購買DDoS原生防護執行個體後,您需要將公網IP資產添加為防護對象,DDoS原生防護才會使用預設防護模板為其提供DDoS防護能力。防護對象遭受跨境DDoS攻擊後,如果不涉及跨境業務,可以及時開啟近源壓制,快速屏蔽跨境流量。本文介紹如何添加防護對象,以及如何為防護對象開啟近源壓制。
添加防護對象
如果您是第一次使用DDoS原生防護執行個體,添加防護對象時請根據頁面提示完成雲產品授權,授權DDoS原生防護執行個體訪問您的其他雲產品。
情境一:購買了原生防護1.0(訂用帳戶)執行個體
僅包含企業版執行個體,用於防護標準型雲產品。
登入流量安全產品控制台。
在頂部功能表列左上方處,選擇執行個體所在資源群組和地區。
在左側導覽列,選擇。
在防护对象頁面,選擇目標執行個體,單擊添加防護對象。
在添加防護對象對話方塊,選擇從資產中添加或手工添加,然後單擊確認。
從資產中添加:選擇當前阿里雲帳號下的公網IP資產。
手工添加:手動輸入當前阿里雲帳號下的公網IP資產。
情境二:購買了原生防護2.0(訂用帳戶)執行個體
包含企業版執行個體、中小企業普惠版執行個體,用於防護標準型雲產品。
登入流量安全產品控制台。
在頂部功能表列左上方處,選擇執行個體所在資源群組,地區選擇全球。
在左側導覽列,選擇。
在防护对象頁面,選擇目標執行個體,單擊添加防護對象。
在添加防護對象對話方塊,選擇從資產中添加或手工添加,然後單擊確認。
從資產中添加:選擇當前阿里雲帳號下的公網IP資產。
手工添加:手動輸入當前阿里雲帳號下的公網IP資產。
情境三:購買了原生防護2.0(後付費)執行個體
(後付費)執行個體支援防護標準型雲產品、DDoS防護(增強版)EIP。
標準型雲產品:請您按照如下操作手動添加到防護對象中。
DDoS防護(增強版)EIP:購買成功後會自動添加到防護對象中,無需手動添加。您可以在防护对象頁面的DDoS防護(增強版)EIP頁簽查看到購買的DDoS防護(增強版)EIP。
登入流量安全產品控制台。
在頂部功能表列左上方處,選擇執行個體所在資源群組,地區選擇全球。
在左側導覽列,選擇。
在防护对象頁面,選擇目標執行個體,單擊添加防護對象。
在添加防護對象對話方塊,選擇從資產中添加或手工添加,然後單擊確認。
從資產中添加:選擇當前阿里雲帳號下的公網IP資產。
手工添加:手動輸入當前阿里雲帳號下的公網IP資產。
情境四:開通多帳號統一管理後,新增成員帳號的資產
如果當前阿里雲帳號開通了多帳號管理功能且為管理帳號,可以將成員帳號的公網IP資產添加為防護對象。詳細內容,請參見多帳號統一管理。
僅DDoS原生防護2.0(訂用帳戶)企業版執行個體、DDoS原生防護2.0(後付費)執行個體支援開通多帳號統一管理功能。
標準型雲產品:請您按照如下操作手動添加到防護對象中。
DDoS防護(增強版)EIP:開通了多帳號管理功能後,成員帳號新購買的DDoS防護(增強版)EIP,會自動添加到防護對象中,無需手動添加。您可以在防护对象頁面的DDoS防護(增強版)EIP頁簽查看到購買的DDoS防護(增強版)EIP。
登入流量安全產品控制台。
在頂部功能表列左上方處,選擇執行個體所在資源群組,地區選擇全球。
在左側導覽列,選擇。
在防护对象頁面,選擇目標執行個體,單擊添加防護對象。
在添加防護對象對話方塊,選擇成員帳號資產添加,然後單擊確認。
為防護對象開啟近源壓制
近源壓制策略有一定的時效性以及每月10次的額度限制,建議您在遭受DDoS攻擊時配置。
近源壓制即在指定的封鎖時間內直接丟棄所有跨境業務流量,適用於業務本身不存在跨境流量的情境。近源壓制一般通過電訊廠商骨幹網核心路由器,在靠近攻擊源的位置丟棄特定地區的流量。
如果公網IP資產的地區是中國內地:開啟近源壓制將封鎖所有來自非中國內地(含海外地區、中國香港、中國澳門、中國台灣)的流量。
如果公網IP資產的地區是非中國內地(含海外地區、中國香港、中國澳門、中國台灣):開啟近源壓制將封鎖所有來自中國內地的流量。
