DDoS防护引擎根据流量清洗力度,为接入高防防护的网站业务提供三套内置的全局防护策略,帮助业务在攻击发生的瞬间快速应对脉冲式攻击,提高响应及时性。本文介绍了DDoS全局防护策略的设置方法。

前提条件

  • 已购买DDoS高防(新BGP)实例或DDoS高防(国际)保险版、无忧版、安全加速线路实例。

    相关操作,请参见购买DDoS高防实例

  • 已在域名接入页面配置了要防护的网站。

    相关操作,请参见添加网站

背景信息

DDoS全局防护策略包含阿里云DDoS防护引擎在应对常见威胁情报中沉淀的通用防护规则。通过启用全局防护策略,您可以将通用防护规则应用到接入DDoS高防防护的网站业务,减少攻击发生瞬间出现攻击透过的危害。

DDoS全局防护策略支持为每个接入防护的域名单独开启或关闭,并提供正常宽松严格三种防护模式。

自2021年11月24日(含)后新接入DDoS高防防护的域名,默认开启了DDoS全局防护策略(正常模式)。您可以根据防护需要,修改全局防护策略的模式:
  • 需要加强流量清洗力度时(例如,已有策略防护效果不佳的情形),推荐使用严格模式。
    注意 使用严格模式前,建议您提交工单或通过售后钉钉服务群进行咨询,避免策略调整对业务造成误伤。
  • 需要降低流量清洗力度时(例如,业务大促期间),推荐使用宽松模式。
注意 如果您在2021年11月24日前已完成域名接入,DDoS全局防护策略默认关闭,建议您手动为域名开启该功能。

操作步骤

  1. 登录DDoS高防控制台
  2. 在顶部菜单栏左上角处,选择服务所在地域:
    • 中国内地:选择该地域将跳转到DDoS高防(新BGP)控制台。
    • 非中国内地:选择该地域将跳转到DDoS高防(国际)控制台。
    您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。
  3. 在左侧导航栏,选择防护设置 > 通用防护策略
  4. 单击网站业务DDoS防护页签,并从左侧域名列表中选择要设置的域名。
    域名列表包含所有已接入DDoS高防防护的网站域名。如果您的域名不在域名列表,请先完成域名接入。相关操作,请参见添加网站
  5. 定位到DDoS全局防护策略区域,修改相关设置。
    DDoS全局防护策略您可以修改以下设置:
    • 状态开关:开启或关闭DDoS全局防护策略功能。建议保持开启状态。
    • 防护模式:支持宽松正常严格三种模式,具体说明如下。
      模式 防护效果 应用场景
      宽松 只拦截已知的特定恶意攻击,不会对正常请求造成误拦截。 适合网站规模较大且自身处理性能较强劲的业务防护场景。
      正常(推荐) 拦截在历史正常业务流量中不存在,但在全网恶意攻击中出现概率高的已知恶意攻击,对网站正常业务影响低。 适合请求量平稳、业务属性及用户来源不会有大幅变化的业务防护场景。
      严格 对恶意攻击进行严格防御,可能存在部分误拦截。 适合网站自身处理性能较差的业务防护场景。