DDoS高防支援針對網域名稱設定黑名單和白名單,以攔截或允許存取指定IP的訪問請求,且不經過任何防護策略過濾。本文介紹如何設定針對網域名稱的黑白名單。
功能介紹
網站業務接入DDoS高防後,若存在對網站業務訪問量較大的惡意IP,您可以將這些IP添加至針對網域名稱的黑名單,攔截其訪問請求。對於企業內部辦公網的IP段、業務介面調用IP或其它已確認正常的IP,您可以將這些IP添加至針對網域名稱的白名單予以允許存取,來自白名單IP的訪問請求不會被攔截。黑名單和白名單中的IP出現衝突,遵循白名單優先原則。
DDoS高防支援兩種黑白名單,針對DDoS高防執行個體的黑白名單和針對網域名稱的黑白名單。
針對DDoS高防執行個體的黑白名單:對DDoS高防執行個體防護的所有業務生效,連接埠業務可以設定該黑白名單。詳細資料,請參見設定黑白名單(針對高防執行個體IP)。
針對網域名稱的黑白名單:即本文介紹的內容,僅對指定網域名稱生效。
策略生效時間長度
永久生效。
注意事項
針對單個網域名稱,每個黑名單或白名單最多可以配置500個IP或IP段。
開啟針對網域名稱的黑白名單後,黑白名單設定將應用到所有與網域名稱關聯的DDoS高防執行個體,針對網域名稱的訪問流量即刻生效。
說明在部分情況下,可能需要經過一些訪問流量和時間後,黑白名單(針對網域名稱)設定才會真正生效。如果黑白名單(針對網域名稱)開啟後,設定未立即生效,請嘗試繼續訪問網域名稱數次。
黑白名單配置限制:
IPv4的DDoS高防執行個體僅支援配置IPv4格式的IP或網段,IPv6的DDoS高防執行個體僅支援配置IPv6格式的IP或網段。
IPv4的網段支援/8~/32,IPv6網段支援/32~/128。
IPv4地址不支援配置為0.0.0.0和255.255.255.255。IPv6地址不支援配置為::和ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff。
前提條件
已將網站業務接入DDoS高防。具體操作,請參見添加網站配置。
操作步驟
登入DDoS高防控制台。
在頂部功能表列左上方處,根據DDoS高防產品選擇地區。
DDoS高防(中國內地):選擇中國內地地區。
DDoS高防(非中國內地):選擇非中國內地地區。
在左側導覽列,選擇。
在通用防護策略頁面,單擊網站業務DDoS防護頁簽,並在左側網域名稱列表選擇要設定的網域名稱。
在黑/白名單地區,單擊右下角的設定。
在設定黑/白名單對話方塊中,分別設定黑名單和白名單,並單擊確定。
支援IP或IP/掩碼格式,多個IP或IP段之間用英文逗號(,)分隔。
在黑/白名單地區,開啟狀態開關,是黑白名單設定生效。
相關文檔
您可以在攻擊分析頁面,查看異常的來源IP,並將其添加到黑名單中。詳細資料,請參見攻擊分析。