全部产品
Search
文档中心

DDoS 防护:IP防护策略

更新时间:Jan 12, 2024

防护标准型云产品或增强型云产品时,针对网络层及传输层的大流量DDoS攻击,您可以设置IP防护策略,根据防护规则过滤或放行业务流量,提升DDoS防护效果。本文介绍如何设置IP防护策略。

注意事项

  • 标准型云产品仅支持IP防护策略,不支持端口防护策略。增强型云产品既支持IP防护策略,也支持端口防护策略,同时配置时生效顺序是IP防护策略>端口防护策略。

  • 一个公网IP资产只允许绑定一个IP防护策略。

前提条件

  • 防护标准型云产品时:无论您使用的是原生防护1.0、2.0,还是后付费版本,请先将公网IP资产添加到防护对象中。具体操作,请参见防护对象

  • 防护增强型云产品时:购买增强型云产品后,DDoS原生防护会自动将其添加到防护对象中,无需您手动操作。

操作步骤

  1. 登录流量安全产品控制台

  2. 在左侧导航栏,选择网络安全 > DDoS原生防护 > 防护配置

  3. 单击新建策略,输入策略名称,策略类型选择IP防护策略,然后单击确定

  4. 策略创建成功对话框中,单击确定,设置详细的防护规则,然后单击下一步

    重要
    • 规则生效优先级:需要注意部分规则仅攻击状态生效,具体请参见下表。

      • 标准型云产品:黑名单>ICMP协议禁用>白名单>区域封禁>端口封禁>指纹过滤。

      • 增强型云产品:黑名单>ICMP协议禁用>白名单>端口封禁>指纹过滤>反射攻击过滤>源限速。

    • 规则生效时长:除黑名单需要设置生效时长外,其余规则均永久生效。

    规则名称

    规则介绍

    标准型云产品

    增强型云产品

    说明

    AI智能防护

    智能大数据分析引擎自学习业务流量基线,自适应防护网络层及传输层DDoS攻击。

    ×

    重要

    创建策略模板后功能默认开启,防护等级为正常,大概需要3天业务流量训练后达到最佳防护效果。

    结合历史业务及专家经验算法,各等级的防护效果如下:

    • 宽松:针对攻击明显的恶意IP进行防护,存在一定漏过,误杀率低。

    • 正常:针对攻击明显,疑似的恶意IP进行防护,平衡防护效果及误杀。

    • 严格:针对攻击防御效果强,但存在一定概率误杀。

    ICMP协议禁用

    流量清洗时直接丢弃ICMP协议流量,过滤ICMP攻击并减少服务器被探测的风险。

    攻击时生效

    攻击时生效

    ICMP协议禁用对白名单中IP也会生效,即开启该策略后,来自白名单IP的ICMP协议流量也会被丢弃。

    重要

    禁用后会导致ping命令将无法得到响应,进行网络诊断与维护前请先解除禁用。

    黑白名单

    针对源IP设置过滤或放行规则,直接丢弃或放行指定源IP的流量。

    攻击时生效

    常态化生效

    添加黑名单时,需要设置黑名单超时时间(1~10080分钟),设置后对当前黑名单中所有IP均生效。

    黑白名单可以分别添加2000个IP。

    区域封禁

    基于地理区域的访问请求封禁策略。开启后,由封禁区域到目的IP的流量将被丢弃。

    攻击时生效

    常态化生效

    支持您按照地区或国家进行封禁。

    端口封禁

    针对UDP或TCP协议,设置源端口或目的端口过滤规则,直接丢弃来自指定协议及对应端口的流量,可以用于过滤UDP反射攻击。

    攻击时生效

    攻击时生效

    最多支持8条规则。

    重要

    建议您根据业务场景选择以下推荐配置,提升防护效果:

