当公网 IP 遭受网络层或传输层 DDoS 攻击时,可通过 IP 防护策略快速配置防护规则,在不影响正常业务的前提下过滤恶意流量。通过配置 AI 智能防护、黑白名单、区域封禁、端口封禁、指纹过滤等防护规则,可按需过滤或放行业务流量,提升 DDoS 防护效果。本文介绍如何创建、修改和管理 IP 防护策略。
使用限制
标准型云产品仅支持 IP 防护策略,不支持端口防护策略。增强型云产品既支持 IP 防护策略,也支持端口防护策略,同时配置时生效顺序是 IP 防护策略>端口防护策略。
一个公网 IP 资产只允许绑定一个 IP 防护策略。
自定义防护策略属于 DDoS 原生防护进行流量拦截的特定手段,被自定义防护策略拦截的流量依然会被计算在攻击流量的统计中。
前提条件
防护标准型云产品时:无论使用的是原生防护 1.0 、 2.0 ,还是后付费版本,请先将公网 IP 资产添加到防护对象中。具体操作,请参见添加防护对象。
防护增强型云产品时:购买增强型云产品后, DDoS 原生防护会自动将其添加到防护对象中,无需手动操作。
创建 IP 防护策略
步骤一:创建基本信息
访问流量安全控制台的防护配置页面。
单击新建策略,在弹出的对话框中输入策略名称,然后单击确定。
策略创建成功后,在弹出的策略创建成功对话框中,单击确定跳转至添加规则页面。
说明也可在策略列表中找到刚创建的策略,单击修改防护策略进入规则配置面板。
步骤二:设置防护规则
在添加规则页面,参考如下信息完成配置后。
规则生效说明
规则生效优先级:
标准型云产品:ICMP 协议禁用>白名单>黑名单>区域封禁>端口封禁>指纹过滤。
增强型云产品:ICMP 协议禁用>白名单>黑名单>区域封禁>端口封禁>指纹过滤>反射攻击过滤>源限速。
规则生效时长:除黑名单需要设置生效时长外,其余规则均永久生效。
规则生效时机:需要注意部分规则仅攻击状态生效。
攻击时生效:仅在 DDoS 原生防护检测到攻击流量并启动流量清洗时自动生效,非攻击状态下不生效。
常态化生效:在任何状态下均持续生效。
防护规则概览
规则名称 | 标准型云产品 | 增强型云产品 | 说明 |
AI智能防护 | 智能大数据分析引擎自学习业务流量基线,自适应防护 DDoS 攻击。 | ||
ICMP协议禁用 | 攻击时生效 | 常态化生效 | 流量清洗时直接丢弃 ICMP 协议流量,过滤 ICMP 攻击并减少服务器被探测的风险。 |
黑/白名单 | 攻击时生效 | 常态化生效 | 针对源 IP 设置过滤或放行规则,黑白名单可分别添加 2000 个 IP 。 |
区域封禁 | 攻击时生效 | 常态化生效 | 基于地理区域封禁访问请求,支持按地区或国家封禁。 |
端口封禁 | 攻击时生效 | 常态化生效 | 针对 UDP 或 TCP 协议设置源端口或目的端口过滤规则,最多支持 8 条规则。 |
源限速 | 常态化生效 | 对访问频率超出阈值的源 IP 地址限速,支持 PPS 、 BPS 、 SYN PPS 、 PS 四种维度。 | |
反射攻击过滤 | 常态化生效 | 仅对 UDP 协议流量生效,丢弃指定的 UDP 反射源端口流量,提供默认和自定义两种规则类型。 | |
指纹过滤 | 攻击时生效 | 常态化生效 | 通过对数据包指定位置特征匹配,根据匹配结果设置过滤、放行或限速规则。 |
高防回源加白 | 将 DDoS 高防的回源 IP 添加到访问控制策略白名单中,避免业务流量误伤。 |
AI智能防护
智能大数据分析引擎自学习业务流量基线,自适应防护网络层及传输层 DDoS 攻击。
使用场景:标准型云产品和增强型云产品均为常态化生效。
防护效果:结合历史业务及专家经验算法,各等级的防护效果如下:
重要创建策略模板后功能默认开启,防护等级为正常,约需 3 天业务流量训练后达到最佳防护效果。
宽松:针对攻击明显的恶意 IP 实施防护,存在一定漏过,误杀率低。
正常:针对攻击明显、疑似的恶意 IP 实施防护,平衡防护效果及误杀。
严格:针对攻击的防御效果强,但存在一定概率误杀。
配置方法:
在规则配置面板中,找到AI智能防护区域。
在等级区域选择防护等级:宽松、正常或严格。
ICMP协议禁用
流量清洗时直接丢弃 ICMP 协议流量,过滤 ICMP 攻击并减少服务器被探测的风险。
