このトピックでは、有料版のAnti-DDoSインスタンスにカスタム軽減ポリシーを設定する方法について説明します。
概要
パブリックIPアドレスが割り当てられたアセットを保護のために有料版のAnti-DDoSインスタンスに追加すると、インスタンスはデフォルトの軽減ポリシーを使用してアセットを保護します。 ビジネス要件に基づいてカスタム軽減ポリシーを作成し、特定の特性を持つサービストラフィックを許可または拒否できます。 アセットがDDoS攻撃に遭遇した後、軽減ログまたは攻撃分析ページで攻撃トラフィックの特性を表示できます。 次に、カスタム軽減ポリシーを調整できます。 これは、DDoS軽減効果を改善する。 パブリックIPが割り当てられたアセットは、以下のセクションでは略してアセットと呼ばれます。 攻撃分析ページで軽減ログと情報を表示する方法の詳細については、「クエリ軽減ログ」および「攻撃分析ページで情報を表示する」をご参照ください。
緩和ポリシータイプ
IP固有の軽減ポリシー (攻撃トリガー) 、IP固有の軽減ポリシー (並列) 、およびポート固有の軽減ポリシータイプの軽減ポリシーに対して、さまざまなルールを設定できます。 すべてのタイプの軽減ポリシーを同時に構成することを推奨します。 DDoS攻撃が発生した場合、次のタイプの軽減ポリシーが順番に適用されます。IP固有の軽減ポリシー (攻撃トリガー) 、IP固有の軽減ポリシー (並列) 、およびポート固有の軽減ポリシー。 クロスボーダートラフィックポリシー-デフォルトタイプの緩和ポリシーには、有効期間とクォータ制限があります。 DDoS攻撃が発生した場合、このタイプの軽減ポリシーを設定することを推奨します。
ポリシータイプ | 説明 |
IP固有の軽減ポリシー (攻撃トリガー) | アセットに送信される攻撃トラフィックがトラフィックのスクラブしきい値を超えると、システムは、攻撃が停止するまで、設定した軽減ポリシーに基づいてレイヤ3およびレイヤ4のボリュームDDoS攻撃を自動的に軽減します。 |
IP固有の緩和ポリシー (並列) | アセットに対して設定した軽減ポリシーは、アセットを通過するすべてのサービストラフィックに有効になります。 特定の特性を持つサービストラフィックがポリシーのルールと一致する場合、システムは指定されたアクションに基づいてサービストラフィックを処理します。 このタイプの軽減ポリシーは、レイヤー3およびレイヤー4のDDoS攻撃とHTTPフラッド攻撃を軽減するために使用できます。 |
ポート固有の軽減ポリシー | このタイプの軽減ポリシーを使用すると、Webサイト以外のサービスに対して起動されるTCPフラッド攻撃 (レイヤー4 HTTPフラッド攻撃) を軽減し、きめ細かい方法でアプリケーション層トラフィックを検出およびフィルタリングできます。 特定の特性を持つトラフィックがポリシーと一致する場合、システムはトラフィックを許可またはブロックします。 |
国境を越えたトラフィック遮断ポリシー-デフォルト | このタイプの軽減ポリシーを設定して、国境を越えたトラフィックをブロックできます。 このタイプの軽減ポリシーは、サービスが国境を越えたトラフィックを含まないシナリオに適しています。 このタイプの軽減ポリシーは、通常、インターネットサービスプロバイダ (ISP) のバックボーンネットワーク内のコアルータを使用することにより、攻撃元の場所に基づいて特定の領域からのトラフィックを拒否します。 説明 IP固有の軽減ポリシー (並列) のポートブロッキングルールは、攻撃されたオブジェクトの場所に基づいて、特定のリージョンからのトラフィックを拒否します。
このタイプの緩和ポリシーを使用して、各インスタンスで1か月あたり最大10回のトラフィックをブロックできます。 |
さまざまなタイプの軽減ポリシーでサポートされるリージョン
パブリックプレビュー中に、軽減ポリシーを無料で設定できます。 ただし、次の表に示すように、一部のリージョンのみがサポートされ、限られた機能が提供されます。 軽減ポリシーがビジネス要件を満たせない場合は、
テクニカルサポートに連絡するチケット。次の表では、tick 
資産タイプ | リージョン | IP固有の軽減ポリシー (攻撃トリガー) | IP固有の緩和ポリシー (並列) | ポート固有の軽減ポリシー | 国境を越えたトラフィック遮断ポリシー-デフォルト |
