Anti-DDoS:DDoS 軽減ポリシーの構成

単一のポート転送ルールに DDoS 軽減ポリシーを構成する

1. Anti-DDoS Proxy コンソールの [全般ポリシー] ページにログオンします。

2. 上部のナビゲーションバーで、インスタンスのリージョンを選択します。

   • Anti-DDoS Proxy (中国本土): [中国本土] リージョンを選択します。中国本土

   • Anti-DDoS Proxy (中国本土以外): [中国本土以外] リージョンを選択します。中国本土以外

3. 一般的なポリシー ページで、非ウェブサイトサービスの保護 タブをクリックし、ページ上部で管理する Anti-DDoS Proxy インスタンスを選択します。

4. 左側のリストから構成する転送ルールをクリックして、保護ポリシーを設定します。

   • 偽ソース: この機能は、TCP ポート転送ルールにのみ適用されます。

     パラメーター	説明
     偽ソース	このオプションを有効にすると、偽造された IP アドレスからのリクエストがブロックされます。 偽ソース が無効になっている場合、空接続 と 高度な攻撃保護 も無効になります。
     空接続	このオプションを有効にすると、ヌルセッションを確立しようとするリクエストがブロックされます。 偽ソース を有効にしてから、空接続 を有効にする必要があります。

   • 高度な攻撃保護: この機能は、TCP ポート転送ルールにのみ適用されます。 デフォルトの保護モードは [標準] です。 注:偽ソース を有効にしてから、高度な攻撃保護 を有効にする必要があります。

     保護モード	効果	シナリオ
     緩和	このモードは、明らかな攻撃特性を持つリクエストをブロックします。 少数の攻撃は許可される場合がありますが、誤検知率は低くなります。	このモードは、ライブストリーミング、ストリーミングメディア、データダウンロードなど、大規模な一方向データ転送を伴うサービス、またはオリジンサーバーで高帯域幅を必要とするサービスに適しています。
     標準 (推奨)	ほとんどの場合、このモードはワークロードに影響を与えず、保護効果と低い誤検知率のバランスを取ります。 このモードを使用することをお勧めします。	このモードは、ほとんどのシナリオに適しています。
     厳格	このモードは、厳格な攻撃検証を実施するのに役立ちます。 場合によっては、このモードによって誤検知が発生します。	このモードは、オリジンサーバーの帯域幅が限られている場合、または保護効果が弱いシナリオに適しています。

   • パケットフィルタリング: パケットペイロードに基づいて正確なアクセス制御ルールを構成します。 1 つのルールに複数の照合条件が含まれている場合、対応するアクションをトリガーするには、すべての条件を満たす必要があります。

     説明

     AI 搭載のインテリジェントアクセス制御ルールもここに表示されます。

     パラメーター	説明
     名前	識別しやすいように監視ルールに名前を付けます。
     一致条件	一致条件: パケットペイロードの形式を定義します。 文字列 または 16 進数 を選択します。 区間マッキング: ペイロード照合の開始位置と終了位置を指定します。 両方の位置の有効な範囲は 0 ～ 1499 バイトです。 開始位置は終了位置を超えてはなりません。 論理関係: 含む または 次を含まない： を選択します。 フィールド値: 一致条件 が 文字列 に設定されている場合、照合コンテンツの長さは 1500 バイトを超えてはならず、開始位置と終了位置で指定された範囲内でなければなりません。 一致条件 が 16 進数 に設定されている場合、コンテンツは 16 進文字で構成され、3000 文字を超えず、偶数で、指定された範囲内に収まる必要があります。
     操作	観察: リクエストが監視ルールに一致する場合、リクエストを許可します。 ブロック: リクエストがブロックルールに一致する場合、リクエストを拒否します。 Block and Add to Blacklist: リクエストがブロックルールに一致する場合、リクエストを拒否し、ソース IP をブラックリストに登録します。 ブラックリストの期間は 300 ～ 600 秒に設定できます。

