防护增强型云产品时,针对非网站业务的TCP连接资源耗尽型攻击(非Web类应用层CC攻击),您可以设置端口防护策略,通过设置精细化应用层特征检测与过滤,放行或丢弃包含指定特征的业务流量。本文介绍如何设置端口防护策略。
注意事项
标准型云产品仅支持IP防护策略,不支持端口防护策略。增强型云产品既支持IP防护策略,也支持端口防护策略,同时配置时生效顺序是IP防护策略>端口防护策略。
一个端口只允许绑定一个端口防护策略。
前提条件
已在防护对象中配置增强型云产品的端口。具体操作,请参见防护对象。
操作步骤
登录流量安全产品控制台。
在左侧导航栏,选择。
单击新建策略,输入策略名称,策略类型选择端口防护策略,然后单击确定。
在策略创建成功对话框中,单击确定。
单击新增规则,为策略模板设置防护规则后,单击下一步。
配置项
说明
规则名称
自定义规则名称。每个策略模板最多可以添加10条防护规则。
会话流启动规则匹配的最小字节数阈值
会话流启动检测的最小字节数,取值0~2048。默认为0,代表会话存在发送的字节,字节数大于0即生效。
例如取值为1500,会话流长度小于1500字节时不会被检测,大于等于1500字节时才会被检测。
规则类型
检测哪种类型的会话流。取值:字符串匹配(ASCII)、十六进制匹配。
匹配条件
起始位置:检测的起始位置,取值0~2047。例如取值为0,表示从会话流的第1个字节开始检测。取值为1,表示从会话流的第2个字节开始检测,以此类推。
检测窗口长(从起始位置检测多少Bytes):从起始位置开始检测多少个字节,取值1~2048。例如取值为20,如果起始位置取值为10,则检测会话流第11~30个字节的内容。
匹配内容:匹配的内容。长度不超过2048的字符串。
优先级
检测优先级,数字越小优先级越高。取值为1~100。
逻辑符
设置是命中匹配条件执行相应动作,还是非命中匹配条件时执行相应动作。
动作
会话流的处理方式。固定取值丢弃。
在生效资产列表的待选择对象区域,根据地域、实例名称、IP筛选要添加规则的端口,勾选要防护的端口/协议后,单击确认添加。
相关操作
修改端口防护策略模板:在防护配置页面,选择端口防护策略,定位到目标策略,单击操作列的修改防护规则。
重要修改策略模板后,该模板关联的防护对象将执行修改后的防护策略,请谨慎操作。
删除端口防护策略模板:在防护配置页面,选择端口防护策略,定位到目标策略,单击操作列的删除。
重要删除策略模板时,如果策略已关联防护对象,则不支持删除。如果确认需要删除,请先删除该模板关联的防护对象。
为策略模板添加或删除防护对象:在防护配置页面,选择端口防护策略,定位到目标策略,单击操作列的关联防护对象,为策略模板添加或删除防护对象。
配置示例
例如,您的游戏业务部署在高防EIP,使用基于TCP的私有协议,通过8191、8192端口对外提供业务。建议您接入后日常封禁HTTP协议相关特征请求,或者遭受攻击后通过抓包等工具,分析攻击请求特征,调整端口防护策略。
封禁HTTP请求:
配置项 | 说明 |
会话流启动规则匹配的最小字节数阈值 | 设置为0。 |
规则类型 | 使用字符串匹配(ASCII)。 |
匹配条件 |
|
优先级 | 优先级设置为1。 |
逻辑符 | 设置为命中。 |
动作 | 设置为丢弃。当检测到会话流前3个字节为GET字符串时,丢弃该会话流。 |