全部产品
Search
文档中心

DDoS 防护:IP 防护策略

更新时间:Jun 03, 2026

当公网 IP 遭受网络层或传输层 DDoS 攻击时,可通过 IP 防护策略快速配置防护规则,在不影响正常业务的前提下过滤恶意流量。通过配置 AI 智能防护、黑白名单、区域封禁、端口封禁、指纹过滤等防护规则,可按需过滤或放行业务流量,提升 DDoS 防护效果。本文介绍如何创建、修改和管理 IP 防护策略。

使用限制

  • 标准型云产品仅支持 IP 防护策略,不支持端口防护策略。增强型云产品既支持 IP 防护策略,也支持端口防护策略,同时配置时生效顺序是 IP 防护策略>端口防护策略。

  • 一个公网 IP 资产只允许绑定一个 IP 防护策略。

  • 自定义防护策略属于 DDoS 原生防护进行流量拦截的特定手段,被自定义防护策略拦截的流量依然会被计算在攻击流量的统计中。

前提条件

  • 防护标准型云产品时:无论使用的是原生防护 1.0 、 2.0 ,还是后付费版本,请先将公网 IP 资产添加到防护对象中。具体操作,请参见添加防护对象

  • 防护增强型云产品时:购买增强型云产品后, DDoS 原生防护会自动将其添加到防护对象中,无需手动操作。

创建 IP 防护策略

步骤一:创建基本信息

  1. 访问流量安全控制台的防护配置页面。

  2. 单击新建策略,在弹出的对话框中输入策略名称,然后单击确定

  3. 策略创建成功后,在弹出的策略创建成功对话框中,单击确定跳转至添加规则页面。

    说明

    也可在策略列表中找到刚创建的策略,单击修改防护策略进入规则配置面板。

步骤二:设置防护规则

添加规则页面,参考如下信息完成配置后。

规则生效说明

  • 规则生效优先级:

    • 标准型云产品:ICMP 协议禁用>白名单>黑名单>区域封禁>端口封禁>指纹过滤。

    • 增强型云产品:ICMP 协议禁用>白名单>黑名单>区域封禁>端口封禁>指纹过滤>反射攻击过滤>源限速。

  • 规则生效时长:除黑名单需要设置生效时长外,其余规则均永久生效。

  • 规则生效时机:需要注意部分规则仅攻击状态生效。

    • 攻击时生效:仅在 DDoS 原生防护检测到攻击流量并启动流量清洗时自动生效,非攻击状态下不生效。

    • 常态化生效:在任何状态下均持续生效。

防护规则概览

规则名称

标准型云产品

增强型云产品

说明

AI智能防护

不支持

支持

智能大数据分析引擎自学习业务流量基线,自适应防护 DDoS 攻击。

ICMP协议禁用

支持

攻击时生效

支持

常态化生效

流量清洗时直接丢弃 ICMP 协议流量,过滤 ICMP 攻击并减少服务器被探测的风险。

黑/白名单

支持

攻击时生效

支持

常态化生效

针对源 IP 设置过滤或放行规则,黑白名单可分别添加 2000 个 IP 。

区域封禁

支持

攻击时生效

支持

常态化生效

基于地理区域封禁访问请求,支持按地区或国家封禁。

端口封禁

支持

攻击时生效

支持

常态化生效

针对 UDP 或 TCP 协议设置源端口或目的端口过滤规则,最多支持 8 条规则。

源限速

不支持

支持

常态化生效

对访问频率超出阈值的源 IP 地址限速,支持 PPS 、 BPS 、 SYN PPS 、 PS 四种维度。

反射攻击过滤

不支持

支持

常态化生效

仅对 UDP 协议流量生效,丢弃指定的 UDP 反射源端口流量,提供默认和自定义两种规则类型。

指纹过滤

支持

攻击时生效

支持

常态化生效

通过对数据包指定位置特征匹配,根据匹配结果设置过滤、放行或限速规则。

高防回源加白

不支持

支持

将 DDoS 高防的回源 IP 添加到访问控制策略白名单中,避免业务流量误伤。

AI智能防护

智能大数据分析引擎自学习业务流量基线,自适应防护网络层及传输层 DDoS 攻击。

  • 使用场景:标准型云产品和增强型云产品均为常态化生效。

  • 防护效果:结合历史业务及专家经验算法,各等级的防护效果如下:

    重要

    创建策略模板后功能默认开启,防护等级为正常,约需 3 天业务流量训练后达到最佳防护效果。

    • 宽松:针对攻击明显的恶意 IP 实施防护,存在一定漏过,误杀率低。

    • 正常:针对攻击明显、疑似的恶意 IP 实施防护,平衡防护效果及误杀。

    • 严格:针对攻击的防御效果强,但存在一定概率误杀。

  • 配置方法:

    1. 在规则配置面板中,找到AI智能防护区域。

    2. 等级区域选择防护等级:宽松正常严格

ICMP协议禁用

流量清洗时直接丢弃 ICMP 协议流量,过滤 ICMP 攻击并减少服务器被探测的风险。

  • 使用场景:标准型云产品在攻击时生效,增强型云产品常态化生效。

  • 防护效果

    • 禁用后会导致 ping 命令将无法得到响应。

      警告

      网络诊断与维护前请先解除禁用,否则将无法使用ping命令。

    • ICMP协议禁用对白名单中IP也会生效,即开启该策略后,来自白名单IP的ICMP协议流量也会被丢弃。

  • 配置方法:

    1. 在规则配置面板中,找到ICMP协议禁用区域。

    2. 状态区域开启或关闭开关。如果业务不涉及 ICMP 协议,建议开启。

黑/白名单

  • 使用场景:标准型云产品在攻击时生效,增强型云产品常态化生效

  • 防护效果:针对源 IP 设置过滤或放行规则,直接丢弃或放行指定源 IP 的流量。

    重要

    如果白名单放行的流量过大,基于云产品规格和云平台保障的原因,放行流量仍然可能会命中 DDoS 原生防护默认的目的 IP 限速策略。

  • 配置方法:

    1. 在规则配置面板中,找到黑/白名单区域,单击设置

    2. 选择黑名单白名单,参考如下说明,完成配置。

      黑名单

      1. 设置超时时间(仅黑名单):添加黑名单时,需要设置黑名单超时时间,设置后对当前黑名单中所有 IP 均生效。

        1. 黑名单页签,单击超时时间设置

        2. 在弹窗内超时时间设置区域,根据业务需求设置超时时间。支持选择自定义(5~43200分钟),永久生效,30分钟等时间段。

      2. 添加名单:

        1. 单击手动添加,弹出黑名单配置配置框。

        2. 在配置框,填写黑名单IP,多个地址请用空格或换行分隔。

          说明

          黑名单最多支持手动添加2000个IP。

      白名单

      1. 单击手动添加,弹出白名单配置配置框。

      2. 在配置框,填写白名单IP,多个地址请用空格或换行分隔。

        说明

        白名单最多支持手动添加2000个IP。

区域封禁

基于地理区域的访问请求封禁策略。

  • 使用场景:标准型云产品在攻击时生效,增强型云产品常态化生效。

  • 防护效果:开启后,由封禁区域到目的 IP 的流量将被丢弃,支持按照地区或国家封禁。

  • 配置方法:

    1. 在规则配置面板中,找到区域封禁区域。

    2. 在区域选择列表中,勾选需要封禁的地区或国家后,单击确定

      说明

      建议将非业务访问的地域全部封禁。

端口封禁

针对 UDP 或 TCP 协议,设置源端口或目的端口过滤规则。

  • 使用场景:标准型云产品在攻击时生效,增强型云产品常态化生效。

  • 防护效果:直接丢弃来自指定协议及对应端口的流量,可以用于过滤 UDP 反射攻击。

  • 配置建议

    • 如果生效资产中只有 TCP 业务(无 UDP 业务),建议封禁全部 UDP 源端口。

      说明

      若后续增加了 UDP 业务,请及时调整防护策略。

    • 如果生效资产中存在 UDP 业务,建议封禁常见的 UDP 反射源端口,包括 1~52 、 54~161 、 389 、 1900 、 11211 。

  • 配置方法:

    1. 在规则配置面板中,单击端口封禁区域的设置

    2. 禁用端口页面,单击添加端口

    3. 新增禁用端口,参考如下信息完成配置后,单击确定保存规则。

      说明

      最多支持 8 条规则。

      • 协议:设置协议类型 TCP 或 UDP 。

      • 开始源端口 - 结束源端口开始目的端口 - 结束目的端口:设置源端口范围和目的端口范围。

      • 匹配后动作:仅支持丢弃

源限速

对访问频率超出阈值的源 IP 地址进行限速。

  • 使用场景:仅增强型云产品支持,常态化生效。

  • 防护效果:设置限速阈值后,超限后会将该源 IP 加入黑名单,即所有来自该 IP 的访问请求会被丢弃。

  • 配置方法:

    1. 在规则配置面板中,单击源限速区域的设置

    2. 源限速设置面板,打开限速维度( 源PPS限速源带宽限速源SYN PPS限速源SYN 带宽限速)开关,输入限速阈值。

    3. (可选)开启自动加入黑名单功能:勾选60秒内5次超限,将该源IP加入黑名单,在60秒内超限5次IP将被加入黑名单。

反射攻击过滤

  • 使用场景:仅增强型云产品支持,常态化生效。

  • 防护效果:仅针对 UDP 协议流量生效,处理 UDP 协议流量时,直接丢弃指定的 UDP 反射源端口的流量。

  • 配置方法:

    1. 在规则配置面板中,单击反射攻击过滤区域的设置

    2. 设置UDP反射攻击防护面板,选择过滤策略。支持以下两种策略:

