ご利用のサービスが Anti-DDoS Proxy インスタンスに追加されると、インスタンスは自動的にグローバル緩和ポリシーを適用します。このポリシーは、実際の攻撃防御データから構築されたルールに基づいて攻撃トラフィックをフィルタリングし、インスタンスの IP アドレスが攻撃を受けた瞬間にアクティブになります。適切なポリシーレベルを選択することで、保護強度と誤検知のリスクとの間のトレードオフを制御できます。
仕組み
DDoS 対策エンジンは、大量の実際の攻撃イベントから緩和ルールを蓄積します。既知の特性を持つボリューム型攻撃がインスタンスの IP アドレスを標的とした場合、グローバル緩和ポリシーはトラフィックがオリジンサーバーに到達する前に遮断します。
このポリシーはインスタンス全体に適用されます。同じ Anti-DDoS Proxy インスタンスに追加されたすべてのウェブサイト、アプリケーションサービス、およびクロスリージョンサービスノードは、同じポリシーによって保護されます。
グローバル緩和ポリシーは、Anti-DDoS Proxy インスタンスの IP アドレスが攻撃を受けている場合にのみアクティブになります。通常運用中のトラフィックには影響しません。
ポリシーの選択
3 つの組み込みポリシーはすべて、明確に悪意のあるトラフィックをフィルタリングする共通のベースレイヤーを共有しています。重要な変数は感度です。より厳格なポリシーはより低いしきい値を適用するため、より多くのトラフィックが検査され、遮断されますが、誤検知のリスクが増加します。
基本機能 (すべてのポリシー)
すべてのポリシーは以下をブロックします。
プロトコル仕様に準拠しない不正な形式のパケット
明確な攻撃特性を持つ TCP、UDP、および ICMP パケット
フラグメント化されたパケット、および TCP、UDP、または ICMP 経由で送信されないパケット
転送ポートのプロトコルに準拠しないトラフィック
各ポリシーが追加する機能
| ポリシー | 追加機能 | 最適な用途 |
|---|---|---|
| Loose | 基本機能のみ | Normal ポリシーで誤検知が発生するサービスに最適です。ベースレイヤーフィルタリングは、明確な攻撃シグネチャを持つトラフィックに対して引き続き保護を提供します。 |
| Normal (デフォルト) | 基本機能 + 異常なリクエストを持つ一部のソース IP を検証し、レート制限を適用します。UDP パケットを検証し、結果に基づいて制限を適用します。 | ほとんどのサービスに最適です。保護と可用性のバランスが取れています。 |
| Strict | 基本機能 + 一部のソース IP を厳密に検証し、レート制限を適用します。UDP パケットを厳密に検証し、結果に基づいて制限を適用します。 | 攻撃トラフィックが Normal をバイパスしてオリジンサーバーに到達しているサービス |
ポリシーを切り替えるタイミング
Normal から Loose へ: 正当なユーザーがブロックされている (誤検知) 場合に切り替えます。ベースレイヤーフィルタリングはアクティブなままなので、明確な攻撃シグネチャを持つトラフィックは引き続き遮断されますが、より複雑な攻撃パターンはオリジンサーバーを通過する可能性があります。
Normal から Strict へ: Normal ポリシーでも攻撃トラフィックがオリジンサーバーに到達している場合に切り替えます。Strict はより厳格な IP および UDP 検証を適用するため、バイパスリスクを低減しますが、正当なトラフィックを誤ってブロックする可能性があります。
組み込みポリシーが要件を満たさない場合は、アカウントマネージャーに連絡してカスタムグローバル緩和ポリシーを作成してください。
前提条件
開始する前に、以下を確認してください。
Anti-DDoS Proxy に Web サイトサービスまたは非 Web サイトサービスが追加されていること。 詳細については、「Web サイトの追加」または「転送ルールの管理」をご参照ください。
グローバル緩和ポリシーの設定
Anti-DDoS Proxy コンソールにログインします。
左側のナビゲーションウィンドウで、[緩和設定] > [汎用ポリシー] を選択します。
「インフラストラクチャ保護」タブで、「Anti-DDoS グローバル緩和ポリシー」セクションに移動します。
[緩和ポリシー] ドロップダウンリストから、[緩い]、[通常]、または [Strict] を選択します。