Anti-DDoS：IP防護策略

注意事項

• 標準型雲產品僅支援IP防護策略，不支援連接埠防護策略。增強型雲產品既支援IP防護策略，也支援連接埠防護策略，同時配置時生效順序是IP防護策略>連接埠防護策略。

• 一個公網IP資產只允許綁定一個IP防護策略。

• 自訂防護策略屬於DDoS原生防護進行流量攔截的特定手段，被自訂防護策略攔截的流量依然會被計算在攻擊流量的統計中。

前提條件

• 防護標準型雲產品時：無論您使用的是原生防護1.0、2.0，還是後付費版本，請先將公網IP資產添加到防護對象中。具體操作，請參見防護對象。

• 防護增強型雲產品時：購買增強型雲產品後，DDoS原生防護會自動將其添加到防護對象中，無需您手動操作。

操作步驟

1. 登入流量安全控制台的防護配置頁面。

2. 單擊建立策略，輸入策略名稱，策略類型選擇IP防護策略，然後單擊確定。

3. 在策略建立成功對話方塊中，單擊確定，設定詳細的防護規則，然後單擊下一步。

   重要

   • 規則生效優先順序：需要注意部分規則僅攻擊狀態生效，具體請參見下表。

     • 標準型雲產品：黑名單>ICMP協議禁用>白名單>地區封鎖>連接埠封鎖>指紋過濾。

     • 增強型雲產品：黑名單>ICMP協議禁用>白名單>連接埠封鎖>指紋過濾>反射攻擊過濾>源限速。

   • 規則生效時間長度：除黑名單需要設定生效時間長度外，其餘規則均永久生效。

   規則名稱	規則介紹	標準型雲產品	增強型雲產品	說明
   AI智能防护	智能巨量資料分析引擎自學習業務流量基準，自適應防護網路層及傳輸層DDoS攻擊。	×	√	重要 建立原則範本後功能預設開啟，防護等級為正常，大概需要3天業務流量訓練後達到最佳防護效果。 結合歷史業務及專家經驗演算法，各等級的防護效果如下： 宽松：針對攻擊明顯的惡意IP進行防護，存在一定漏過，誤殺率低。 正常：針對攻擊明顯，疑似的惡意IP進行防護，平衡防護效果及誤殺。 严格：針對攻擊防禦效果強，但存在一定機率誤殺。
   ICMP協議禁用	流量清洗時直接丟棄ICMP協議流量，過濾ICMP攻擊並減少伺服器被探測的風險。	√ 攻擊時生效	√ 中國內地雲產品：常態化生效。 非中國內地雲產品：中國香港、美國（維吉尼亞）攻擊時生效，其餘地區常態化生效	ICMP協議禁用對白名單中IP也會生效，即開啟該策略後，來自白名單IP的ICMP協議流量也會被丟棄。 重要 禁用後會導致ping命令將無法得到響應，進行網路診斷與維護前請先解除禁用。
   黑/白名單	針對源IP設定過濾或允許存取規則，直接丟棄或允許存取指定源IP的流量。 重要 如果白名單允許存取的流量過大，雲端式產品規格和雲平台保障的原因，允許存取流量仍然可能會命中DDoS原生防護預設的目的IP限速策略。	√ 攻擊時生效	√ 常態化生效	添加黑名單時，需要設定黑名單逾時時間（1~10080分鐘），設定後對當前黑名單中所有IP均生效。 黑白名單可以分別添加2000個IP。
   区域封禁	基於地理地區的訪問請求封鎖策略。開啟後，由封鎖地區到目的IP的流量將被丟棄。	√ 攻擊時生效	√ 常態化生效	支援您按照地區或國家進行封鎖。
