全部产品
Search
文档中心

DDoS 防护:防护对象

更新时间:Dec 13, 2023

购买DDoS原生防护实例后,您需要将公网IP资产添加为防护对象,DDoS才可以为其提供DDoS防护能力。本文介绍如何添加防护对象。

概述

当您购买了原生防护1.0企业版实例、原生防护2.0企业版实例、原生防护2.0中小企业普惠版实例时,您需要将公网IP资产添加为防护对象。如果您购买的是DDoS防护增强EIP(高防EIP),不需要添加防护对象,在防护对象页面可以直接查看到,但您需要为端口添加防护策略。

添加防护对象

添加防护对象时,支持在防护对象页面添加,也支持在实例管理页面添加。本文介绍防护对象页面的相关操作,实例管理页面的相关操作,请参见实例管理

重要

如果当前阿里云账号开通了多账号管理功能且为管理账号,且您使用的是原生防护2.0企业版实例,可以将成员账号的公网IP资产添加为防护对象。详细内容,请参见多账号统一管理

前提条件

操作步骤

  1. 登录流量安全产品控制台

  2. 在顶部菜单栏左上角处,选择实例所在资源组和地域。

    • 原生防护1.0包年包月实例:请选择实例所在地域。

    • 原生防护2.0包年包月实例:请选择全球。

    • 原生防护2.0后付费实例:防护对象是标准云产品时请选择全球,防护对象是DDoS防护增强云产品时请选择云产品所在地域。

  3. 在左侧导航栏,选择网络安全 > DDoS原生防护 > 防护对象

  4. 防护对象页面,选择目标实例,单击添加防护对象

    说明

    如果您是第一次使用DDoS原生防护实例,请根据页面提示完成云产品授权,授权DDoS原生防护实例访问您的其他云产品。

  5. 添加防护对象对话框,您可以选择从资产中添加手工添加的方式添加资产,然后单击确认

    说明

    添加防护对象后,防护模版显示为默认,表示该公网IP资产使用的DDoS原生防护的默认防护能力,如果您的业务要求放行或丢弃包含指定特征的业务流量,可以自定义防护策略模板,并为防护对象绑定自定义的防护策略模板。

    • 从资产中添加:选择当前阿里云账号下的公网IP资产。

    • 手工添加:手动输入当前阿里云账号下的公网IP资产。

    • 成员账号资产添加:仅当前阿里云账号开通了多账号管理功能且为管理账号时,会显示该页签。选择成员账号下的公网IP资产。

  6. (可选)将默认防护策略模板更换为自定义的防护策略模板。

    1. 单击防护模版列的默认,跳转到防护配置页面。

    2. 为防护对象绑定自定义的防护策略模板。

      场景

      说明

      已经自定了防护策略模板

      1. 单击防护配置页面,选择IP防护策略-触发模式

      2. 定位到目标模板,单击操作列的关联防护对象

      3. 查看生效对象面板单击添加防护对象,为防护对象绑定该模板。

      未创建过防护策略模板或已有的模板不符合业务需求。

      1. 单击防护配置页面的新建策略

      2. 输入策略名称并选择IP防护策略-触发模式,然后单击确定

      3. 策略创建成功对话框中单击确定

      4. 设置防护规则页签完成配置后,单击下一步

        关于各配置项的详细信息,请参见IP防护策略-触发模式

      5. 选择生效对象页签选择防护对象,单击确认添加

更多操作

删除防护对象

  1. 防护对象页面,选择目标实例。

  2. 在资产列表中,定位到目标公网IP资产,单击操作列的删除

  3. 删除防护对象对话框中查看提示信息,然后单击确定

为防护对象解绑防护策略模板

仅支持解绑自定义的防护策略模板,不支持解绑默认防护策略模板。

  1. 防护对象页面,选择目标实例。

  2. 在资产列表中,定位到目标公网IP资产,单击防护模版列自定义的防护策略模板。

  3. 跳转到防护配置页面,单击目标模板操作列的关联防护对象

  4. 定位到目标公网IP资产,单击操作列的删除

为防护对象更换自定义的防护策略模板

  1. 防护配置页面,选择IP防护策略-触发模式,定位到旧防护策略模板,单击操作列的关联防护对象,为防护对象解绑旧防护策略模板。

  2. 定位到新防护策略模板,单击操作列的关联防护对象,为防护对象绑定新防护策略模板。

为端口添加防护策略

资产类型是DDoS防护增强EIP(高防EIP)时,会自动添加到防护对象中,在防护对象页面选择Default-eip-******格式的实例后,可以直接查看到高防EIP,但您需要为端口配置防护策略。

