区域封禁即在DDoS高防清洗机房对指定地域的访问流量进行一键封禁,达到阻断非法请求的目的。本文介绍如何设置区域封禁。
功能介绍
DDoS高防支持两种区域封禁策略,针对DDoS高防实例的区域封禁和针对域名的区域封禁。
针对DDoS高防实例的区域封禁:即本文介绍的内容,封禁策略对DDoS高防实例防护的所有业务生效。
针对域名的区域封禁:封禁策略仅对域名生效,详细信息,请参见设置区域封禁(针对域名)。
一般情况下,端口业务请配置针对DDoS高防实例的区域封禁,网站业务请配置针对域名的区域封禁。同时配置时,针对DDoS高防实例的区域封禁优先生效。
例如,您为DDoS高防实例配置了区域封禁,封禁海外地域流量,无论该DDoS高防实例绑定的域名,是否配置了区域封禁(针对域名),海外用户都不能访问该域名。
应用场景
假设访问DDoS高防实例的正常用户均来自中国,您可以为DDoS高防实例设置区域封禁,封禁来自海外地域的访问请求。
策略生效时长
区域封禁策略配置后长期有效。
区域封禁VS近源流量压制
区域封禁在DDoS高防清洗机房内部实现,在靠近被攻击目标的位置丢弃特定区域的流量(近目的流量封禁)。区域封禁根据源IP的归属地域在DDoS高防中识别过滤,并不能减少进入高防网络的攻击流量,适用于防护连接资源消耗型攻击。
相比于区域封禁,近源流量压制一般通过运营商骨干网核心路由器,在靠近攻击源的位置丢弃特定区域的流量(例如海外流量)。更多信息,请参见设置近源流量压制。
目前仅DDoS高防(中国内地)支持近源流量压制功能。
使用限制
仅增强功能套餐的DDoS高防实例支持该功能。如果您的DDoS高防实例是标准功能套餐,请先升级实例。
该功能不支持批操作。如果您需要对多个DDoS高防实例开启区域封禁,需要分别设置。
前提条件
已开通增强功能套餐的DDoS高防实例。更多信息,请参见购买DDoS高防实例。
操作步骤
登录DDoS高防控制台。
在顶部菜单栏左上角处,选择地域。
DDoS高防(中国内地):选择中国内地地域。
DDoS高防(非中国内地):选择非中国内地地域。
在左侧导航栏,选择
。在基础设施DDoS防护页签下,从左侧实例列表中选择要设置的DDoS高防实例。
说明您可以使用实例ID、实例备注搜索目标实例。
定位到区域封禁配置区域,单击设置。
在封禁区域设置页面,勾选要封禁的访问请求的来源地区,并单击确定。
回到区域封禁配置区域,开启区域封禁的状态开关,为DDoS高防实例应用区域封禁设置。