使用场景:标准型云产品在攻击时生效,增强型云产品常态化生效。
防护效果:
禁用后会导致 ping 命令将无法得到响应。
警告网络诊断与维护前请先解除禁用,否则将无法使用ping命令。
ICMP协议禁用对白名单中IP也会生效,即开启该策略后,来自白名单IP的ICMP协议流量也会被丢弃。
配置方法:
在规则配置面板中,找到ICMP协议禁用区域。
在状态区域开启或关闭开关。如果业务不涉及 ICMP 协议,建议开启。
黑/白名单
使用场景:标准型云产品在攻击时生效,增强型云产品常态化生效
防护效果:针对源 IP 设置过滤或放行规则,直接丢弃或放行指定源 IP 的流量。
重要如果白名单放行的流量过大,基于云产品规格和云平台保障的原因,放行流量仍然可能会命中 DDoS 原生防护默认的目的 IP 限速策略。
配置方法:
在规则配置面板中,找到黑/白名单区域,单击设置。
选择黑名单或白名单,参考如下说明,完成配置。
黑名单
设置超时时间(仅黑名单):添加黑名单时,需要设置黑名单超时时间,设置后对当前黑名单中所有 IP 均生效。
在黑名单页签,单击超时时间设置。
在弹窗内超时时间设置区域,根据业务需求设置超时时间。支持选择自定义(5~43200分钟),永久生效,30分钟等时间段。
添加名单:
单击手动添加,弹出黑名单配置配置框。
在配置框,填写黑名单IP,多个地址请用空格或换行分隔。
说明黑名单最多支持手动添加2000个IP。
白名单
单击手动添加,弹出白名单配置配置框。
在配置框,填写白名单IP,多个地址请用空格或换行分隔。
说明白名单最多支持手动添加2000个IP。
区域封禁
基于地理区域的访问请求封禁策略。
使用场景:标准型云产品在攻击时生效,增强型云产品常态化生效。
防护效果:开启后,由封禁区域到目的 IP 的流量将被丢弃,支持按照地区或国家封禁。
配置方法:
在规则配置面板中,找到区域封禁区域。
在区域选择列表中,勾选需要封禁的地区或国家后,单击确定。
说明建议将非业务访问的地域全部封禁。
端口封禁
针对 UDP 或 TCP 协议,设置源端口或目的端口过滤规则。
使用场景:标准型云产品在攻击时生效,增强型云产品常态化生效。
防护效果:直接丢弃来自指定协议及对应端口的流量,可以用于过滤 UDP 反射攻击。
配置建议:
如果生效资产中只有 TCP 业务(无 UDP 业务),建议封禁全部 UDP 源端口。
说明若后续增加了 UDP 业务,请及时调整防护策略。
如果生效资产中存在 UDP 业务,建议封禁常见的 UDP 反射源端口,包括 1~52 、 54~161 、 389 、 1900 、 11211 。
配置方法:
在规则配置面板中,单击端口封禁区域的设置。
在禁用端口页面,单击添加端口。
在新增禁用端口,参考如下信息完成配置后,单击确定保存规则。
说明最多支持 8 条规则。
协议:设置协议类型 TCP 或 UDP 。
开始源端口 - 结束源端口、开始目的端口 - 结束目的端口:设置源端口范围和目的端口范围。
匹配后动作:仅支持丢弃。
源限速
对访问频率超出阈值的源 IP 地址进行限速。
使用场景:仅增强型云产品支持,常态化生效。
防护效果:设置限速阈值后,超限后会将该源 IP 加入黑名单,即所有来自该 IP 的访问请求会被丢弃。
配置方法:
在规则配置面板中,单击源限速区域的设置。
在源限速设置面板,打开限速维度( 源PPS限速、源带宽限速、源SYN PPS限速、源SYN 带宽限速)开关,输入限速阈值。
(可选)开启自动加入黑名单功能:勾选60秒内5次超限,将该源IP加入黑名单,在60秒内超限5次IP将被加入黑名单。
反射攻击过滤
使用场景:仅增强型云产品支持,常态化生效。
防护效果:仅针对 UDP 协议流量生效,处理 UDP 协议流量时,直接丢弃指定的 UDP 反射源端口的流量。
配置方法:
在规则配置面板中,单击反射攻击过滤区域的设置。
在设置UDP反射攻击防护面板,选择过滤策略。支持以下两种策略:
一键过滤策略:列出了常见的 UDP 反射攻击,如果业务不涉及这些 UDP 源端口,建议全部封禁。
自定义过滤策略:自定义反射源端口,最多设置 20 个端口,端口不能与一键过滤策略中的端口重复。
反射攻击过滤
使用场景:标准型云产品在攻击时生效,增强型云产品常态化生效。
