IP防护策略

注意事项

• 标准型云产品仅支持IP防护策略，不支持端口防护策略。增强型云产品既支持IP防护策略，也支持端口防护策略，同时配置时生效顺序是IP防护策略>端口防护策略。

• 一个公网IP资产只允许绑定一个IP防护策略。

前提条件

• 防护标准型云产品时：无论您使用的是原生防护1.0、2.0，还是后付费版本，请先将公网IP资产添加到防护对象中。具体操作，请参见防护对象。

• 防护增强型云产品时：购买增强型云产品后，DDoS原生防护会自动将其添加到防护对象中，无需您手动操作。

操作步骤

1. 登录流量安全控制台的防护配置页面。

2. 单击新建策略，输入策略名称，策略类型选择IP防护策略，然后单击确定。

3. 在策略创建成功对话框中，单击确定，设置详细的防护规则，然后单击下一步。

   重要

   • 规则生效优先级：需要注意部分规则仅攻击状态生效，具体请参见下表。

     • 标准型云产品：黑名单>ICMP协议禁用>白名单>区域封禁>端口封禁>指纹过滤。

     • 增强型云产品：黑名单>ICMP协议禁用>白名单>端口封禁>指纹过滤>反射攻击过滤>源限速。

   • 规则生效时长：除黑名单需要设置生效时长外，其余规则均永久生效。

   规则名称	规则介绍	标准型云产品	增强型云产品	说明

   规则名称	规则介绍	标准型云产品	增强型云产品	说明
   AI智能防护	智能大数据分析引擎自学习业务流量基线，自适应防护网络层及传输层DDoS攻击。	×	√	重要 创建策略模板后功能默认开启，防护等级为正常，大概需要3天业务流量训练后达到最佳防护效果。 结合历史业务及专家经验算法，各等级的防护效果如下： 宽松：针对攻击明显的恶意IP进行防护，存在一定漏过，误杀率低。 正常：针对攻击明显，疑似的恶意IP进行防护，平衡防护效果及误杀。 严格：针对攻击防御效果强，但存在一定概率误杀。
   ICMP协议禁用	流量清洗时直接丢弃ICMP协议流量，过滤ICMP攻击并减少服务器被探测的风险。	√ 攻击时生效	√ 中国内地云产品：常态化生效。 非中国内地云产品：攻击时生效。	ICMP协议禁用对白名单中IP也会生效，即开启该策略后，来自白名单IP的ICMP协议流量也会被丢弃。 重要 禁用后会导致ping命令将无法得到响应，进行网络诊断与维护前请先解除禁用。
   黑/白名单	针对源IP设置过滤或放行规则，直接丢弃或放行指定源IP的流量。 重要 如果白名单放行的流量过大，基于云产品规格和云平台保障的原因，放行流量仍然可能会命中DDoS原生防护默认的目的IP限速策略。	√ 攻击时生效	√ 常态化生效	添加黑名单时，需要设置黑名单超时时间（1~10080分钟），设置后对当前黑名单中所有IP均生效。 黑白名单可以分别添加2000个IP。
   区域封禁	基于地理区域的访问请求封禁策略。开启后，由封禁区域到目的IP的流量将被丢弃。	√ 攻击时生效	√ 常态化生效	支持您按照地区或国家进行封禁。
   端口封禁	针对UDP或TCP协议，设置源端口或目的端口过滤规则，直接丢弃来自指定协议及对应端口的流量，可以用于过滤UDP反射攻击。	√ 攻击时生效	√ 中国内地云产品：常态化生效。 非中国内地云产品：攻击时生效。	最多支持8条规则。 重要 建议您根据业务场景选择以下推荐配置，提升防护效果： 如果生效资产中只有TCP业务（无UDP业务），建议您封禁全部UDP源端口。但如果您后续增加了UDP业务，请及时调整防护策略。 如果生效资产中存在UDP业务，建议您封禁常见的UDP反射源端口，包括1~52、54~161、389、1900、11211。
   源限速	对访问频率超出阈值的源IP地址进行限速。	×	√ 常态化生效	支持源PPS限速、源带宽限速、源SYN PPS限速、源SYN 带宽限速。设置限速阈值后，您也可以设置60秒内5次超限就将该源IP加入黑名单，即所有来自该IP的访问请求会被丢弃。
   反射攻击过滤	仅针对UDP协议流量生效，处理UDP协议流量时，直接丢弃您指定的UDP反射源端口的流量。	×	√ 常态化生效	提供了一键过滤策略和自定义过滤策略。 一键过滤策略：列出了常见的UDP反射攻击，如果您的业务不涉及这些UDP源端口，建议您全部封禁。 自定义过滤策略：自定义反射源端口，最多设置20个端口，端口不能与一键过滤策略中的端口重复。
   指纹过滤	由攻击工具伪造的攻击报文通常都拥有相同的特征字段，比如都包含某一字符串或整个报文内容一致，通过对数据包中指定位置的内容进行特征匹配，根据匹配结果设置过滤、放行或限速规则。	√ 攻击时生效	√ 中国内地云产品：常态化生效。 非中国内地云产品：攻击时生效。	配置指导： 协议：TCP或UDP。 开始源端口 - 结束源端口：源端口范围。可选范围：0~65535。 开始目的端口 - 结束目的端口：目的端口范围。可选范围：0~65535。 最小包长 - 最大包长：IP数据包的长度范围。可选范围：1~1500，单位：Byte。 偏移量：UDP或TCP头部后数据体（payload）的偏移量，可选范围：0~1500，单位：Byte。 偏移量为0时，从数据体的第一字节开始匹配。 检测载荷：要匹配的数据体（payload）内容，输入十六进制字符串，长度为1~15字节。输入时不需要带有十六进制的0x，例如需要匹配0xad时，只需填写ad。 匹配后动作：匹配中特征后，对流量执行的操作。可选值：通过、丢弃、源IP限速、session限速。 选择源IP限速、session限速后，必须设置限速值。取值范围：1~100000，单位：pps。
   高防回源加白	将DDoS高防的回源IP添加到云产品的访问控制策略白名单中。	×	√	防护增强型云产品时，流量会通过DDoS高防清洗中心转发回源，强烈建议开启高防回源加白功能，避免业务流量误伤。

4. 在生效资产列表的待选择对象区域，根据地域和实例名称选择公网IP资产，单击确认添加。

相关操作

• 修改IP防护策略模板：在防护配置页面，选择IP防护策略，定位到目标策略，单击操作列的修改防护规则。

  重要

  修改策略模板后，该模板关联的防护对象将执行修改后的防护策略，请谨慎操作。

• 删除IP防护策略模板：在防护配置页面，选择IP防护策略，定位到目标策略，单击操作列的删除。

  重要

  删除策略模板时，如果策略已关联防护对象，则不支持删除。如果确认需要删除，请先删除该模板关联的防护对象。

• 为策略模板添加或删除防护对象：在防护配置页面，选择IP防护策略，定位到目标策略，单击操作列的关联防护对象，为策略模板添加或删除防护对象。

配置示例

对于标准云产品，针对网络层、传输层的大流量攻击，您可以基于业务特征，设置IP防护策略。