云资产IP添加原生防护后,您可以根据自身业务特征和需求配置防护策略,放行或丢弃包含指定特征的业务流量,提升DDoS防护效果。

前提条件

  • 已创建原生防护企业版实例。相关操作,请参见购买DDoS原生防护企业版实例
    说明 目前防护配置功能在免费公测,已购买原生防护企业版实例的用户可以提交工单开通防护配置功能。
  • 云资产IP已经添加原生防护。相关操作,请参见添加防护对象

配置流程

首次使用策略配置功能时,推荐您参照以下流程进行操作:

  1. 新建一个策略模板
  2. 为策略模板设置生效资产,即在哪些资产上应用当前策略模板。
  3. 为策略模板配置具体的防护策略。已配置的防护策略将在上一步设置的资产上生效。

    下表描述了支持配置的防护策略。

    策略名称 说明 配置方法
    ICMP协议禁用 在流量清洗时直接丢弃ICMP协议流量,可以过滤ICMP攻击,并减少服务器被探测的风险。 通过单击状态开关,开启或关闭ICMP协议禁用。开启该策略后,ICMP协议流量将被直接丢弃。
    说明 ICMP协议禁用对白名单中IP也会生效,即开启该策略后,来自白名单IP的ICMP协议流量也会被丢弃。

    具体操作,请参见配置ICMP协议禁用策略
    源端口封禁 针对UDP或TCP协议+源或目的端口设置过滤规则,直接丢弃来自指定协议及对应端口的流量,可以用于过滤UDP反射攻击。 需要配置规则,指定要封禁的协议及对应端口。规则生效后,禁用协议+端口的请求流量将被直接丢弃。

    具体操作,请参见配置源端口封禁规则。
    黑白名单 针对源IP设置过滤或放行规则,直接丢弃或放行指定源IP的流量。 需要配置黑名单、白名单,分别指定黑名单IP、白名单IP。配置生效后,黑名单IP的请求流量将被直接丢弃,白名单IP的请求流量将被直接放行。

    具体操作,请参见配置黑白名单
    指纹过滤 在流量清洗时,对数据包中指定位置的内容进行特征匹配,根据匹配结果设置过滤、放行或限速规则。 需要配置规则,指定要检测的数据包特征。匹配中特征的请求将触发规则对应的动作,例如通过、丢弃或限速。

    具体操作,请参见配置指纹过滤特征

操作步骤

  1. 登录流量安全产品控制台
  2. 在左侧导航栏,选择网络安全 > DDoS原生防护 > 防护配置
  3. 单击策略配置页签。
  4. 选择或新建一个策略模板。
    • 如果您已经创建过策略模板,在左侧策略模板列表单击要操作的策略模板。
    • 如果您从未创建过策略模板,参照以下步骤创建一个策略模板:
    1. 在左侧策略模板列表上方,单击添加策略
    2. 添加对话框,输入策略名,并单击确定添加策略模板
      成功创建策略模板后,新建的策略模板将被默认选中。
  5. 添加生效资产。
    1. 在右侧生效资产列表区域,单击添加IP
    2. 添加IP面板,选择要应用当前策略模板的资产IP。添加IP
      参数 说明
      区域选择 资产IP所在地域。
      原生防护实例 资产IP关联的原生防护实例。
      IP选择 资产IP。
      说明 一个资产IP只允许关联一个策略模板。如果资产IP已经关联了其他策略模板,则不允许添加到当前策略模板。
    3. 单击确定
    成功添加生效资产后,资产IP的流量将受当前策略模板中防护策略的约束。新建的策略模板默认未开启任何防护策略,您需要进一步配置具体的防护策略,才能实现特定的防护效果。

