Anti-DDoS:DDoS 緩和ポリシーの設定

トップナビゲーションバーで、インスタンスのリージョンを選択します。

• Anti-DDoS Proxy (中国本土)：[中国本土] リージョンを選択します。

• Anti-DDoS Proxy (中国本土以外)：[中国本土以外] リージョンを選択します。

一般的なポリシー ページで、非ウェブサイトサービスの保護 タブをクリックします。次に、ページ上部のドロップダウンリストから管理する Anti-DDoS Proxy インスタンスを選択します。

左側のナビゲーションウィンドウで、緩和ポリシーを設定する転送ルールをクリックします。

• 偽ソース：この機能は TCP ポート転送ルールにのみ適用されます。

  パラメーター	説明
  偽ソース	このオプションを有効にすると、なりすまし送信元 IP アドレスからの接続リクエストが自動的にフィルターされます。 偽ソース を無効にすると、空接続 も無効になります。 偽ソース が無効な場合、空接続 と 高度な攻撃保護 の両方が無効になります。
  空接続	このオプションを有効にすると、空の接続リクエストが自動的にフィルターされます。空接続 を有効にするには、事前に 偽ソース を有効にする必要があります。

• 高度な攻撃保護: この機能は、TCP ポート フォワーディング ルールにのみ適用されます。この機能を有効化すると、保護レベルはデフォルトで通常に設定されます。「偽ソース」を有効化する必要があります。その後、「高度な攻撃保護」を有効化できます。

  保護レベル	保護効果	シナリオ
  緩い	明らかな攻撃特徴を持つリクエストをブロックします。少数の攻撃リクエストが見逃される可能性がありますが、誤検知率は非常に低いです。	このレベルは、ライブストリーミング、ストリーミングメディア、ダウンロードなど、大規模な一方向のデータ転送を伴うサービス、またはオリジンサーバーの帯域幅が大きいサービスに適しています。
  通常 (推奨)	ほとんどの場合、このレベルは通常のサービスに影響を与えず、保護と低い誤検知率のバランスを提供します。ほとんどのシナリオでこのレベルを選択することを推奨します。	このレベルは、ほとんどのビジネスシナリオに適しています。
  厳格	悪意のある攻撃に対して厳格な検証を実行します。これにより、少数の誤検知が発生する可能性があります。	このレベルは、オリジンサーバーの帯域幅が低い場合や、保護効果が理想的でないシナリオに適しています。

• パケットフィルタリング：パケットペイロードに基づいて、カスタムの正確なアクセス制御ルールを設定します。ルールに複数のマッチ条件がある場合、すべての一致条件が満たされた場合にのみアクションが実行されます。

  説明

  インテリジェント保護によって配信されるインテリジェントな精密アクセス制御ルールも、このセクションに表示されます。

  パラメーター	説明
  名前	ルールのカスタム名。
  一致条件	一致条件: パケットペイロードのフォーマットです。文字列または16 進数を選択できます。 区間マッキング：一致させるペイロードの開始位置と終了位置。開始位置と終了位置は 0 から 1,499 の値に設定できます。単位：バイト。開始位置は終了位置以下である必要があります。 論理関係：値には含むまたは次を含まない：を指定できます。 フィールド値： 一致条件 を 文字列 に設定した場合、一致コンテンツの長さは 1,500 文字以下、かつ (End Position - Start Position + 1) 以下である必要があります。 「一致条件」を「16 進数」に設定した場合、マッチ対象のコンテンツは 16 進数文字列である必要があります。この文字列の長さは 3,000 文字を超えてはならず、偶数でなければなりません。また、マッチ対象のコンテンツの長さを 2 で割った値は、（[終了位置] - [開始位置] + 1）以下である必要があります。
  操作	観察：ルールにヒットした場合、アクセスリクエストを許可します。 ブロック：ルールにヒットした場合、アクセスリクエストを拒否します。 ブロックしてブラックリストに追加：リクエストがルールにヒットした場合、アクセスリクエストを拒否し、送信元 IP アドレスをブラックリストに追加します。ブラックリストの期間は 300 秒から 600 秒の値に設定できます。

• ホワイトリスト：各ホワイトリストには最大 2,000 個の IP アドレスまたは CIDR ブロックを追加できます。

  • IPv4 アドレスを持つ Anti-DDoS Proxy インスタンスは、IPv4 形式の IP アドレスまたは CIDR ブロックのみをサポートします。IPv6 アドレスを持つ Anti-DDoS Proxy インスタンスは、IPv6 形式の IP アドレスまたは CIDR ブロックのみをサポートします。

  • サポートされている IPv4 CIDR ブロックは /8 から /32 です。サポートされている IPv6 CIDR ブロックは /32 から /128 です。

  • IPv4 アドレスを 0.0.0.0 または 255.255.255.255 に設定することはできません。IPv6 アドレスを :: または ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff に設定することはできません。