   連接埠封鎖	針對UDP或TCP協議，設定源連接埠或目的連接埠過濾規則，直接丟棄來自指定協議及對應連接埠的流量，可以用於過濾UDP反射攻擊。	√ 攻擊時生效	√ 中國內地雲產品：常態化生效。 非中國內地雲產品：中國香港、美國（維吉尼亞）攻擊時生效，其餘地區常態化生效	最多支援8條規則。 重要 建議您根據業務情境選擇以下推薦配置，提升防護效果： 如果生效資產中只有TCP業務（無UDP業務），建議您封鎖全部UDP源連接埠。但如果您後續增加了UDP業務，請及時調整防護策略。 如果生效資產中存在UDP業務，建議您封鎖常見的UDP反射源連接埠，包括1~52、54~161、389、1900、11211。
   源限速	對訪問頻率超出閾值的源IP地址進行限速。	×	√ 常態化生效	支援源PPS限速、源带宽限速、源SYN PPS限速、源SYN 带宽限速。設定限速閾值後，您也可以設定60秒內5次超限就將該源IP加入黑名單，即所有來自該IP的訪問請求會被丟棄。
   反射攻击过滤	僅針對UDP協議流量生效，處理UDP協議流量時，直接丟棄您指定的UDP反射源連接埠的流量。	×	√ 常態化生效	提供了一键过滤策略和自定义过滤策略。 一键过滤策略：列出了常見的UDP反射攻擊，如果您的業務不涉及這些UDP源連接埠，建議您全部封鎖。 自定义过滤策略：自訂反射源連接埠，最多設定20個連接埠，連接埠不能與一键过滤策略中的連接埠重複。
   指紋過濾	由攻擊工具偽造的攻擊報文通常都擁有相同的特徵欄位，比如都包含某一字串或整個報文內容一致，通過對資料包中指定位置的內容進行特徵匹配，根據匹配結果設定過濾、允許存取或限速規則。	√ 攻擊時生效	√ 中國內地雲產品：常態化生效。 非中國內地雲產品：中國香港、美國（維吉尼亞）攻擊時生效，其餘地區常態化生效	配置指導： 協議：TCP或UDP。 開始源連接埠 - 結束源連接埠：源連接埠範圍。可選範圍：0~65535。 開始目的連接埠 - 結束目的連接埠：目的連接埠範圍。可選範圍：0~65535。 最小包長 - 最大包長：IP資料包的長度範圍。可選範圍：1~1500，單位：Byte。 位移量：UDP或TCP頭部後資料體（payload）的位移量，可選範圍：0~1500，單位：Byte。 位移量為0時，從資料體的第一位元組開始匹配。 檢測載荷：要匹配的資料體（payload）內容，輸入十六進位字串，長度為1~15位元組。輸入時不需要帶有十六進位的0x，例如需要匹配0xad時，只需填寫ad。 匹配後動作：匹配中特徵後，對流量執行的操作。可選值：通過、丟棄、源IP限速、session限速。 選擇源IP限速、session限速後，必須設定限速值。取值範圍：1~100000，單位：pps。
   高防回源加白	將DDoS高防的回源IP添加到雲產品的存取控制策略白名單中。	×	√	防護增強型雲產品時，流量會通過DDoS高防清洗中心轉寄回源，強烈建議開啟高防回源加白功能，避免業務流量誤傷。

4. 在生效資產列表的待選擇對象地區，根據地區和執行個體名稱選擇公網IP資產，單擊確認添加。

相關操作

• 修改IP防護原則範本：在防護配置頁面，選擇IP防護策略，定位到目標策略，單擊操作列的修改防護規則。

  重要

  修改原則範本後，該模板關聯的防護對象將執行修改後的防護策略，請謹慎操作。

• 刪除IP防護原則範本：在防護配置頁面，選擇IP防護策略，定位到目標策略，單擊操作列的刪除。

  重要

  刪除原則範本時，如果策略已關聯防護對象，則不支援刪除。如果確認需要刪除，請先刪除該模板關聯的防護對象。

• 為原則範本添加或刪除防護對象：在防護配置頁面，選擇IP防護策略，定位到目標策略，單擊操作列的關聯防護對象，為原則範本添加或刪除防護對象。

配置樣本

對於標準雲產品，針對網路層、傳輸層的大流量攻擊，您可以基於業務特徵，設定IP防護策略。