警告

为公网IP资产开启端口防护时,会导致TCP业务闪断,请您在业务低峰期操作。

前提条件

已购买高防EIP实例。具体操作,请参见DDoS防护(增强版)EIP最佳实践

操作步骤

  1. 登录流量安全产品控制台

  2. 在顶部菜单栏左上角处,选择DDoS防护增强EIP(高防EIP)实例所在资源组和地域。

  3. 在左侧导航栏,选择网络安全 > DDoS原生防护 > 防护对象

  4. 选择Default-eip-******格式的DDoS原生防护实例。

  5. (可选)将高防EIP的默认防护策略模板更换为自定义的防护策略模板。

    1. 单击防护模版列的默认,跳转到防护配置页面。

    2. 为高防EIP绑定自定义的防护策略模板。

      场景

      说明

      已经自定了防护策略模板

      1. 单击防护配置页面,选择IP防护策略-串联模式

      2. 定位到目标模板,单击操作列的关联防护对象

      3. 查看生效对象面板单击添加防护对象,为高防EIP绑定该模板。

      未创建过防护策略模板或已有的模板不符合业务需求。

      1. 单击防护配置页面的新建策略

      2. 输入策略名称并选择IP防护策略-串联模式,然后单击确定

      3. 策略创建成功对话框中单击确定

      4. 设置防护规则页签完成配置后,单击下一步

        关于各配置项的详细信息,请参见IP防护策略-串联模式

      5. 选择生效对象页签选择防护对象,单击确认添加

  6. 为高防EIP的端口设置防护策略。

    1. 定位到目标高防EIP,单击操作列的添加端口后,输入端口名称,然后单击确认

    2. 单击IP前的image.png图标,定位到目标端口,为端口开启防护策略。

      • 使用默认的防护策略模板:单击操作列的开启防护

      • 使用自定义的防护策略模板:单击操作列的绑定已有策略,为该端口绑定已有的端口防护策略,然后单击操作列的开启防护

      绑定端口防护策略后,您可以单击操作 > 更多 > 解除策略绑定解除已绑定的端口防护策略,也可以单击操作 > 更多 > 删除防护删除端口防护策略。

更多操作

为高防EIP更换自定义的防护策略模板

  1. 防护配置页面,选择IP防护策略-串联模式,定位到旧防护策略模板,单击操作列的关联防护对象,为高防EIP解绑旧防护策略模板。

  2. 定位到新防护策略模板,单击操作列的关联防护对象,为高防EIP绑定新防护策略模板。

查看防护对象详情

  1. 登录流量安全产品控制台

  2. 在顶部菜单栏左上角处,选择实例所在资源组和地域。

    • 原生防护1.0包年包月实例:请选择实例所在地域。

    • 原生防护2.0包年包月实例:请选择全球。

    • 原生防护2.0后付费实例:防护对象是标准云产品时请选择全球,防护对象是DDoS防护增强云产品时请选择云产品所在地域。

  3. 在左侧导航栏,选择网络安全 > DDoS原生防护 > 防护对象

  4. 防护对象页面,选择您要查看的实例,您可以查看该实例下的公网IP资产的防护配置详情。

    • DDoS原生防护1.0企业版实例、DDoS原生防护2.0企业版实例、DDoS原生防护2.0中小企业普惠版实例:

      信息项

      说明

      IP

      该实例绑定的公网IP资产。

      资产归属

      如果当前阿里云账号开通了多账号管理功能且为管理账号,且您使用的是原生防护2.0企业版实例,会显示该项。

      表示该公网IP资产所属的阿里云账号。

      清洗阈值

      触发流量清洗的最小访问带宽,包括流量(Mbps)和报文数量(PPS)。更多信息,请参见设置流量清洗阈值

      资产类型

      公网IP资产的资产类型。

      状态

      公网IP资产的DDoS安全状态。

      • 正常

      • 黑洞中:单击操作列的解除黑洞,在解除黑洞对话框中查看剩余黑洞解除次数,确认解除黑洞后单击确定。您可以查看黑洞事件记录,具体操作,请参见查看黑洞事件详情

      防护模版

      公网IP资产关联的防护策略模板。

      如果为默认,表示该公网IP资产没有设置防护策略,使用的DDoS原生防护的默认防护能力。如果为自定义的防护策略模板,您可以单击模板,跳转到防护配置页面查看模板详情。

      操作

      • 删除:删除防护对象。

      • 解除黑洞:仅当资产IP状态为黑洞中时支持该操作。

      • 查看实时生效策略:查看该公网IP资产防护策略的具体信息。

    • DDoS防护增强EIP(高防EIP)

      信息项

      说明

      IP

      高防EIP。

      清洗阈值

      触发流量清洗的最小访问带宽,包括流量(Mbps)和报文数量(PPS)。更多信息,请参见设置流量清洗阈值

      资产类型

      DDoS防护增强EIP(高防EIP)。

      端口数量

      高防EIP下配置了端口防护的端口数量。您可以单击目标IP左侧的展开箭头,查看哪些端口配置了防护策略。

      状态

      公网IP资产的DDoS安全状态。

      • 正常

      • 黑洞中:单击操作列的解除黑洞,在解除黑洞对话框中查看剩余黑洞解除次数,确认解除黑洞后单击确定。您可以查看黑洞事件记录,具体操作,请参见查看黑洞事件详情

      防护模版

      高防EIP关联的防护策略模板。

      如果为默认,表示该高防EIP没有设置防护策略,使用的DDoS原生防护的默认防护能力。如果为自定义的防护策略模板,您可以单击模板,跳转到防护配置页面查看模板详情。

      操作

      • 添加端口:添加指定端口。

      • 解除黑洞:仅当高防EIP状态为黑洞中时支持该操作。

      • 查看实时生效策略:查看该高防EIP防护策略详情。

常见问题

相关文档