   • ホワイトリスト: 各ホワイトリストには、最大 2000 個の IP または CIDR ブロックを追加できます。

     • Anti-DDoS Proxy インスタンスは、IPv4 または IPv6 アドレスを使用します。

     • IPv4 CIDR ブロックは /8 から /32 まで、IPv6 は /32 から /128 まで構成できます。

     • IPv4 アドレスを 0.0.0.0 または 255.255.255.255 に設定することはできません。また、IPv6 アドレスを :: または ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff に設定することはできません。

• ソースの速度制限

  パラメーター	説明
  発信元の新規接続率制限	このパラメーターは、単一の IP アドレスから開始できる 1 秒あたりの新しい接続の最大数を指定します。 有効な値: 1 ～ 50000。 上限に達した後に IP アドレスから開始された新しい接続は破棄されます。 自動: Anti-DDoS Proxy は、単一のソース IP アドレスから開始できる 1 秒あたりの新しい接続の最大数を動的に計算します。 手動: 単一のソース IP アドレスから開始できる 1 秒あたりの新しい接続の最大数を手動で指定する必要があります。 説明 スクラビングノードはクラスターにデプロイされているため、新しい接続の制限は実際のシナリオとわずかに異なる場合があります。 ブラックリスト設定: ソースクライアントからの新規接続数が 1 分以内に 5 回しきい値を超えると、ソースクライアントの IP アドレスはブラックリストに追加されます。 チェックボックスをオンにすると、ブラックリストに登録されている IP アドレスからのすべてのリクエストが破棄されます。 ブラックリスト設定を有効にするには、ブラックリストの有効期間 を構成します。 有効な値: 1 ～ 10080。 単位: 分。 デフォルト値: 30。 ブラックリストに追加された IP アドレスは、有効期限が切れるとブラックリストから削除されます。
  [ソースの同時接続制限]	このパラメーターは、単一の IP アドレスから開始できる同時接続の最大数を指定します。 有効な値: 1 ～ 50000。 上限に達した後のポートへの同時接続は破棄されます。 ブラックリスト設定: ソースクライアントからの同時接続数が 1 分以内に 5 回しきい値を超えると、ソースクライアントの IP アドレスはブラックリストに追加されます。 チェックボックスをオンにすると、ブラックリストに登録されている IP アドレスからのすべてのリクエストが破棄されます。 ブラックリストの有効期間 を構成します。 有効な値: 1 ～ 10080。 単位: 分。 デフォルト値: 30。 ブラックリストに追加された IP アドレスは、有効期限が切れるとブラックリストから削除されます。
  ソースの PPS 制限	このパラメーターは、単一の IP アドレスから許可できる 1 秒あたりのパケットの最大数を指定します。 有効な値: 1 ～ 100000。 上限に達した後に IP アドレスから開始されたパケットは破棄されます。 ブラックリスト設定: ソースクライアントのソースパケット/秒 (PPS) が 1 分以内に 5 回しきい値を超えると、ソースクライアントの IP アドレスがブラックリストに追加されます。 チェックボックスをオンにすると、ブラックリストに登録されている IP アドレスからのすべてのリクエストが破棄されます。 ブラックリストの有効期間 を構成します。 有効な値: 1 ～ 10080。 単位: 分。 デフォルト値: 30。 ブラックリストに追加された IP アドレスは、有効期限が切れるとブラックリストから削除されます。
  配信元の帯域幅制限	このパラメーターは、単一の IP アドレスの最大帯域幅を指定します。 有効な値: 1024 ～ 268435456。 単位: バイト/秒。 ブラックリスト設定: ソースクライアントのソース帯域幅が 1 分以内に 5 回しきい値を超えると、ソースクライアントの IP アドレスがブラックリストに追加されます。 チェックボックスをオンにすると、ブラックリストに登録されている IP アドレスからのすべてのリクエストが破棄されます。 ブラックリストの有効期間 を構成します。 有効な値: 1 ～ 10080。 単位: 分。 デフォルト値: 30。 ブラックリストに追加された IP アドレスは、有効期限が切れるとブラックリストから削除されます。

• 宛先の速度制限: デフォルト設定は、TCP ポート転送ルールと UDP ポート転送ルールで異なります。

  • TCP ポート転送ルール:

