防護增強型雲產品時,針對非網站業務的TCP串連資源耗盡型攻擊(非Web類應用程式層CC攻擊),您可以設定連接埠防護策略,通過設定精細化應用程式層特徵檢測與過濾,允許存取或丟棄包含指定特徵的業務流量。本文介紹如何設定連接埠防護策略。
注意事項
標準型雲產品僅支援IP防護策略,不支援連接埠防護策略。增強型雲產品既支援IP防護策略,也支援連接埠防護策略,同時配置時生效順序是IP防護策略>連接埠防護策略。
一個連接埠只允許綁定一個連接埠防護策略。
前提條件
已在防護對象中配置增強型雲產品的連接埠。具體操作,請參見防護對象。
操作步驟
登入流量安全產品控制台。
在左側導覽列,選擇。
單擊建立策略,輸入策略名稱,策略類型選擇連接埠防護策略,然後單擊確定。
在策略建立成功對話方塊中,單擊確定。
單擊新增規則,為原則範本設定防護規則後,單擊下一步。
配置項
說明
规则名称
自訂規則名稱。每個原則範本最多可以添加10條防護規則。
會話流啟動規則匹配的最小位元組數閾值
會話流啟動檢測的最小位元組數,取值0~2048。預設為0,代表會話存在發送的位元組,位元組數大於0即生效。
例如取值為1500,會話流長度小於1500位元組時不會被檢測,大於等於1500位元組時才會被檢測。
规则类型
檢測哪種類型的會話流。取值:字串匹配(ASCII)、十六進位匹配。
匹配條件
起始位置:檢測的起始位置,取值0~2047。例如取值為0,表示從會話流的第1個位元組開始檢測。取值為1,表示從會話流的第2個位元組開始檢測,以此類推。
檢測視窗長(從起始位置檢測多少Bytes):從起始位置開始檢測多少個位元組,取值1~2048。例如取值為20,如果起始位置取值為10,則檢測會話流第11~30個位元組的內容。
匹配内容:匹配的內容。長度不超過2048的字串。
优先级
檢測優先順序,數字越小優先順序越高。取值為1~100。
逻辑符
設定是命中匹配條件執行相應動作,還是非命中匹配條件時執行相應動作。
动作
會話流的處理方式。固定取值丟棄。
在生效資產列表的待選擇對象地區,根據地區、執行個體名稱、IP篩選要添加規則的連接埠,勾選要防護的連接埠/協議後,單擊確認添加。
相關操作
修改連接埠防護原則範本:在防護配置頁面,選擇連接埠防護策略,定位到目標策略,單擊操作列的修改防護規則。
重要修改原則範本後,該模板關聯的防護對象將執行修改後的防護策略,請謹慎操作。
刪除連接埠防護原則範本:在防護配置頁面,選擇連接埠防護策略,定位到目標策略,單擊操作列的刪除。
重要刪除原則範本時,如果策略已關聯防護對象,則不支援刪除。如果確認需要刪除,請先刪除該模板關聯的防護對象。
為原則範本添加或刪除防護對象:在防護配置頁面,選擇連接埠防護策略,定位到目標策略,單擊操作列的關聯防護對象,為原則範本添加或刪除防護對象。
配置樣本
例如,您的遊戲業務部署在高防EIP,使用基於TCP的私人協議,通過8191、8192連接埠對外提供業務。建議您接入後日常封鎖HTTP協議相關特徵請求,或者遭受攻擊後通過抓包等工具,分析攻擊請求特徵,調整連接埠防護策略。
封鎖HTTP請求:
配置項 | 說明 |
會話流啟動規則匹配的最小位元組數閾值 | 設定為0。 |
规则类型 | 使用字串匹配(ASCII)。 |
匹配條件 |
|
优先级 | 優先順序設定為1。 |
逻辑符 | 設定為命中。 |
动作 | 設定為丟棄。當檢測到會話流前3個位元組為GET字串時,丟棄該會話流。 |