース：明らかな攻撃パターンを持つ IP をブロックします。一部の攻撃は通過する可能性がありますが、誤検知は少ないです。

  • 正常：明らかな攻撃だけでなく、疑わしい悪意のある IP もブロックします。保護と誤検知のバランスをとります。

  • ストリクト：最大限の防御を提供しますが、偽陽性率が高くなります。

• 構成方法：

  1. ルール構成パネルで、インテリジェント軽減 セクションを見つけます。

  2. Level セクションで、保護レベルとして ルース、正常、または ストリクト を選択します。

ICMP ブロック

スクラブ中に ICMP トラフィックを破棄し、ICMP 攻撃をフィルタリングしてサーバープロービングのリスクを軽減します。

• 適用シナリオ： 標準クラウドアセットでは攻撃発生時に有効です。拡張クラウドアセットでは常に有効です。

• 保護効果：

  • ICMP ブロックを有効にすると、PING コマンドに対する応答が返らなくなります。

    警告

    ネットワーク診断を実行する前に ICMP ブロックを無効にしてください。無効にしないと PING が機能しません。

  • ICMP ブロックはホワイトリストに登録された IP にも適用されます。ホワイトリスト IP からの ICMP トラフィックも破棄されます。

• 構成方法：

  1. ルール構成パネルで、ICMP ブロック セクションを見つけます。

  2. ステータス セクションで、スイッチをオンまたはオフにします。業務で ICMP を使用しない場合は、このルールを有効にしてください。

ブラックリスト / ホワイトリスト

• 適用シナリオ： 標準クラウドアセットでは攻撃発生時に有効です。拡張クラウドアセットでは常に有効です。

• 保護効果： 指定された送信元 IP からのトラフィックを直接破棄または許可するルールを構成します。

  重要

  ホワイトリストで許可されたトラフィックが過大な場合、クラウドアセットの仕様およびクラウドプラットフォームの保証により、Anti-DDoS Native のデフォルトの宛先 IP アドレスに基づくレート制限ポリシーに抵触する可能性があります。

• 構成方法：

  1. ルール構成パネルで、ブラックリスト / ホワイトリスト セクションを見つけ、Settings をクリックします。

  2. Blacklist または Whitelist を選択し、以下の手順で構成を完了します。

     Blacklist

     1. タイムアウト期間の設定（Blacklist のみ）：ブラックリストを追加する際は、必ずタイムアウト期間を設定する必要があります。この設定はブラックリスト内のすべての IP に適用されます。

        1. Blacklist タブで、タイムアウト設定 をクリックします。

        2. ダイアログボックスの タイムアウト設定 セクションで、業務ニーズに基づいてタイムアウト期間を設定します。カスタマイズ（5～43,200 分）、常に有効、30 分などの期間を選択できます。

     2. IP アドレスの追加：

        1. Add をクリックします。Blacklist Configuration ダイアログボックスが表示されます。

        2. 構成ダイアログボックスで、ブラックリスト IP アドレスを入力します。複数のアドレスはスペースまたは改行で区切ります。

           説明

           ブラックリストには手動で最大 2,000 個の IP アドレスを追加できます。

     Whitelist

     1. Add をクリックします。Whitelist Configuration ダイアログボックスが表示されます。

     2. 構成ダイアログボックスで、ホワイトリスト IP アドレスを入力します。複数のアドレスはスペースまたは改行で区切ります。

        説明

        ホワイトリストには手動で最大 2,000 個の IP アドレスを追加できます。

地域ブロック

地理的リージョンに基づいてアクセスリクエストをブロックします。

• 適用シナリオ： 標準クラウドアセットでは攻撃発生時に有効です。拡張クラウドアセットでは常に有効です。

• 保護効果： ブロックされたリージョンからの宛先 IP へのトラフィックは破棄されます。リージョンまたは国単位でブロックできます。

• 構成方法：

  1. ルール構成パネルで、地域ブロック セクションを見つけます。

  2. リージョン選択リストでブロックするリージョンまたは国を選択し、OK をクリックします。

     説明

     正当な業務トラフィックがないすべてのリージョンをブロックしてください。

ポートブロッキング

UDP または TCP プロトコルの送信元ポートまたは宛先ポートのフィルタリングルールを構成します。

• 適用シナリオ： 標準クラウドアセットでは攻撃発生時に有効です。拡張クラウドアセットでは常に有効です。

• 保護効果： 指定されたプロトコルポートからのトラフィックを破棄します。これを使用して UDP リフレクション攻撃をフィルタリングできます。

• 構成の推奨事項：

  • ご利用のアセットが TCP トラフィックのみを使用する場合、すべての UDP 送信元ポートをブロックしてください。

    説明

    後で UDP サービスを追加する場合は、ポリシーを調整してください。

  • ご利用のアセットが UDP トラフィックを使用する場合、一般的な UDP リフレクション送信元ポート（1～52、54～161、389、1900、11211）をブロックしてください。