      • 一键过滤策略:列出了常见的 UDP 反射攻击,如果业务不涉及这些 UDP 源端口,建议全部封禁。

      • 自定义过滤策略:自定义反射源端口,最多设置 20 个端口,端口不能与一键过滤策略中的端口重复。

反射攻击过滤

  • 使用场景:标准型云产品在攻击时生效,增强型云产品常态化生效。

  • 防护效果:由攻击工具伪造的攻击报文通常都拥有相同的特征字段,比如都包含某一字符串或整个报文内容一致,通过对数据包中指定位置的内容特征匹配,根据匹配结果设置过滤、放行或限速规则。

  • 配置方法:

    1. 在规则配置面板中,单击指纹过滤区域的设置

    2. 指纹过滤特征面板,单击添加特征

    3. 新增指纹过滤特征页面,参考如下说明完成配置后,单击确定

      • 协议: TCP 或 UDP 。

      • 开始源端口 - 结束源端口:源端口范围。可选范围: 0~65535 。

      • 开始目的端口 - 结束目的端口:目的端口范围。可选范围: 0~65535 。

      • 最小包长 - 最大包长: IP 数据包的长度范围。可选范围: 1~1500 ,单位: Byte 。

      • 偏移量: UDP 或 TCP 头部后数据体( payload )的偏移量,可选范围: 0~1500 ,单位: Byte 。

        偏移量为 0 时,从数据体的第一字节开始匹配。

      • 检测载荷:要匹配的数据体( payload )内容,输入十六进制字符串,长度为 1~15 字节。输入时不需要带有十六进制的 0x ,例如需要匹配 0xad 时,只需填写 ad 。

      • 匹配后动作:匹配中特征后,对流量执行的操作。可选值:通过丢弃源IP限速session限速。选择源IP限速session限速后,必须设置限速值。

        说明

        session限速即能在每个请求中携带的所有Cookie。

DDoS高防回源地址加白

将 DDoS 高防的回源 IP 添加到云产品的访问控制策略白名单中。仅增强型云产品支持。防护增强型云产品时,流量会通过 DDoS 高防清洗中心转发回源,强烈建议开启高防回源加白功能,避免业务流量误伤。

配置方法:

  1. 在规则配置面板中,找到DDoS高防(中国内地&非中国内地)回源地址加白区域。

  2. 开启或关闭开关。防护增强型云产品时强烈建议开启。

步骤三:选择生效对象

防护规则配置完成后,单击下一步进入选择生效对象页面。

  1. 生效资产列表中的待选择对象区域中,勾选需要应用该策略的防护对象(公网 IP)。

  2. 单击确认添加,防护策略创建完成后。单击返回列表,在防护配置列表页即可查看创建的最新策略。

说明

一个公网 IP 资产只能绑定一个 IP 防护策略。如果该 IP 已绑定其他策略,绑定新策略后原策略将不再对该 IP 生效。

修改 IP 防护策略

  1. 防护配置页面,定位到目标策略,单击操作列的修改防护策略

  2. 在右侧滑出的修改防护策略面板中,根据业务需求修改各防护规则。各规则的具体配置方法请参见上方「创建 IP 防护策略」章节中的防护规则说明。

  3. 修改完成后,单击面板底部的确定,保存修改。

警告

修改策略模板后,该模板关联的所有防护对象将立即执行修改后的防护策略,请谨慎操作。

管理防护对象

  1. 防护配置页面,定位到目标策略,单击操作列的关联防护对象

  2. 查看生效对象页面,执行以下操作:

    • 添加防护对象

      说明

      一个公网 IP 资产只能绑定一个 IP 防护策略。如果该 IP 已绑定其他策略,绑定新策略后原策略将不再对该 IP 生效。

      1. 单击列表上方添加防护对象

      2. 生效资产列表中的待选择对象区域中,勾选需要应用该策略的防护对象(公网 IP)。

      3. 单击下方的确认添加

    • 删除:单击目标IP操作列的删除

    • 批量删除:勾选多个目标IP后,单击列表下方的批量删除

  3. 保存变更后,返回策略列表页,确认目标策略的关联防护对象列显示更新后的防护对象数量。

删除 IP 防护策略

  1. 防护配置页面,定位到目标策略,单击操作列的删除

  2. 在弹出的确认对话框中,确认策略名称无误后,单击删除

重要

删除策略模板时,如果策略已关联防护对象,则不支持删除。如需删除,请先删除该策略关联的所有防护对象。

配置示例

对于标准型云产品,针对网络层、传输层的大流量攻击,可以基于业务特征,设置 IP 防护策略。

配置项

说明

ICMP协议禁用

业务不涉及 ICMP 协议时,可以将 ICMP 协议封禁。

黑/白名单

受到攻击后,可在攻击分析页面,将排名靠前的可疑源 IP 添加到黑名单中,最多可以添加 2000 个 IP 。更多信息,请参见查看攻击事件分析

区域封禁

可以将非业务访问的地域全部封禁,例如没有非中国内地的业务时,可以将非中国内地的地域全部封禁。

端口封禁

业务不涉及 UDP 端口时,可以将所有的 UDP 端口一键封禁。

指纹过滤

可以通过分析攻击流量,根据特征配置指纹过滤。