DDoS高防執行個體的全域防護策略 - Anti-DDoS

業務接入DDoS高防執行個體後，執行個體會預設綁定全域防護策略，策略可以在攻擊發生的瞬間有效減少攻擊透過所帶來的危害。本文介紹全域防護策略的防護等級，以及如何調整防護等級。

什麼是全域防護策略

全域防護策略是DDoS防護引擎在日常海量攻防事件中沉澱的通用防護策略，可以緩解已知特徵的流量型攻擊，在攻擊發生時即刻生效，減少已知特徵攻擊發生瞬間出現的攻擊透過的危害。

全域防護策略是在一個高防執行個體上應用的統一防護規則，這些規則對執行個體上所有綁定的業務資源生效。無論是多個網站、應用服務還是跨地區的業務節點，只要它們通過同一個高防執行個體進行保護，都會受到全域防護策略的保護。

說明

全域防護策略僅在DDoS高防執行個體IP處於被攻擊狀態時生效。

預設防護策略包括正常、寬鬆、嚴格三個防護等級，購買DDoS高防執行個體後，全域防護策略的防護等級預設為正常。如果預設防護策略不滿足您的要求，請聯絡您的商務經理定製防護策略。

防護等級	防護操作	說明
寬鬆	過濾不符合協議規範的畸形報文過濾明確攻擊特徵的TCP/UDP/ICMP報文過濾IP分區報文及非TCP/非UDP/非ICMP的協議過濾不滿足轉送連接埠協議的全部流量	僅防護明顯攻擊特徵報文，存在部分複雜攻擊透傳風險，建議僅在出現業務誤攔截情況下選擇和開啟。
正常	過濾不符合協議規範的畸形報文過濾明確攻擊特徵的TCP/UDP/ICMP報文過濾IP分區報文及非TCP/非UDP/非ICMP的協議過濾不滿足轉送連接埠協議的全部流量對部分異常訪問源IP進行校正及限速對UDP報文進行校正及限制	兼顧業務可用性和防護效果，適用於絕大多數業務，可有效防護常見DDoS攻擊。
嚴格	過濾不符合協議規範的畸形報文過濾明確攻擊特徵的TCP/UDP/ICMP報文過濾IP分區報文及非TCP/非UDP/非ICMP的協議過濾不滿足轉送連接埠協議的全部流量對部分訪問源IP進行嚴格的校正及限速對UDP報文進行嚴格校正及限制	防護策略較嚴格，極端情況下存在誤攔截風險，建議僅在出現攻擊透傳情況下選擇和開啟。

已將網站業務或非網站業務接入DDoS高防。具體操作，請參見添加網站配置或配置連接埠轉寄規則。