遭受攻擊時,您可以登入流量安全產品控制台,在攻擊分析頁面查看具體攻擊事件詳情,如果發現攻擊流量均來自跨境IP,可以為公網IP資產開啟近源壓制,封鎖時間結束後流量封鎖自動解除。如果您想提前解除流量封鎖,可以手動關閉近源壓制。
登入流量安全產品控制台。
在頂部功能表列左上方處,選擇執行個體所在資源群組和地區。
原生防護1.0(訂用帳戶)執行個體:請選擇執行個體所在地區。
原生防護2.0(訂用帳戶)執行個體、原生防護2.0(後付費)執行個體:請選擇全球。
在左側導覽列,選擇。
選擇目標執行個體後,定位到目標IP,開啟近源壓制列的開關,設定封鎖時間長度。
說明封鎖時間長度支援30分鐘~1天,封鎖時間長度設定生效後不支援修改。如果您需要修改封鎖時間長度,必須先關閉已生效的近源壓制再重新開啟近源壓制。
您可以在資產列表中查看封鎖開始時間和封鎖結束時間,等待已設定的封鎖時間長度結束後,流量封鎖將自動取消,公網IP的近源黑洞狀態將變更為關閉。
管理防護對象
查看防護對象詳情
登入流量安全產品控制台。
在頂部功能表列左上方處,選擇執行個體所在資源群組和地區。
原生防護1.0(訂用帳戶)執行個體:請選擇執行個體所在地區。
原生防護2.0(訂用帳戶)執行個體、原生防護2.0(後付費)執行個體:請選擇全球。
在左側導覽列,選擇。
在防护对象頁面,選擇您要查看的執行個體,您可以查看該執行個體下的公網IP資產的防護配置詳情。
IP資產、WAF資產
資訊項
說明
IP
該執行個體綁定的公網IP資產。
資產歸屬
如果當前阿里雲帳號開通了多帳號管理功能且為管理帳號,且您使用的是原生防護2.0企業版執行個體,會顯示該項。
表示該公網IP資產所屬的阿里雲帳號。
清洗阈值
觸發流量清洗的最小訪問頻寬,包括流量(Mbps)和報文數量(PPS)。更多資訊,請參見設定流量清洗閾值。
資產地區
公網IP資產所屬的地區。
资产类型
公網IP資產的資產類型。
狀態
公網IP資產的DDoS安全狀態。
正常
黑洞中:單擊操作列的解除黑洞,在解除黑洞對話方塊中查看剩餘黑洞解除次數,確認解除黑洞後單擊確定。您可以查看黑洞事件記錄,具體操作,請參見查看黑洞事件詳情。
防護模版
公網IP資產關聯的防護原則範本。
如果為默认,表示該公網IP資產沒有設定防護策略,使用的DDoS原生防護的預設防護能力。如果為自訂的防護原則範本,您可以單擊模板,跳轉到防護配置頁面查看模板詳情。
近源壓制
是否開啟近源壓制。
操作
刪除:刪除防護對象。
解除黑洞:僅當資產IP狀態為黑洞中時支援該操作。
查看即時生效策略:查看該公網IP資產防護策略的具體資訊。
DDoS防護增強EIP(高防EIP)
資訊項
說明
IP
高防EIP。
資產歸屬
如果當前阿里雲帳號開通了多帳號管理功能且為管理帳號會顯示該項。
表示該公網IP資產所屬的阿里雲帳號。
清洗阈值
觸發流量清洗的最小訪問頻寬,包括流量(Mbps)和報文數量(PPS)。更多資訊,請參見設定流量清洗閾值。
資產地區
高防EIP所屬的地區。
资产类型
DDoS防護增強EIP(高防EIP)。
端口数量
高防EIP下配置了連接埠防護的連接埠數量。您可以單擊目標IP左側的
,查看哪些連接埠配置了防護策略。狀態
公網IP資產的DDoS安全狀態。
正常
黑洞中:單擊操作列的解除黑洞,在解除黑洞對話方塊中查看剩餘黑洞解除次數,確認解除黑洞後單擊確定。您可以查看黑洞事件記錄,具體操作,請參見查看黑洞事件詳情。
防護模版
高防EIP關聯的防護原則範本。
如果為默认,表示該高防EIP沒有設定防護策略,使用的DDoS原生防護的預設防護能力。如果為自訂的防護原則範本,您可以單擊模板,跳轉到防護配置頁面查看模板詳情。
近源壓制
是否開啟近源壓制。
操作
添加端口:添加指定連接埠。
解除黑洞:僅當高防EIP狀態為黑洞中時支援該操作。
查看即時生效策略:查看該高防EIP防護策略詳情。
刪除防護對象
在防护对象頁面,選擇目標執行個體。
在資產列表中,定位到目標公網IP資產,單擊操作列的刪除。
在刪除防護對象對話方塊中查看提示資訊,然後單擊確定。