Anti-DDoS Origin 1.0またはAnti-DDoS Origin 2.0インスタンスに追加されたアセット | 中国本土 |
|
|
|
|
中国本土以外の地域 | サポートされている地域: 中国 (香港) 、米国 (バージニア) 、米国 (シリコンバレー) 、ドイツ (フランクフルト) 、英国 (ロンドン) 、日本 (東京) 、シンガポール、インドネシア (ジャカルタ) 、マレーシア (クアラルンプール) |
|
|
| |
Anti-DDoS (Enhanced) を有効にしたElastic IPアドレス (EIP) | 中国本土 |
|
| 中国 (杭州) リージョンでのみサポート |
|
中国本土以外の地域 | サポートされている地域: 中国 (香港) 、米国 (バージニア) 、米国 (シリコンバレー) 、ドイツ (フランクフルト) 、英国 (ロンドン) 、日本 (東京) 、シンガポール、インドネシア (ジャカルタ) 、マレーシア (クアラルンプール) | サポートされているリージョン: 中国 (香港) 、米国 (バージニア) 、米国 (シリコンバレー) 、ドイツ (フランクフルト) 、英国 (ロンドン) 、日本 (東京) 、シンガポール |
|
| |
DDoS対策インスタンスに追加されたアセット | 中国本土以外の地域 |
|
|
|
|
IP固有の緩和ポリシー (攻撃トリガー)
前提条件
Anti-DDoS Origin 1.0またはAnti-DDoS Origin 2.0インスタンスが購入され、アセットがインスタンスに追加されます。 詳細については、「保護のためのオブジェクトの追加」をご参照ください。
Anti-DDoS (Enhanced) が有効なEIPを購入しました。 保護のために、Anti-DDoS (Enhanced) が有効になっているEIPが自動的に追加されます。
軽減ポリシーの作成と保護のためのオブジェクトの追加
にログインします。Traffic Securityコンソール.
左側のナビゲーションウィンドウで、.
クリックポリシーの作成を指定します。ポリシー名、セットポリシータイプの選択へIP固有の緩和ポリシー (攻撃トリガー)をクリックし、OK.
では、ポリシーが作成されます。 メッセージをクリックし、[OK] をクリックします。
軽減ポリシーのルールを設定し、次へ.
アセットがUDPサービスを提供しない場合は、すべてのソースUDPポートをブロックすることを推奨します。 アセットが後でUDPサービスを提供する場合は、緩和ポリシーをタイムリーに調整します。
アセットがUDPサービスを提供する場合、UDPリフレクション攻撃によって悪用される共通ソースポートをブロックすることを推奨します。 ポートは、ポート1〜52、ポート54〜161、ポート389、ポート1900、およびポート11211を含む。
[ポートブロック] セクションで、[設定] をクリックします。 [ソースポートのブロック設定] パネルで、[ポートの追加] をクリックします。
[ポートの追加] パネルでパラメーターを設定し、[OK] をクリックします。
プロトコル: ブロックするリクエストのプロトコル。 有効な値: TCPおよびUDP。
ソースポート範囲: ソースポートの範囲。 有効な値: -1 から 65535
宛先ポートの範囲: 宛先ポートの範囲。 有効な値: -1 から 65535
Action: 指定されたプロトコルとポートを使用するリクエストに対するアクション。 値は [破棄] に固定されています。
[ブラックリストとホワイトリスト] セクションで、[設定] をクリックします。
[ブラックリストとホワイトリスト] パネルで、[ブラックリストまたはホワイトリストにIPアドレスを追加] をクリックします。
表示されるパネルで、[ブラックリスト] タブと [ホワイトリスト] タブにIPアドレスを追加し、[OK] をクリックします。
[バイト一致フィルター] セクションで、[設定] をクリックします。
[バイト一致フィルターの設定] パネルで、[機能の追加] をクリックします。
以下のパラメーターを設定し、[OK] をクリックします。
プロトコル: プロトコルのタイプ。 有効な値: TCPおよびUDP。
ソースポート範囲: ソースポートの範囲。 有効な値: 0 ~ 65535
