防护增强型云产品时,针对非网站业务的TCP连接资源耗尽型攻击(非Web类应用层CC攻击),您可以设置端口防护策略,通过设置精细化应用层特征检测与过滤,放行或丢弃包含指定特征的业务流量。本文介绍如何设置端口防护策略。
注意事项
标准型云产品仅支持IP防护策略,不支持端口防护策略。增强型云产品既支持IP防护策略,也支持端口防护策略,同时配置时生效顺序是IP防护策略>端口防护策略。
一个端口只允许绑定一个端口防护策略。
功能当前公测中,如果需要开通请联系商务经理。
适用范围
已在防护对象中配置增强型云产品的端口。具体操作,请参见防护对象。
操作步骤
登录流量安全产品控制台。
在左侧导航栏,选择。
单击新建策略,输入策略名称,策略类型选择端口防护策略,然后单击确定。
在策略创建成功对话框中,单击确定,跳转至添加规则页面。
在添加规则页面单击新增规则,为策略模板设置防护规则后,单击下一步。
规则名称:自定义规则名称。每个策略模板最多可以添加10条防护规则。
匹配条件:单击添加条件,配置策略匹配条件。
说明最多支持10个条件。
规则类型:可选字符串/十六进制。
区间匹配:开始、结束位置:0-1499,开始位置<=结束位置。
逻辑符:目前仅支持包含/不包含。
匹配内容:
规则类型为字符串:匹配内容长度不大于1500,结束位置-开始位置+1 >= 匹配内容长度。
规则类型为十六进制,匹配内容必须是十六进制字符,长度不大于3000,且必须是偶数。 结束位置-开始位置+1 >= 匹配内容长度/2。
动作:
观察:仅只记录命中情况,不进行拦截。
阻断:针对这次请求进行丢弃当前操作。
在生效资产列表的待选择对象区域,选择防护实例。
选择需要防护的资产IP后,在端口/协议区域勾选要防护具体端口的。
配置关闭后,单击确认添加。
相关操作
修改端口防护策略模板:在防护配置页面左上角,下拉框选择端口防护策略,定位到目标策略,单击操作列的修改防护策略。
重要修改策略模板后,该模板关联的防护对象将执行修改后的防护策略,请谨慎操作。
删除端口防护策略模板:在防护配置页面,选择端口防护策略,定位到目标策略,单击操作列的删除。
重要删除策略模板时,如果策略已关联防护对象,则不支持删除。如果确认需要删除,请先删除该模板关联的防护对象。
为策略模板添加或删除防护对象:在防护配置页面,选择端口防护策略,定位到目标策略,单击操作列的关联防护对象,为策略模板添加或删除防护对象。