防护效果:由攻击工具伪造的攻击报文通常都拥有相同的特征字段,比如都包含某一字符串或整个报文内容一致,通过对数据包中指定位置的内容特征匹配,根据匹配结果设置过滤、放行或限速规则。
配置方法:
在规则配置面板中,单击指纹过滤区域的设置。
在指纹过滤特征面板,单击添加特征。
在新增指纹过滤特征页面,参考如下说明完成配置后,单击确定。
协议: TCP 或 UDP 。
开始源端口 - 结束源端口:源端口范围。可选范围: 0~65535 。
开始目的端口 - 结束目的端口:目的端口范围。可选范围: 0~65535 。
最小包长 - 最大包长: IP 数据包的长度范围。可选范围: 1~1500 ,单位: Byte 。
偏移量: UDP 或 TCP 头部后数据体( payload )的偏移量,可选范围: 0~1500 ,单位: Byte 。
偏移量为 0 时,从数据体的第一字节开始匹配。
检测载荷:要匹配的数据体( payload )内容,输入十六进制字符串,长度为 1~15 字节。输入时不需要带有十六进制的 0x ,例如需要匹配 0xad 时,只需填写 ad 。
匹配后动作:匹配中特征后,对流量执行的操作。可选值:通过、丢弃、源IP限速、session限速。选择源IP限速、session限速后,必须设置限速值。
说明session限速即能在每个请求中携带的所有Cookie。
DDoS高防回源地址加白
将 DDoS 高防的回源 IP 添加到云产品的访问控制策略白名单中。仅增强型云产品支持。防护增强型云产品时,流量会通过 DDoS 高防清洗中心转发回源,强烈建议开启高防回源加白功能,避免业务流量误伤。
配置方法:
在规则配置面板中,找到DDoS高防(中国内地&非中国内地)回源地址加白区域。
开启或关闭开关。防护增强型云产品时强烈建议开启。
步骤三:选择生效对象
防护规则配置完成后,单击下一步进入选择生效对象页面。
在生效资产列表中的待选择对象区域中,勾选需要应用该策略的防护对象(公网 IP)。
单击确认添加,防护策略创建完成后。单击返回列表,在防护配置列表页即可查看创建的最新策略。
一个公网 IP 资产只能绑定一个 IP 防护策略。如果该 IP 已绑定其他策略,绑定新策略后原策略将不再对该 IP 生效。
修改 IP 防护策略
在防护配置页面,定位到目标策略,单击操作列的修改防护策略。
在右侧滑出的修改防护策略面板中,根据业务需求修改各防护规则。各规则的具体配置方法请参见上方「创建 IP 防护策略」章节中的防护规则说明。
修改完成后,单击面板底部的确定,保存修改。
修改策略模板后,该模板关联的所有防护对象将立即执行修改后的防护策略,请谨慎操作。
管理防护对象
在防护配置页面,定位到目标策略,单击操作列的关联防护对象。
在查看生效对象页面,执行以下操作:
添加防护对象:
说明一个公网 IP 资产只能绑定一个 IP 防护策略。如果该 IP 已绑定其他策略,绑定新策略后原策略将不再对该 IP 生效。
单击列表上方添加防护对象。
在生效资产列表中的待选择对象区域中,勾选需要应用该策略的防护对象(公网 IP)。
单击下方的确认添加。
删除:单击目标IP操作列的删除。
批量删除:勾选多个目标IP后,单击列表下方的批量删除。
保存变更后,返回策略列表页,确认目标策略的关联防护对象列显示更新后的防护对象数量。
删除 IP 防护策略
在防护配置页面,定位到目标策略,单击操作列的删除。
在弹出的确认对话框中,确认策略名称无误后,单击删除。
删除策略模板时,如果策略已关联防护对象,则不支持删除。如需删除,请先删除该策略关联的所有防护对象。
配置示例
对于标准型云产品,针对网络层、传输层的大流量攻击,可以基于业务特征,设置 IP 防护策略。
配置项 | 说明 |
ICMP协议禁用 | 业务不涉及 ICMP 协议时,可以将 ICMP 协议封禁。 |
黑/白名单 | 受到攻击后,可在攻击分析页面,将排名靠前的可疑源 IP 添加到黑名单中,最多可以添加 2000 个 IP 。更多信息,请参见查看攻击事件分析。 |
区域封禁 | 可以将非业务访问的地域全部封禁,例如没有非中国内地的业务时,可以将非中国内地的地域全部封禁。 |
端口封禁 | 业务不涉及 UDP 端口时,可以将所有的 UDP 端口一键封禁。 |
指纹过滤 | 可以通过分析攻击流量,根据特征配置指纹过滤。 |