地區封鎖即在DDoS高防清洗機房對指定地區的訪問流量進行一鍵封鎖,達到阻斷非法請求的目的。本文介紹如何設定地區封鎖。
功能介紹
DDoS高防支援兩種地區封鎖策略,針對DDoS高防執行個體的地區封鎖和針對網域名稱的地區封鎖。
針對DDoS高防執行個體的地區封鎖:即本文介紹的內容,封鎖策略對DDoS高防執行個體防護的所有業務生效。
針對網域名稱的地區封鎖:封鎖策略僅對網域名稱生效,詳細資料,請參見設定地區封鎖(針對網域名稱)。
一般情況下,連接埠業務請配置針對DDoS高防執行個體的地區封鎖,網站業務請配置針對網域名稱的地區封鎖。同時配置時,針對DDoS高防執行個體的地區封鎖優先生效。
例如,您為DDoS高防執行個體配置了地區封鎖,封鎖海外地區流量,無論該DDoS高防執行個體綁定的網域名稱,是否配置了地區封鎖(針對網域名稱),海外使用者都不能訪問該網域名稱。
應用情境
假設訪問DDoS高防執行個體的正常使用者均來自中國,您可以為DDoS高防執行個體設定地區封鎖,封鎖來自海外地區的訪問請求。
策略生效時間長度
地區封鎖策略配置後長期有效。
地區封鎖VS近源流量壓制
地區封鎖在DDoS高防清洗機房內部實現,在靠近被攻擊目標的位置丟棄特定地區的流量(近目的流量封鎖)。地區封鎖根據源IP的歸屬地區在DDoS高防中識別過濾,並不能減少進入高防網路的攻擊流量,適用於防護串連資源消耗型攻擊。
相比於地區封鎖,近源流量壓制一般通過電訊廠商骨幹網核心路由器,在靠近攻擊源的位置丟棄特定地區的流量(例如海外流量)。更多資訊,請參見設定近源流量壓制。
目前僅DDoS高防(中國內地)支援近源流量壓制功能。
使用限制
僅增強功能套餐的DDoS高防執行個體支援該功能。如果您的DDoS高防執行個體是標準功能套餐,請先升級執行個體。
該功能不支援批操作。如果您需要對多個DDoS高防執行個體開啟地區封鎖,需要分別設定。
前提條件
已開通增強功能套餐的DDoS高防執行個體。更多資訊,請參見購買DDoS高防執行個體。
操作步驟
登入DDoS高防控制台。
在頂部功能表列左上方處,選擇地區。
DDoS高防(中國內地):選擇中國內地地區。
DDoS高防(非中國內地):選擇非中國內地地區。
在左側導覽列,選擇
。在基礎設施DDoS防護頁簽下,從左側執行個體列表中選擇要設定的DDoS高防執行個體。
說明您可以使用執行個體ID、執行個體備忘搜尋目標執行個體。
定位到地區封鎖配置地區,單擊設定。
在封鎖地區設定頁面,勾選要封鎖的訪問請求的來源地區,並單擊確定。
回到地區封鎖配置地區,開啟地區封鎖的狀態開關,為DDoS高防執行個體應用地區封鎖設定。