宛先ポートの範囲: 宛先ポートの範囲。 有効な値: 0 ~ 65535
パケット長の範囲: パケット長の範囲。 有効な値: 1 ~ 1500 単位:バイト
オフセット: UDPまたはTCPパケットのバイトのオフセット。 有効な値: 0 ~ 1500 単位:バイト
このパラメーターを0に設定すると、システムは最初のバイトからマッチングを開始します。
ペイロード: UDPまたはTCPパケットの一致するペイロード。 0xで始まる16進数の文字列を入力する必要があります。
Action: 指定された条件に一致するリクエストに対するアクション。 有効な値: Pass、Discard、送信元IPアドレスの帯域幅の制限、セッションの帯域幅の制限。
[送信元IPアドレスの帯域幅の制限] または [セッションの帯域幅の制限] を選択した場合、[帯域幅] を指定する必要があります。 Bandwidthの有効値: 1 ~ 100000。 単位: パケット /秒 (pps) 。
[保護されたアセット] セクションの [選択するオブジェクト] セクションで、設定されたルールを有効にするアセットをリージョンとインスタンス名で検索し、[追加] をクリックします。
説明アセットは、IP固有の軽減ポリシー (攻撃トリガー) タイプの1つの軽減ポリシーにのみ追加できます。
ブラックリストルール、ICMPブロッキングルール、ホワイトリストルール、ポートブロッキングルール、およびバイトマッチフィルタルールの種類のルールが優先度の高い順にリストされています。
ルール | 説明 | 設定 |
ICMPブロッキング | このタイプのルールは、トラフィックスクラビング中にインターネット制御メッセージプロトコル (ICMP) 要求を拒否する。 これにより、悪意のあるスキャンからサーバーを保護し、ICMPフラッド攻撃を軽減できます。 説明 このルールは、ホワイトリストのIPアドレスに対して有効になります。 IPアドレスから送信されたICMP要求も拒否されます。 | ステータスをオンにします。 表示されるメッセージで、[OK] をクリックします。 |
ポートブロッキング | このタイプのルールは、UDPリフレクション攻撃を軽減するためにソースポートまたは宛先ポートを介して送信されるUDPまたはTCP要求を拒否します。 重要 次の提案に基づいて、このタイプのルールを設定することを推奨します。 | 同じプロトコルとポートタイプを持つ2つのポートブロッキングルールのポート範囲が重複しないようにしてください。 最大8つのルールを作成できます。 |
ブラックリストとホワイトリスト | ブラックリストルールは特定のソースIPアドレスからの要求を拒否し、ホワイトリストルールは特定のソースIPアドレスからの要求を許可します。 | |
バイトマッチフィルター | このタイプのルールは、特定のパケットのコンテンツのバイトを照合して、インスタンスがトラフィックスクラブを実行するときにリクエストのレートを拒否、許可、または制限します。 ほとんどの場合、攻撃ツールによって偽造された攻撃パケットは同じフィーチャフィールドを持ちます。 例えば、攻撃パケットは、同じ文字列またはコンテンツを含む。 | [バイトマッチフィルターの設定] パネルで設定したバイトマッチフィルタールールを管理できます。 たとえば、[編集] 、[削除] 、[下に移動] 、または [上に移動] をクリックしてルールを管理できます。 説明 ルールの順序を変更して、ルールを効率的に管理できます。 変更はルールに影響しません。 |
IP固有の緩和ポリシー (並列)
Anti-DDoS (Enhanced) が有効なEIPを購入すると、保護のためにAnti-DDoS (Enhanced) が有効なEIPが自動的に追加されます。 Anti-DDoS (Enhanced) を有効にしてEIPを手動で追加する必要はありません。 IP固有の軽減ポリシー (Parallel) を作成し、Anti-DDoS (Enhanced) を有効にしてポリシーをEIPにバインドするだけで済みます。
軽減ポリシーの作成と保護のためのオブジェクトの追加
にログインします。Traffic Securityコンソール.
左側のナビゲーションウィンドウで、.
クリックポリシーの作成を指定します。ポリシー名、セットポリシータイプの選択へIP固有の緩和ポリシー (並列)をクリックし、OK.
