Anti-DDoS Origin のアプリケーション層フラッド攻撃に対する防御を強化する - Anti-DDoS

Anti-DDoS (Enhanced) が有効になっている Elastic IP アドレス (EIP) を保護するために、ポート固有の緩和ポリシーを構成できます。これにより、特定の特性を持つトラフィックを許可または破棄して、非ウェブサイトサービスに対して開始される TCP フラッド攻撃 (非ウェブサイトサービスに対するアプリケーション層フラッド攻撃) を緩和し、アプリケーション層トラフィックを詳細に監視およびフィルタリングできます。このトピックでは、ポート固有の緩和ポリシーを構成する方法について説明します。

注意事項

通常の Alibaba Cloud サービスのアセットは、IP 固有の緩和ポリシーのみをサポートしています。Anti-DDoS (Enhanced) が有効になっている EIP は、IP 固有の緩和ポリシーとポート固有の緩和ポリシーの両方をサポートしています。IP 固有の緩和ポリシーとポート固有の緩和ポリシーの両方を構成した場合、IP 固有の緩和ポリシーの方が優先度が高くなります。
ポートには、ポート固有の緩和ポリシーを 1 つだけ関連付けることができます。

重要

この機能はパブリックプレビュー中です。有効にするには、アカウントマネージャーにお問い合わせください。

適用範囲

Anti-DDoS (Enhanced) が有効になっている EIP のポートは、保護対象オブジェクトページで緩和ポリシーに追加されます。詳細については、「保護対象オブジェクトの追加」をご参照ください。

操作手順

[Traffic Security コンソール] にログインします。
左側のナビゲーションウィンドウで、ネットワークセキュリティ > Anti-DDoS Origin > 軽減設定 を選択します。
ポリシーの新規作成 をクリックします。[ポリシーの作成] パネルで、ポリシー名 を構成し、[ポリシータイプの選択] セクションで ソースポートブロッキングポリシー を選択します。次に、確定をクリックします。
ポリシーが作成されました ダイアログボックスで、OK をクリックして ルールの追加 ページに移動します。
ルールの追加 ページで、ルールの追加 をクリックします。ポリシーテンプレートの保護ルールを構成します。次に、次へをクリックします。
- ルール名: カスタム名を入力します。各ポリシーテンプレートに最大 10 個のルールを追加できます。
- マッチング条件: Add Condition をクリックして、一致条件を構成します。
  説明
  最大 10 個の条件を追加できます。
  - ルールタイプ: String または Hexadecimal を選択します。
  - Match Range: Valid values for the start position and end position: 0 to 1499. The start position must be less than or equal to the end position.
  - 論理記号: Yes または No を選択します。
  - 一致するコンテンツ:
    - ルールタイプ が String の場合、用語の長さは 1500 文字を超えてはなりません。また、終了位置から開始位置を引いた値に 1 を加えた値は、用語の長さ以上である必要があります。
    - ルールタイプ が Hexadecimal の場合、用語には 16 進数文字のみを含める必要があり、3000 文字を超えてはならず、偶数個の文字である必要があります。また、終了位置から開始位置を引いた値に 1 を加えた値は、用語の長さの半分以上である必要があります。
- Action:
  - 観察: ヒットのみを記録します。トラフィックはブロックしません。
  - Block: 現在のリクエストを破棄します。
「保護のアセット」セクションで、「選択するオブジェクト」の下から「[保護対象インスタンス]」を選択します。
Asset IP Address を選択します。次に、ポート / プロトコル セクションで、保護するポートを選択します。
構成後、追加の確認 をクリックします。

Anti-DDoS:ポート固有の緩和ポリシーの構成

注意事項

適用範囲

操作手順

関連操作