    您可以在生效资产列表移出已有资产。

  6. 可选:配置ICMP协议禁用策略。
    您可以参照以下步骤开启、关闭ICMP协议禁用策略:
    1. ICMP协议禁用区域,单击状态开关。ICMP协议禁用
    2. 确认对话框,单击确定
  7. 可选:配置源端口封禁规则。
    您可以参照以下步骤配置源端口封禁规则:
    1. 源端口封禁区域,单击设置源端口封禁
    2. 禁用端口面板,单击添加端口
      说明 最多支持添加8条端口规则。
    3. 新增禁用端口面板,完成以下规则配置。
      新增禁用端口
      参数 说明
      协议 要封禁的协议类型。可选值:TCPUDP
      端口类型 要封禁的端口类型。可选值:源端口目的端口
      开始端口 — 结束端口 要封禁的端口范围。可选范围:1~65535。
      说明 同一协议下相同类型端口的范围不允许重合。
      匹配后动作 匹配中协议及对应端口后,对流量执行的操作。取值固定为丢弃

      关于源端口封禁规则的推荐配置,请参见源端口封禁推荐配置

    4. 单击确定
      成功添加端口封禁规则后,规则自动生效,禁用协议+端口的请求流量将被直接丢弃。您可以在禁用端口列表中管理已有规则,例如编辑删除规则。
  8. 可选:配置黑白名单。
    您可以参照以下步骤配置黑白名单:
    1. 黑白名单区域,单击设置黑白名单
    2. 黑白名单库面板,单击添加黑白名单
    3. 添加黑白名单面板,完成黑白名单配置。
      最多允许添加10,000个黑名单IP和10,000个白名单IP,多个IP间需要使用空格或者换行符进行分隔。添加黑白名单
    4. 单击确定
      成功添加黑白名单后,黑白名单设置自动生效,黑名单IP的请求流量将被直接丢弃,白名单IP的请求流量将被直接放行。您可以在黑白名单库管理已有黑名单IP、白名单IP,例如删除已添加的IP或者清空黑名单清空白名单
  9. 可选:配置指纹过滤特征。
    您可以参照以下步骤配置指纹过滤特征:
    1. 指纹过滤区域,单击设置指纹过滤
    2. 指纹过滤特征面板,单击添加特征
      说明 最多允许添加8条指纹特征规则。
    3. 新增指纹过滤特征面板,完成以下规则配置。
      新增指纹过滤特征
      参数 说明
      协议 协议类型。可选值:TCPUDP
      开始源端口 — 结束源端口 源端口范围。可选范围:1~65535。
      开始目的端口 — 结束目的端口 目的端口范围。可选范围:1~65535。
      最小包长 — 最大包长 IP数据包的长度范围。可选范围:1~1500,单位:Byte。
      偏移量 UDP或TCP头部后数据体(payload)的偏移量,可选范围:0~1500,单位:Byte。

      偏移量为0时,从数据体的第一字节开始匹配。
      检测载荷 要匹配的数据体(payload)内容,需要输入以0x开头的十六进制字符串。
      匹配后动作 匹配中特征后,对流量执行的操作。可选值:通过丢弃源IP限速session限速

      选择源IP限速session限速后,必须设置限速值限速值取值范围:1~100000。

    4. 单击确定
      成功添加指纹过滤特征后,指纹过滤自动生效,匹配中特征的请求将触发规则对应的动作。您可以在指纹过滤特征列表中管理已有特征,例如编辑删除特征,或者对特征排序。
      说明 特征排序仅为了方便您管理现有规则,不会对规则生效有任何影响。

源端口封禁推荐配置

配置自定义源端口封禁规则时,建议您根据业务场景选择以下推荐配置,提升防护效果:

  • 如果生效资产中只有TCP业务(无UDP业务),建议您封禁全部UDP源端口。
    具体的端口规则配置如下图所示。封禁UDP所有端口
  • 如果生效资产中存在UDP业务,建议您封禁常见的UDP反射源端口,包括1~52、54~161、389、1900、11211。
    具体的端口规则配置如下图所示。封禁UDP常用反射端口