では、ポリシーが作成されます。 メッセージをクリックし、[OK] をクリックします。
軽減ポリシーのルールを設定し、次へ.
重要次のタイプのルールが優先度の高い順にリストされています。ブラックリストとホワイトリストのルール、反射攻撃フィルタリングルール、場所ブラックリストルール、ソースレート制限ルールです。
ルール
説明
設定
インテリジェント保護
このタイプのルールは、レイヤー4接続フラッド攻撃に対する効果的な保護を提供します。 ビッグデータ分析に基づくインテリジェントエンジンは、サービスのトラフィックパターンを自動的に学習し、レイヤー4接続フラッド攻撃を検出およびブロックします。
[インテリジェント保護] セクションで、[設定] をクリックします。 [インテリジェント保護] ダイアログボックスで、[ステータス] と [レベル] を設定し、[OK] をクリックします。 次のセクションでは、各レベルのインテリジェント保護ルールによって提供される保護機能について説明します。
Loose: Looseレベルのインテリジェント保護ルールは、攻撃特性を持つ悪意のあるIPアドレスからアセットを保護します。 Looseポリシーは攻撃を許可する可能性がありますが、誤検出率は低くなります。 Looseポリシーは、過去のサービストラフィック、専門家の経験、およびアルゴリズムのデータに基づいて作成されます。
通常: 通常レベルのインテリジェント保護ルールは、攻撃特性を持つ悪意のある疑わしいIPアドレスからアセットを保護します。 通常のポリシーは、保護効果と低い誤検出率のバランスをとるのに役立ちます。 通常のポリシーは、サービストラフィックの履歴、専門家の経験、およびアルゴリズムのデータに基づいて作成されます。
厳密: 厳密レベルのインテリジェント保護ルールは、攻撃に対する強力な保護を提供します。 厳格なルールは、いくつかのケースで偽陽性を引き起こす。 厳格なルールは、過去のサービストラフィック、専門家の経験、およびアルゴリズムのデータに基づいて開発されます。
重要軽減ポリシーを作成すると、インテリジェント保護ルールが自動的に有効になり、[通常] レベルに設定されます。 この場合、ビッグデータ分析に基づくインテリジェントエンジンは、サービストラフィックのシグネチャを学習した後、最適な保護を提供するのに約3日かかります。
ブラックリストとホワイトリスト
このタイプのルールでは、指定した送信元IPアドレスからのトラフィックを除外または許可できます。 ブラックリストのIPアドレスからのトラフィックがブロックされます。 ホワイトリストのIPアドレスからのトラフィックが許可されています。
[ブラックリストとホワイトリスト] セクションで、[設定] をクリックします。 [ブラックリストとホワイトリストの設定] パネルで、[ブラックリスト] タブと [ホワイトリスト] タブにIPアドレスを追加します。
重要ブラックリストにIPアドレスを追加する場合は、ブラックリストの有効期間を指定する必要があります。 有効期間は最大7日間です。 有効期間の設定は、ブラックリストに追加されたすべてのIPアドレスに対して有効になります。
場所ブラックリスト
このタイプのルールでは、Anti-DDoS Originによって保護されているIPアドレスごとにロケーションブラックリストを設定できます。 ブラックリストは、地理的な場所によってIPアドレスからのトラフィックをブロックできます。 ロケーションブラックリストを有効にすると、ブロックされたロケーションから保護されたIPアドレスへのトラフィックがブロックされます。
[場所のブラックリスト] セクションで、[設定] をクリックします。 [場所のブラックリストの設定] パネルで、ブロックする場所を選択し、[OK] をクリックします。
ソースレート制限
このタイプのルールでは、しきい値を指定して、送信元IPアドレスが保護IPアドレスにアクセスするレートを制限できます。 ルールを有効にした後、送信元IPアドレスのアクセス率が指定されたしきい値に達すると、送信元IPアドレスがブラックリストに追加されるか、またはIPアドレスからのアクセスが制限されます。 ブラックリストに追加された送信元IPアドレスからのすべてのトラフィックがブロックされます。
[ソースレートの制限] セクションで、[設定] をクリックします。 [ソースレート制限の設定] パネルで、[ソースPPS] 、[ソース帯域幅] 、[ソースSYNパケットのPPS] 、および [ソースSYNパケットの帯域幅] を設定します。 次に、[OK] をクリックします。 アクセス速度の種類ごとにしきい値を指定し、IPアドレスのアクセス速度がしきい値に達したときに送信元IPアドレスをブラックリストに追加するかどうかを指定できます。
反射攻撃フィルタリング
このタイプのルールは、UDPトラフィックのみを監視および保護します。 Anti-DDoS Originは、指定したソースポートからのUDPトラフィックをブロックします。 これにより、一般的なUDPリフレクション攻撃をブロックできます。