    パラメーター	説明
    宛先の新規接続率制限	このパラメーターは、Anti-DDoS Proxy ポート経由で確立できる 1 秒あたりの新しい接続の最大数を指定します。有効な値は 100 ～ 100,000 です。 超過した接続は破棄されます。 デフォルトでは、この機能は有効になっており、制限は 100,000 に設定されています。 この機能は無効にすることができません。 無効にしようとすると、値はデフォルトの 100,000 にリセットされます。 説明 スクラビングノードはクラスターにデプロイされているため、新しい接続の実際の制限は若干異なる場合があります。
    [宛先の同時接続制限]	このパラメーターは、Anti-DDoS Proxy ポートで確立できる同時接続の最大数を定義します。有効な値は 1,000 ～ 2,000,000 です。 超過した接続は破棄されます。 デフォルトでは、この機能は有効になっており、制限は 2,000,000 に設定されています。 この機能は無効にすることができません。 無効にしようとすると、値はデフォルトの 2,000,000 にリセットされます。

  • UDP ポート転送ルール:

    パラメーター	説明
    宛先の新規接続率制限	このパラメーターは、Anti-DDoS Proxy ポート経由で確立できる 1 秒あたりの新しい接続の最大数を指定します。 デフォルトでは、この機能は無効になっており、有効な値は 100 ～ 50,000 です。 説明 スクラビングノードのクラスターデプロイメントのため、新しい接続の実際の制限は若干異なる場合があります。
    [宛先の同時接続制限]	このパラメーターは、Anti-DDoS Proxy ポート経由で確立できる同時接続の最大数を指定します。有効な値は 1,000 ～ 200,000 です。 デフォルトでは、この機能は有効になっており、200,000 に設定されています。 この機能は無効にすることができません。 無効にしようとすると、値はデフォルトの 200,000 にリセットされます。

• パケット長の制限: パケット長の制限 セクションで、設定の変更 をクリックします。 パケットに含まれるペイロードの最小長と最大長を指定し、[OK] をクリックします。 有効な値: 0 ～ 1,500 バイト。

複数のポート転送ルールに同時に DDoS 軽減ポリシーを構成する

1. Anti-DDoS Proxy コンソール にログオンします。

2. 上部のナビゲーションバーで、インスタンスのリージョンを選択します。

   • Anti-DDoS Proxy (中国本土): [中国本土] リージョンを選択します。

   • Anti-DDoS Proxy (中国本土以外): [中国本土以外] リージョンを選択します。wordpress-media

3. 左側のナビゲーションウィンドウで、接続管理 > ポート接続 を選択します。

4. ポート接続 ページで、管理するインスタンスを選択し、ルールリストの下にある 一括操作 > Anti-DDoS 保護ポリシーの作成 を選択します。

5. Anti-DDoS 保護ポリシーの作成 ダイアログボックスで、必要な形式に従って DDoS 軽減ポリシーのコンテンツを入力し、[OK] をクリックします。

   説明

   DDoS 軽減ポリシーを TXT ファイルにエクスポートし、TXT ファイルのコンテンツを変更してから、変更後のコンテンツを必要なフィールドにコピーして貼り付けることもできます。 エクスポートされたファイルの DDoS 軽減ポリシーの形式は、作成するポリシーの形式と同じである必要があります。 詳細については、「複数のポート構成を同時にエクスポートする」をご参照ください。

   • ポート転送ルールごとに、各行に 1 つの DDoS 軽減ポリシーのみを構成します。

   • DDoS 軽減ポリシーを構成する場合、左から右へのフィールドは、転送ポート、転送プロトコル (tcp または udp)、ソースの新しい接続制限、ソースの同時接続制限、宛先の新しい接続制限、宛先の同時接続制限、最小パケット長、最大パケット長、偽装ソース、空の接続を示します。 フィールドはスペースで区切ります。

   • 転送ポートは、転送ルールで指定されたポートである必要があります。

   • 偽装ソースフィールドと空の接続フィールドの有効な値は、on と off です。 値 off は、機能が無効になっていることを指定します。