• ソースの速度制限：

  パラメーター	説明
  発信元の新規接続率制限	単一の送信元 IP アドレスからの 1 秒あたりの新規接続数を制限します。有効値：1～50,000。制限を超えた新規接続は破棄されます。 自動：システムが送信元 IP アドレスからの最大新規接続数のしきい値を動的に計算します。手動でしきい値を設定する必要はありません。 手動：送信元 IP アドレスからの最大新規接続数のしきい値を手動で設定する必要があります。 説明 保護クラスターが使用されているため、新規接続の制限にはわずかな誤差が生じる場合があります。 ブラックリストポリシー： 「ソースクライアントからの新規接続数が 1 分以内に 5 回しきい値を超えると、ソースクライアントの IP アドレスはブラックリストに追加されます。」オプションを選択できます。送信元 IP アドレスがブラックリストに追加されると、そのすべての接続リクエストは破棄されます。 ブラックリストポリシーを有効化すると、ブラックリストの有効期間 を設定する必要があります。値の範囲は 1 ～ 10,080 分です。デフォルト値は 30 分です。有効期間が終了すると、ソース IP アドレスが自動的にブラックリストから削除されます。
  送信元 IP あたりの最大同時接続数	単一の送信元 IP アドレスからの同時接続数を制限します。有効値：1～50,000。制限を超えた同時接続は破棄されます。 ブラックリストポリシー： 「ソースクライアントからの同時接続数が 1 分以内に 5 回しきい値を超えると、ソースクライアントの IP アドレスはブラックリストに追加されます。」オプションを選択できます。ソース IP アドレスがブラックリストに追加されると、そのすべての接続リクエストは破棄されます。 ブラックリストポリシーを有効化すると、ブラックリストの有効期間 を設定する必要があります。値の範囲は 1 ～ 10,080 分です。デフォルト値は 30 分です。有効期間が終了すると、ソース IP アドレスがブラックリストから自動的に削除されます。
  ソースの PPS 制限	単一の送信元 IP アドレスから 1 秒あたりに転送されるパケット数を制限します。有効値：1～100,000 パケット/秒 (PPS)。制限を超えたパケットは破棄されます。 ブラックリストポリシー： 「ソースクライアントのソースパケット/秒 (PPS) が 1 分以内に 5 回しきい値を超えると、ソースクライアントの IP アドレスがブラックリストに追加されます。」オプションを選択できます。ソース IP アドレスがブラックリストに追加されると、そのすべての接続リクエストは破棄されます。 ブラックリストポリシーを有効にする場合、ブラックリストの有効期間 を設定する必要があります。値は 1 から 10,080 分の範囲で指定できます。デフォルト値は 30 分です。有効期間が終了すると、ソース IP アドレスはブラックリストから自動的に削除されます。
  配信元の帯域幅制限	単一の送信元 IP アドレスからのオリジンリクエストの帯域幅を制限します。有効値：1,024～268,435,456 バイト/秒。 ブラックリストポリシー： 「ソースクライアントのソース帯域幅が 1 分以内に 5 回しきい値を超えると、ソースクライアントの IP アドレスがブラックリストに追加されます。」オプションを選択できます。送信元 IP アドレスがブラックリストに追加されると、そのすべての接続要求は破棄されます。 ブラックリストポリシーを有効化すると、ブラックリストの有効期間 を設定する必要があります。この値の範囲は、1 分から 10,080 分です。デフォルト値は 30 分です。有効期間が終了すると、ソース IP アドレスは自動的にブラックリストから削除されます。

• 宛先の速度制限：デフォルト設定は TCP と UDP のポート転送ルールで異なります。

  • TCP ポート転送ルール

    パラメーター	説明
    宛先の新規接続率制限	Anti-DDoS Proxy インスタンスのポートに対する 1 秒あたりの最大新規接続数を制限します。制限を超えた新規接続は破棄されます。有効値：100～100,000。 この機能はデフォルトで有効になっており、値は 100,000 に設定されています。 この機能を無効にすることはできません。無効にしようとすると、値はデフォルト値の 100,000 にリセットされます。 説明 保護クラスターが使用されているため、新規接続の制限にはわずかな誤差が生じる場合があります。
    宛先 IP アドレスへの最大同時接続数	Anti-DDoS Proxy インスタンスのポートに対する最大同時接続数を制限します。制限を超えた同時接続は破棄されます。有効値：1,000～2,000,000。 この機能はデフォルトで有効になっており、値は 2,000,000 に設定されています。 この機能を無効にすることはできません。無効にしようとすると、値はデフォルト値の 2,000,000 にリセットされます。

  • UDP ポート転送ルール

    パラメーター	説明
    宛先の新規接続率制限	Anti-DDoS Proxy インスタンスのポートに対する 1 秒あたりの最大新規接続数を制限します。制限を超えた新規接続は破棄されます。 この機能はデフォルトで無効になっています。有効値：100～50,000。 説明 保護クラスターが使用されているため、新規接続の制限にはわずかな誤差が生じる場合があります。
    宛先 IP アドレスへの最大同時接続数	Anti-DDoS Proxy インスタンスのポートに対する最大同時接続数を制限します。制限を超えた同時接続は破棄されます。有効値：1,000～200,000。 この機能はデフォルトで有効になっており、値は 200,000 に設定されています。 この機能を無効にすることはできません。無効にしようとすると、値はデフォルト値の 200,000 にリセットされます。

• パケット長の制限: パケット長の制限 の下で、設定の変更 をクリックします。Anti-DDoS Proxy ポートを通過できるメッセージ内のペイロードの最小長と最大長を設定します。値は 0 から 1,500 バイトの範囲である必要があります。次に、[OK] をクリックします。

Anti-DDoS Proxy コンソールにログインします。

トップナビゲーションバーで、インスタンスのリージョンを選択します。

• Anti-DDoS Proxy (中国本土)：[中国本土] リージョンを選択します。

• Anti-DDoS Proxy (中国本土以外)：[中国本土以外] リージョンを選択します。

左側のナビゲーションウィンドウで、接続管理 > ポート接続 を選択します。

[ポート接続] ページで、Anti-DDoS Proxy インスタンスを選択します。ルールのリストの下部で、一括操作 > Anti-DDoS 保護ポリシーの作成 を選択します。

「Anti-DDoS 保護ポリシーの作成」ダイアログボックスで、指定されたフォーマットで緩和ポリシーの内容を入力し、OK をクリックします。