[リフレクション攻撃フィルタリング] セクションで、[設定] をクリックします。 [UDPリフレクション攻撃用のフィルターポリシーの設定] パネルで、ビジネス要件に基づいて [ワンクリックフィルターポリシー] セクションでリフレクションのソースポートを選択します。 [カスタムフィルタリングポリシー] セクションで、リフレクションの他のソースポートを追加することもできます。
説明ワンクリックフィルターポリシーセクションには、一般的なUDPリフレクション攻撃がリストされます。 アセットがUDPサービスを提供しない場合は、すべてのソースUDPポートをブロックすることを推奨します。
[保護されたアセット] セクションの [選択するオブジェクト] セクションで、設定されたルールを有効にするアセットをリージョンとインスタンス名で検索し、[追加] をクリックします。
説明Anti-DDoS (Enhanced) が有効なEIPは、IP固有の軽減ポリシー (Parallel) タイプの1つの軽減ポリシーにのみ追加できます。
ポート固有の軽減ポリシー
Anti-DDoS (Enhanced) が有効なEIPを購入すると、保護のためにAnti-DDoS (Enhanced) が有効なEIPが自動的に追加されます。 ただし、緩和ポリシーを有効にするには、ポート固有の緩和ポリシータイプの緩和ポリシーに、Anti-DDoS (拡張) が有効になっているEIPのポートを追加する必要があります。
前提条件
Anti-DDoS (Enhanced) が有効になっているEIPのポートは、保護されたオブジェクトページの緩和ポリシーに追加されます。 詳細については、「保護のためのオブジェクトの追加」をご参照ください。
軽減ポリシーの作成と保護のためのオブジェクトの追加
にログインします。Traffic Securityコンソール.
左側のナビゲーションウィンドウで、.
クリックポリシーの作成を指定します。ポリシー名、セットポリシータイプの選択へIP固有のポート固有の緩和ポリシーをクリックし、OK.
では、ポリシーが作成されます。 メッセージをクリックし、[OK] をクリックします。
軽減ポリシーのルールを設定し、次へ.
パラメーター
説明
ルール名
ルールの名前を設定します。
説明各軽減ポリシーには最大10個のルールを追加できます。
トリガーマッチングへの最小バイト数
マッチングをトリガーするセッション内の最小バイト数。 有効な値: 0 ~ 2048
このパラメーターを1500に設定し、セッションのバイト数が1500未満の場合、ルールは有効になりません。
ルールタイプ
検出するセッションのタイプ。
有効な値:
文字列一致 (ASCII)
16進文字列マッチ
マッチ条件
開始位置: 検出の開始位置。 有効な値: 0 ~ 2047 値0は、最初のバイトを示す。 値1は第2バイトを示す。 すべての値は同じルールに従います。
開始位置からのバイト単位の範囲の一致: 開始位置から検出されたバイト数。 有効値:1~2048。 このパラメーターを20に設定し、開始位置パラメーターを10に設定すると、セッション内の11〜30バイトが検出されます。
一致する期間: 一致するコンテンツ。 コンテンツは文字列で、長さは最大2,048文字です。
優先度
検出の優先度。 値が小さいほど優先度が高いことを示す。 設定可能な値は 1~100 です。
論理演算子
アクションの実行に基づく条件。 有効な値:
ヒット
ヒットしない
Action
ルールにヒットするセッションを処理するメソッド。 値は [破棄] に固定されています。
[選択するオブジェクト] ステップの [保護された資産] セクションで、リージョン、EIP名、IPアドレスごとに必要なポートとプロトコルを検索します。 次に、ポートとプロトコルを選択し、追加をクリックします。
国境を越えたトラフィック遮断ポリシー-デフォルト
アセット向けのクロスボーダートラフィックをブロックする場合は、クロスボーダートラフィックブロック軽減ポリシーを設定できます。 指定したブロッキング期間が終了すると、ポリシーはクロスボーダートラフィックのブロックを自動的に停止します。 クロスボーダートラフィックをブロックしたくない場合は、事前に手動でクロスボーダートラフィックのブロックを無効にすることができます。
前提条件
Anti-DDoS Origin 1.0またはAnti-DDoS Origin 2.0インスタンスが購入され、アセットがインスタンスに追加されます。 詳細については、「保護のためのオブジェクトの追加」をご参照ください。
Anti-DDoS (Enhanced) が有効なEIPを購入しました。 保護のために、Anti-DDoS (Enhanced) が有効になっているEIPが自動的に追加されます。
クロスボーダートラフィックのブロックの有効化
にログインします。Traffic Securityコンソール.
