防护增强型云产品时,针对非网站业务的 TCP 连接资源耗尽型攻击(非 Web 类应用层 CC 攻击),可通过设置端口防护策略,通过精细化会话特征检测与过滤,放行或丢弃指定特征的流量,从而提升防护能力。本文介绍如何创建和配置端口防护策略。
什么是端口防护策略
定义与用途:端口防护策略用于防御针对非网站业务的 TCP 连接资源耗尽型攻击。通过配置精细化的应用层特征检测规则,识别并过滤恶意流量,保护后端非 Web 类应用的可用性。当 IP 防护策略无法满足非网站业务(如游戏服务器、数据库、自定义 TCP 服务)的精细化防护需求时,可以使用端口防护策略对特定端口的流量进行会话级别的特征匹配与过滤。
核心能力:会话特征过滤,基于会话报文 payload 特征,对正常业务特征或攻击报文特征进行精准识别和防护,也可基于应用层协议进行相关的匹配策略配置。
与 IP 防护策略对比:
适用产品:IP 防护策略适用于标准型和增强型产品,端口防护策略仅适用于增强型产品。
防护粒度:IP 防护策略作用于 IP 级别,覆盖面较广,端口防护策略作用于端口级别,提供更细粒度的控制。
生效顺序:IP 防护策略 > 端口防护策略。
注意事项
一个端口只允许绑定一个端口防护策略。
该功能当前处于公测阶段。公测期间的使用政策及正式商用后的计费方式,请以官方公告为准。如需开通,请联系商务经理。
前提条件
已在防护对象中配置增强型云产品的端口。具体操作,请参见配置防护对象。
创建端口防护策略
访问流量安全控制台的防护配置页面。
单击新建策略,在创建面板中设置策略名称,策略类型选择端口防护策略,然后单击确定。
在策略创建成功对话框中,单击确定,跳转至添加规则页面。
在添加规则页面单击新增规则,为策略模板设置防护规则后,单击下一步。
重要每个策略模板最多可以添加 10 条防护规则,一条规则最多支持 10 个匹配条件。
规则名称:自定义规则名称。
匹配条件:单击添加条件,配置策略匹配条件。
规则类型:可选字符串/十六进制。
区间匹配:开始、结束位置:0-1499,开始位置<=结束位置。
逻辑符:目前仅支持包含/不包含。
匹配内容:
规则类型为字符串:匹配内容长度不大于 1500 ,结束位置 - 开始位置 + 1 >= 匹配内容长度。
规则类型为十六进制:匹配内容必须是十六进制字符,长度不大于 3000 ,且位数必须为偶数。结束位置 - 开始位置 + 1 >= 匹配内容长度 / 2 。
动作:
观察:仅记录命中情况,不进行拦截。
阻断:丢弃当前请求。
在生效资产列表的待选择对象区域,选择防护实例。
选择需要防护的资产IP后,在端口/协议区域勾选要防护的具体端口。
确认配置后,单击确认添加。
修改端口策略
在防护配置页面左上角,下拉框选择端口防护策略,定位到目标策略,单击操作列的修改防护策略。
在修改防护策略页面,支持以下操作:
新增规则:单击列表上方的新增规则,参考创建端口防护策略中你的规则说明,完成配置后,单击确定。
编辑:单击目标规则操作列的编辑,修改参考创建端口防护策略中你的规则说明,完成配置后,单击确定。
删除:单击目标规则操作列的删除,在二次确认框中,确认信息后,单击删除。
修改策略模板后,该模板关联的防护对象将执行修改后的防护策略,请谨慎操作。
管理防护对象
在防护配置页面,选择端口防护策略,定位到目标策略,单击操作列的关联防护对象。
在查看生效对象,支持以下操作:
添加防护对象:
单击列表上方的添加防护对象,在待选择对象区域,选择防护实例。
在IP列表中选择需要防护的IP,在端口/协议区域,勾选需要防护的端口。
说明最多可选50个防护对象。
单击确认添加。
删除:单击目标规则操作列的删除,在二次确认框中,确认信息后,单击确定。
删除端口策略
在防护配置页面,选择端口防护策略,定位到目标策略,单击操作列的删除。
删除策略模板时,如果策略已关联防护对象,则不支持删除。如果确认需要删除,请先解除该模板关联的防护对象。