DDoS高防執行個體的全域防護策略 - Anti-DDoS

業務接入DDoS高防執行個體後，執行個體會預設綁定全域防護策略，策略可以在攻擊發生的瞬間有效減少攻擊透過所帶來的危害。全域防護策略支援傳統模式和AI自動駕駛模式。傳統模式提供寬鬆、正常、嚴格三個防護等級。AI自動駕駛模式由SecOps Agent根據您的業務畫像智能產生並持續最佳化防護策略。本文介紹兩種模式的防護能力，以及如何設定和切換。

什麼是全域防護策略

全域防護策略是DDoS防護引擎在日常海量攻防事件中沉澱的通用防護策略，可以緩解已知特徵的流量型攻擊，在攻擊發生時即刻生效，減少已知特徵攻擊發生瞬間出現的攻擊透過的危害。

全域防護策略是在一個高防執行個體上應用的統一防護規則，這些規則對執行個體上所有綁定的業務資源生效。無論是多個網站、應用服務還是跨地區的業務節點，只要它們通過同一個高防執行個體進行保護，都會受到全域防護策略的保護。

說明

全域防護策略僅在DDoS高防執行個體IP處於被攻擊狀態時生效。

防護模式介紹

全域防護策略支援以下兩種防護模式：

防護模式	功能概述	版本要求	適用情境
傳統模式	提供寬鬆、正常、嚴格三個固定防護等級，可以根據業務需要手動選擇防護等級。防護等級說明，請參見傳統模式。	適用於所有DDoS高防執行個體。標準功能套餐僅支援傳統模式，預設防護等級為正常。	當對防護策略有明確的等級需求時，可以選擇傳統模式。
AI 自動駕駛模式	由SecOps Agent智能分析執行個體流量畫像和業務特徵，自動產生最優防護策略，並持續根據攻防態勢動態調整。可以通過自然語言與SecOps Agent對話，補充業務訴求或調整防護姿態。	僅適用於DDoS高防（中國內地）和DDoS高防（非中國內地）增強功能執行個體。增強功能套餐，預設開啟AI自動駕駛模式，支援模式切換。	適用於希望獲得智能化、個人化防護策略的業務情境。

適用範圍

已將網站業務或非網站業務接入DDoS高防。具體操作，請參見添加網站配置或配置連接埠轉寄規則。
AI 自動駕駛：僅增強功能套餐支援，標準功能套餐不支援。

傳統模式

傳統模式下，支援調整防護策略，操作步驟如下：

登入DDoS高防控制台。
在左側導覽列，選擇防護設定 > 通用防護策略。
在基礎設施DDoS防護頁簽的DDoS全局防护策略地區，調整防護策略，支援調整為寬鬆、正常、嚴格。

防護等級	防護操作	說明
寬鬆	過濾不符合協議規範的畸形報文過濾明確攻擊特徵的TCP/UDP/ICMP報文過濾IP分區報文及非TCP/非UDP/非ICMP的協議過濾不滿足轉送連接埠協議的全部流量	僅防護明顯攻擊特徵報文，存在部分複雜攻擊透傳風險，建議僅在出現業務誤攔截情況下選擇和開啟。
正常	過濾不符合協議規範的畸形報文過濾明確攻擊特徵的TCP/UDP/ICMP報文過濾IP分區報文及非TCP/非UDP/非ICMP的協議過濾不滿足轉送連接埠協議的全部流量對部分異常訪問源IP進行校正及限速對UDP報文進行校正及限制	兼顧業務可用性和防護效果，適用於絕大多數業務，可有效防護常見DDoS攻擊。
嚴格	過濾不符合協議規範的畸形報文過濾明確攻擊特徵的TCP/UDP/ICMP報文過濾IP分區報文及非TCP/非UDP/非ICMP的協議過濾不滿足轉送連接埠協議的全部流量對部分訪問源IP進行嚴格的校正及限速對UDP報文進行嚴格校正及限制	防護策略較嚴格，極端情況下存在誤攔截風險，建議僅在出現攻擊透傳情況下選擇和開啟。

AI自動駕駛模式（公測中）

重要

AI自動駕駛模式僅適用於DDoS高防（中國內地）和DDoS高防（非中國內地）增強版執行個體。如果執行個體不是增強版，將不會顯示開啟AI自動駕駛按鈕。

開啟AI自動駕駛模式

登入DDoS高防控制台。
在左側導覽列，選擇防護設定 > 通用防護策略。
在基礎設施DDoS防護頁簽左側的執行個體列表中，選擇目標增強版執行個體（帶有標籤）。
在右側的DDoS全局防护策略地區，單擊開啟AI自動駕駛。
在彈出的SecOps Agent對話方塊中，完成以下配置後，單擊確定。
1. 智能画像分析：SecOps Agent會根據執行個體的歷史流量資料自動分析並產生業務畫像，包括以下維度：
  - 業務類型：例如電商平台、遊戲、內容服務等。您可以添加或刪除標籤。
  - 服務地區分布：例如中國出海、全球覆蓋等。
  - 流量波動模式：例如活動驅動、穩定流量等。
  - 業務規模：例如中等規模、大規模等。
  如果AI產生的畫像與實際業務不符，您可以手動修改標籤以確保防護策略更貼合業務需求。
2. 業務訴求補充（可選）：可以通過以下方式補充防護需求：
  - 單擊快捷標籤：例如新手入门推荐电商大促防护、游戏开服防护、金融安全防护、直播流量防护、API 接口防护等。
  - 自然語言描述：在文本輸入框中用自然語言描述業務情境和防護需求。例如：“我需要為即將到來的618大促活動提供防護，流量預計比平時大100倍”。
在彈出的確認對話方塊中，核對智能畫像標籤資訊，單擊確定。

查看AI自動駕駛策略

開啟成功後，DDoS全域防護策略地區將顯示AI 自動駕駛標識，同時在即時攻防動態地區，可查看系統根據即時攻防形式變化，動態觸發，而做出的主動防護策略調整情況。

策略描述：SecOps Agent根據業務畫像定製的具體防護規則清單。
策略調整：
- 保持：若當前策略合理，可忽略提示。
- 更換：檢測到當前策略存在最佳化空間時，SecOps Agent將根據分析的結果，進行策略調整，無需手動操作，並說明調整原因。

調整自動防護策略

在AI自動駕駛模式下，可以隨時通過與SecOps Agent對話來調整防護策略。

在DDoS全局防护策略地區，單擊SecOps Agent。
在彈出的SecOps Agent對話方塊中，執行以下操作：
- 修改智能畫像：修改智能畫像中的業務類型、服務地區分布、流量波動模式、業務規模等標籤。
- 補充防護需求：在業務訴求補充地區，調整快捷標籤或通過自然語言補充新的防護需求，例如"即將進行618大促，需要加強防護"。
單擊確定，SecOps Agent將根據更新後的資訊重新分析並調整防護策略。

模式切換

切換至傳統模式：
- 在右側的DDoS全局防护策略地區，單擊返回傳統模式。
- 選擇防護等級（寬鬆、正常、嚴格）後，單擊確定。
切換至AI自動駕駛模式：參考開啟AI自動駕駛模式，重新操作即可。

計費說明

公測期間，若購買了DDoS高防增強功能套餐，無需額外付費，即可使用AI自動駕駛模式。關於功能套餐的詳情，請參見標準功能和增強功能的差異。