左側のナビゲーションウィンドウで、.
[軽減の設定] ページで、[クロスボーダートラフィックブロックポリシー-デフォルト] を選択します。 管理するポリシーを見つけて、[操作] 列の [ポリシーの変更] をクリックします。
では、保護ルールセクションで、リージョンとインスタンス名でルールを設定する1つ以上のアセットを検索します。
単一のアセットに対してクロスボーダートラフィックブロッキングを有効にするには、[Near-origin Blackhole Filtering] 列のスイッチをオンにします。 表示されるダイアログボックスで、ブロック期間を指定し、[Ok] をクリックします。
複数のアセットに対してクロスボーダートラフィックブロックを有効にするには、パブリックIPアドレスを選択し、[バッチブロック] をクリックします。 表示されるダイアログボックスで、ブロック期間を指定し、[Ok] をクリックします。
アセットに指定した [開始時刻] と [終了時刻] をアセットリストに表示できます。 ブロッキング期間が終了すると、クロスボーダートラフィックのブロッキングが自動的に無効になり、ニアオリジンブラックホールフィルタリング列のスイッチがオフになります。
説明適用後のブロッキング期間は変更できません。 ブロッキング期間を変更する場合は、新しいブロッキング期間を指定する前に、適用される保護ルールを無効にする必要があります。
クロスボーダートラフィックのブロックを手動で無効にする
[軽減の設定] ページで、[クロスボーダートラフィックブロックポリシー-デフォルト] を選択します。 管理するポリシーを見つけて、[操作] 列の [ポリシーの変更] をクリックします。
では、保護ルールセクションで、リージョンとインスタンス名でクロスボーダートラフィックのブロックを無効にする1つ以上のアセットを検索します。
単一のアセットのクロスボーダートラフィックブロッキングを無効にするには、[Near-origin Blackhole Filtering] 列のスイッチをオフにします。 表示されるメッセージで、[Ok] をクリックします。
複数のアセットのクロスボーダートラフィックブロッキングを無効にするには、パブリックIPアドレスを選択し、[バッチ許可] をクリックします。 表示されるメッセージで、[Ok] をクリックします。
関連操作
IP固有の軽減ポリシー (攻撃トリガー) 、IP固有の軽減ポリシー (並列) 、またはポート固有の軽減ポリシータイプの軽減ポリシーに対して、次の操作を実行することもできます。
保護のためにオブジェクトを軽減ポリシーに追加するか、保護されたオブジェクトを軽減ポリシーから削除します。 [軽減設定] ページで、軽減ポリシーの種類と管理する軽減ポリシーを見つけ、[操作] 列の [保護のためにオブジェクトを追加] をクリックします。
軽減ポリシーの変更または削除: [軽減設定] ページで、管理する軽減ポリシーの種類と軽減ポリシーを見つけ、[操作] 列の [保護ルールの変更] または [削除] をクリックします。
重要緩和ポリシーを変更すると、新しい緩和ポリシーがすべての保護対象オブジェクトに対して有効になります。 作業は慎重に行ってください。
軽減ポリシーを削除するときに保護のために軽減ポリシーにオブジェクトが追加された場合、軽減ポリシーを削除することはできません。 緩和ポリシーを削除する前に、保護されたオブジェクトを緩和ポリシーから削除する必要があります。