全部产品
Search
文档中心

DDoS 防护:设置全局防护策略

更新时间:Jul 09, 2024

业务接入DDoS高防实例后,实例会默认绑定全局防护策略,策略可以在攻击发生的瞬间有效减少攻击透过所带来的危害。本文介绍全局防护策略的防护等级,以及如何调整防护等级。

什么是全局防护策略

全局防护策略是DDoS防护引擎在日常海量攻防事件中沉淀的通用防护策略,可以缓解已知特征的流量型攻击,在攻击发生时即刻生效,减少已知特征攻击发生瞬间出现的攻击透过的危害。 

全局防护策略是在一个高防实例上应用的统一防护规则,这些规则对实例上所有绑定的业务资源生效。无论是多个网站、应用服务还是跨地区的业务节点,只要它们通过同一个高防实例进行保护,都会受到全局防护策略的保护。

说明

全局防护策略仅在DDoS高防实例IP处于被攻击状态时生效。

防护等级介绍

默认防护策略包括正常、宽松、严格三个防护等级,购买DDoS高防实例后,全局防护策略的防护等级默认为正常。如果默认防护策略不满足您的要求,请联系您的商务经理定制防护策略。

防护等级

防护操作

说明

宽松

  • 过滤不符合协议规范的畸形报文

  • 过滤明确攻击特征的TCP/UDP/ICMP报文

  • 过滤IP分片报文及非TCP/非UDP/非ICMP的协议

  • 过滤不满足转发端口协议的全部流量

仅防护明显攻击特征报文,存在部分复杂攻击透传风险,建议仅在出现业务误拦截情况下选择和开启。

正常

  • 过滤不符合协议规范的畸形报文

  • 过滤明确攻击特征的TCP/UDP/ICMP报文

  • 过滤IP分片报文及非TCP/非UDP/非ICMP的协议

  • 过滤不满足转发端口协议的全部流量

  • 对部分异常访问源IP进行校验及限速

  • 对UDP报文进行校验及限制

兼顾业务可用性和防护效果,适用于绝大多数业务,可有效防护常见DDoS攻击。

严格

  • 过滤不符合协议规范的畸形报文

  • 过滤明确攻击特征的TCP/UDP/ICMP报文

  • 过滤IP分片报文及非TCP/非UDP/非ICMP的协议

  • 过滤不满足转发端口协议的全部流量

  • 对部分访问源IP进行严格的校验及限速

  • 对UDP报文进行严格校验及限制

防护策略较严格,极端情况下存在误拦截风险,建议仅在出现攻击透传情况下选择和开启。

前提条件

已将网站业务或非网站业务接入DDoS高防。具体操作,请参见添加网站配置配置端口转发规则

设置全局防护策略模板

  1. 登录DDoS高防控制台

  2. 在左侧导航栏,选择防护设置 > 通用防护策略

  3. 基础设施DDoS防护页签的DDoS全局防护策略区域,调整防护策略,支持调整为宽松、正常、严格。