• 構成方法：

  1. ルール構成パネルで、ポートブロッキング セクションの Settings をクリックします。

  2. Configure Source Port Blocking ページで、ポートの追加 をクリックします。

  3. Add Port ダイアログボックスで、以下のとおり構成を完了し、OK をクリックしてルールを保存します。

     説明

     最大 8 件のルールをサポートします。

     • プロトコル：プロトコルタイプ（TCP または UDP）を選択します。

     • 送信元ポート範囲、宛先ポート範囲：送信元ポート範囲および宛先ポート範囲を設定します。

     • アクション：廃棄 のみがサポートされています。

ソースレート制限

アクセス頻度がしきい値を超えた送信元 IP アドレスをレート制限します。

• 適用シナリオ： 拡張クラウドアセットでのみサポートされます。常に有効です。

• 保護効果： しきい値を超えた送信元 IP はブラックリストに追加され、そのすべてのトラフィックが破棄されます。

• 構成方法：

  1. ルール構成パネルで、ソースレート制限 セクションの Settings をクリックします。

  2. Configure Source Rate Limiting パネルで、レート制限ディメンションのスイッチ（ソース PPS、ソース帯域幅、ソース SYN パッケージの PPS、または ソース SYN パッケージの帯域幅）をオンにし、レート制限しきい値を入力します。

  3. （オプション）ブラックリスト自動追加機能を有効化： If a source IP address triggers rate limiting five times within 60 seconds, the IP address is added to the blacklist. を選択します。60 秒以内に 5 回レート制限を超えた IP はブラックリストに追加されます。

リフレクション攻撃のフィルターリング

• 適用シナリオ： 拡張クラウドアセットでのみサポートされます。常に有効です。

• 保護効果： UDP トラフィックにのみ適用されます。指定された UDP リフレクション送信元ポートからのトラフィックを破棄します。

• 構成方法：

  1. ルール構成パネルで、リフレクション攻撃のフィルターリング セクションの Settings をクリックします。

  2. Configure Filtering Policies for UDP Reflection Attacks パネルで、フィルタリング戦略を選択します。以下の 2 つの戦略がサポートされています。

     • ワンクリックフィルターポリシー：一般的な UDP リフレクション攻撃ポートを一覧表示します。業務で使用しないすべてのポートをブロックしてください。

     • カスタムファイターポリシー：リフレクション送信元ポートをカスタマイズできます（最大 20 個）。ポートは ワンクリックフィルターポリシー に重複して登録できません。

指紋フィルター

• 適用シナリオ： 標準クラウドアセットでは攻撃発生時に有効です。拡張クラウドアセットでは常に有効です。

• 保護効果： 偽造された攻撃パケットは、特定の文字列や同一のコンテンツなど、共通の特徴フィールドを持つことが一般的です。指定されたパケット位置のコンテンツを照合し、トラフィックをフィルタリング、許可、またはレート制限できます。

• 構成方法：

  1. ルール構成パネルで、指紋フィルター セクションの Settings をクリックします。

  2. Configure Byte-Match Filter パネルで、Add Feature をクリックします。

  3. Add Byte-Match Filter Rule ページで、以下のとおり構成を完了し、OK をクリックします。

     • プロトコル：TCP または UDP。

     • 送信元ポート範囲：送信元ポート範囲。有効値：0～65535。

     • 宛先ポート範囲：宛先ポート範囲。有効値：0～65535。

     • パケット長：IP パケットの長さ範囲。有効値：1～1500。単位：バイト。

     • オフセット：UDP または TCP ヘッダー後のデータ本文（ペイロード）のオフセット。有効値：0～1500。単位：バイト。

       オフセットが 0 の場合、データ本文の最初のバイトから照合が開始されます。

     • ペイロード：照合するデータ本文（ペイロード）の内容。長さ 1～15 バイトの 16 進数文字列を入力します。「0x」プレフィックスは不要です。たとえば、0xad と照合する場合は「ad」と入力します。

     • アクション：特徴量照合後のトラフィックに対するアクション。有効値：パス、廃棄、送信元IPアドレスの帯域幅の制限、および セッション帯域幅の制限。送信元IPアドレスの帯域幅の制限 または セッション帯域幅の制限 を選択する場合、レート制限値も設定する必要があります。

       説明

       セッション帯域幅の制限は、各リクエストで送信されるすべてのCookieを指します。

Anti-DDoS Proxy バックトゥオリジンアドレスホワイトリスト

Anti-DDoS Proxy のバックトゥオリジン IP アドレスをアクセス制御ホワイトリストに追加します。拡張クラウドアセットでのみサポートされます。拡張クラウドアセットを保護する際、トラフィックは Anti-DDoS Proxy スクラビングセンターを経由してオリジンに転送されます。これを有効にすることで、正当な業務トラフィックが誤ってブロックされるのを防ぎます。

構成方法：

1. ルール構成パネルで、Anti-DDoS Premium/Pro (中国本土と中国本土以外) の Back-to-origin アドレスをホワイトリストに加える セクションを見つけます。

2. スイッチをオンまたはオフにします。拡張クラウドアセットでは強く推奨されます。

ステップ 3：保護対象の選択

緩和ルールの構成後、次へ をクリックして保護対象選択ページに移動します。

1. 保護のアセット ページの 選択するオブジェクト セクションで、このポリシーを適用する保護対象（パブリック IP アドレス）を選択します。

2. 追加の確認 をクリックします。緩和ポリシー作成後、リストに戻る をクリックします。保護設定 ページで、新しく作成したポリシーを確認できます。