    • 如果生效资产中只有TCP业务(无UDP业务),建议您封禁全部UDP源端口。但如果您后续增加了UDP业务,请及时调整防护策略。

    • 如果生效资产中存在UDP业务,建议您封禁常见的UDP反射源端口,包括1~52、54~161、389、1900、11211。

    源限速

    对访问频率超出阈值的源IP地址进行限速。

    ×

    常态化生效

    支持源PPS限速源带宽限速源SYN PPS限速源SYN 带宽限速。设置限速阈值后,您也可以设置60秒内5次超限就将该源IP加入黑名单,即所有来自该IP的访问请求会被丢弃。

    反射攻击过滤

    仅针对UDP协议流量生效,处理UDP协议流量时,直接丢弃您指定的UDP反射源端口的流量。

    ×

    常态化生效

    提供了一键过滤策略自定义过滤策略

    • 一键过滤策略:列出了常见的UDP反射攻击,如果您的业务不涉及这些UDP源端口,建议您全部封禁。

    • 自定义过滤策略:自定义反射源端口,最多设置20个端口,端口不能与一键过滤策略中的端口重复。

    指纹过滤

    由攻击工具伪造的攻击报文通常都拥有相同的特征字段,比如都包含某一字符串或整个报文内容一致,通过对数据包中指定位置的内容进行特征匹配,根据匹配结果设置过滤、放行或限速规则。

    攻击时生效

    攻击时生效

    配置指导:

    • 协议:TCP或UDP。

    • 开始源端口 - 结束源端口:源端口范围。可选范围:0~65535。

    • 开始目的端口 - 结束目的端口:目的端口范围。可选范围:0~65535。

    • 最小包长 - 最大包长:IP数据包的长度范围。可选范围:1~1500,单位:Byte。

    • 偏移量:UDP或TCP头部后数据体(payload)的偏移量,可选范围:0~1500,单位:Byte。

      偏移量为0时,从数据体的第一字节开始匹配。

    • 检测载荷:要匹配的数据体(payload)内容,输入十六进制字符串,长度为1~15字节。

    • 匹配后动作:匹配中特征后,对流量执行的操作。可选值:通过丢弃源IP限速session限速

      选择源IP限速session限速后,必须设置限速值。取值范围:1~100000,单位:pps。

    高防回源加白

    将DDoS高防的回源IP添加到云产品的访问控制策略白名单中。

    ×

    防护增强型云产品时,流量会通过DDoS高防清洗中心转发回源,强烈建议开启高防回源加白功能,避免业务流量误伤。

  5. 生效资产列表待选择对象区域,根据地域和实例名称选择公网IP资产,单击确认添加

相关操作

  • 修改IP防护策略模板:在防护配置页面,选择端口防护策略,定位到目标策略,单击操作列的修改防护规则

    重要

    修改策略模板后,该模板关联的防护对象将执行修改后的防护策略,请谨慎操作。

  • 删除IP防护策略模板:在防护配置页面,选择端口防护策略,定位到目标策略,单击操作列的删除

    重要

    删除策略模板时,如果策略已关联防护对象,则不支持删除。如果确认需要删除,请先删除该模板关联的防护对象。

  • 为策略模板添加或删除防护对象防护配置页面,选择端口防护策略,定位到目标策略,单击操作列的关联防护对象,为策略模板添加或删除防护对象。

配置示例

对于标准云产品,针对网络层、传输层的大流量攻击,您可以基于业务特征,设置IP防护策略。

配置项

说明

ICMP协议禁用

如果您的业务不涉及ICMP协议,可以将ICMP协议封禁。

黑白名单

受到攻击后,您可以在攻击分析页面,将排名靠前的可疑源IP添加到黑名单中,最多可以添加2000个IP。更多信息,请参见攻击分析

区域封禁

您可以将非业务访问的地域全部封禁,例如您没有海外业务,可以将非中国内地的地域全部封禁。

端口封禁

如果您的业务不涉及UDP端口,可以将所有的UDP端口一键封禁。

指纹过滤

您可以通过分析攻击流量,根据特征配置指纹过滤。