购买DDoS原生防护企业版实例后,您需要将公网IP资产添加为实例的防护对象,DDoS才可以为已添加的防护对象IP提供DDoS防护能力。本文介绍如何添加防护对象,以及防护对象的相关配置操作。

前提条件

  • 已购买需要防护的公网IP资产(ECS、SLB、已绑定EIP的NAT、轻量服务器、WAF、VPC)。
  • 已购买原生防护企业版实例。具体操作,请参见购买DDoS原生防护企业版实例
    说明 如果您购买的公网IP资产为原生高防EIP,则无需购买DDoS原生防护企业版实例。

操作流程

防护对象操作流程图

步骤一:添加防护对象

说明 如果您的资产类型是高防EIP,则不需要添加防护对象。在防护对象页签选择实例后,可以直接查看到高防EIP。

您可以通过如下两种方式之一添加防护对象。

方式一:在防护对象页签添加

  1. 登录流量安全产品控制台
  2. 在左侧导航栏,选择网络安全 > DDoS原生防护 > 防护对象
  3. 在顶部菜单栏左上角处,选择实例所在资源组和地域。
  4. 防护对象页面,选择目标原生防护企业版实例,单击添加防护对象
  5. 如果您是第一次使用DDoS原生防护实例,请根据页面提示完成云产品授权,授权DDoS原生防护实例访问您的其他云产品。
  6. 添加防护对象对话框,输入您需要防护的云产品的IP,并单击确认
    说明
    • 输入的IP地址必须和原生防护企业版实例在相同地域,且必须为当前阿里云账号保有的云资源的IP地址。
    • 多个IP间以英文逗号(,)分隔。

方式二:在实例管理页签添加

您也可以通过实例管理页面为实例添加防护对象:在实例管理页面,定位到目标原生防护企业版实例,单击操作列下的添加防护对象
说明 只有在当前实例未添加任何防护IP时,操作列才会出现添加防护对象。如果当前实例下已添加过防护IP,您可以单击实例操作列下的管理,并在实例详情页面单击添加防护对象

(可选)步骤二:添加防护策略

为实例添加防护对象后,DDoS会为其提供默认的DDoS防护能力。您还可以为公网IP资产或者端口设置防护策略,根据业务需要放行或丢弃包含指定特征的业务流量,提升DDoS防护效果。具体操作,请见防护配置(公测)

(可选)步骤三:查看防护策略

为公网IP资产或者端口设置防护策略后,您可以按照如下操作查看策略相关信息。

  1. 登录流量安全产品控制台
  2. 在左侧导航栏,选择网络安全 > DDoS原生防护 > 防护对象
  3. 在顶部菜单栏左上角处,选择实例所在资源组和地域。
  4. 防护对象页签,选择您要查看的实例,您可以查看该实例下的公网IP资产的防护设置信息。
    信息项说明
    IP该实例绑定的公网IP资产。
    清洗阈值触发流量清洗的最小访问带宽,包括流量(Mbps)和报文数量(PPS)。更多信息,请参见设置流量清洗阈值
    资产类型公网IP资产的资产类型。
    端口数量公网IP资产下设置了端口防护策略的端口数量。您可以单击目标IP左侧的展开箭头,查看该IP下端口防护策略的详细信息。
    说明 目前仅高防EIP支持设置端口防护策略,因此其他公网IP资产类型无法查看到端口防护策略的详细信息。
    状态公网IP资产的DDoS安全状态。
    防护模板公网IP资产关联的防护策略模板。

    您可以单击防护模板跳转到防护配置页签,查看模板的具体信息。

    说明 如果防护模板默认,说明该公网IP资产没有设置防护策略,使用的DDoS原生防护的默认防护能力。
    操作
    • 如果您的资产是高防EIP:
      • 添加端口:为该公网IP资产增加端口策略。
      • 解除黑洞:仅当您的资产IP状态为黑洞中时支持该操作。
      • 查看实时生效策略:查看该公网IP资产防护策略的具体信息。
    • 如果您的资产是除高防EIP外的原生防护企业版防护IP:
      • 删除:删除该IP的防护策略信息,即将防护对象和防护策略解绑。
      • 解除黑洞:仅当您的资产IP状态为黑洞中时支持该操作。
      • 查看实时生效策略:查看该公网IP资产防护策略的具体信息。
  5. 如果您的资产是高防EIP,您可以单击目标IP左侧的展开箭头,查看该IP下的端口防护策略的详细信息。
    信息项说明
    端口表示设置了防护策略的端口号。
    协议类型表示端口的协议类型。
    添加时间表示为端口添加防护策略的时间。
    防护状态表示端口防护策略的生效状态。
    • 防护关闭:设置了端口防护策略但是没有启用,即未生效。您可以单击操作列的开启防护启用端口防护策略。
    • 防护中
    防护模板表示端口绑定的防护策略模板。单击模板名称,跳转到防护配置页签,您可以在该页面修改防护规则关联防护对象
    操作如果防护状态显示防护中,您可以执行如下操作:
    • 关闭防护
    • 查看实时生效策略
      说明 如果您只是添加了端口ID,但是还未绑定端口防护策略,控制台会显示绑定已有策略,不显示查看实时生效策略
    • 解除策略绑定
    • 删除防护
    如果防护状态显示防护关闭,您可以执行如下操作:
    • 开启防护
    • 绑定已有策略
    • 删除防护

更多操作

管理防护对象

操作类型操作步骤
为防护对象绑定防护策略
  1. 单击目标公网IP操作列的防护模板后,单击右上角的添加防护策略
  2. 找到要添加的防护模板,单击操作列的关联防护对象,在查看生效对象页签单击添加防护对象
  3. 根据地域和实例名称筛选要添加规则的资产IP,勾选资产IP后单击右箭头图标,单击确认添加
为防护对象更换防护策略您需要先在已绑定的防护策略中将该防护对象删除,再将该防护对象绑定到其他策略中。具体操作,请参见防护配置(公测)
为防护对象删除防护策略您需要在已绑定的防护策略中将该防护对象删除。具体操作,请参见防护配置(公测)

管理端口防护策略(仅高防EIP支持)

操作类型操作步骤
开启端口防护
警告 为公网IP资产开启端口防护时,会导致TCP业务闪断,请您在业务低峰期操作。
  1. 单击目标公网IP操作列的添加端口后,输入端口名称单击确认
  2. 端口列表中找到您刚添加的端口,单击操作列的绑定已有策略
  3. 绑定已有策略对话框中选择要绑定的策略,单击确定
  4. 单击操作列的开启防护
为端口更换防护策略
  1. 定位到目标公网IP,单击IP左侧的展开箭头展开端口列表。
  2. 单击目标端口操作列的更多后,单击解除策略绑定,解除已绑定的端口防护策略。
  3. 单击目标端口操作列的绑定已有策略,为端口重新绑定端口防护策略。
删除端口防护策略
  1. 定位到目标公网IP,单击IP左侧的展开箭头展开端口列表。
  2. 单击目标端口操作列的更多后,单击删除防护

手动解除黑洞

如果您的防护对象的状态黑洞中,您可以手动解除黑洞。

  1. 登录流量安全产品控制台
  2. 在左侧导航栏,选择网络安全 > DDoS原生防护 > 防护对象
  3. 在顶部菜单栏左上角处,选择实例所在资源组和地域。
  4. 选择目标实例后,定位到需要解除黑洞的IP,单击操作列的解除黑洞
  5. 解除黑洞对话框中您可以查看剩余黑洞解除次数,确认手动解除本次黑洞后单击确定

常见问题

相关文档