BGP 高防包提供面向 DDoS 攻击的高级防护策略功能,用户可针对自身业务防护需求对 DDoS 防护策略进行调整和优化。通过黑白名单、禁用协议、禁用端口、报文特征过滤策略、连接耗尽防护、水印防护等功能,为业务提供针对性防护。
配置项 | 功能简介 | 生效时间 |
---|---|---|
黑白名单 | 基于 IP 地址级别的防护。
|
保存配置后即刻生效。 |
禁用协议 | 可禁用业务不使用的协议。 当检测到攻击行为时,大禹高防集群会清洗掉该协议的流量。 |
保存配置后即刻生效。 |
禁用端口 | 可禁用业务不使用的端口。 当检测到攻击行为时,大禹高防集群会清洗掉该端口的流量。 |
保存配置后即刻生效。 |
报文过滤特征 | 可以针对业务报文特征或攻击报文特征,将协议、端口范围、包长范围、是否检测载荷、偏移量、检查深度、是否包括特征字符串等条件进行组合,设定策略动作。 当检测到报文匹配到策略条件时,可以执行直接转发、丢弃、拉黑源 IP 或断开连接等操作。 |
保存配置后即刻生效。 |
限速 | 基于目的IP的防护,对访问协议进行限速控制。 | 保存配置后即刻生效。 |
拒绝海外流量 | 可拒绝来自中国(大陆地区及港澳台)以外的 TCP 流量请求。 | 被防护的 IP 处于被攻击状态时生效。 |
空连接防护 | 应对空连接攻击。 | 被防护的 IP 处于被攻击状态时生效。 |
连接耗尽防护 | 基于 IP 地址的防护,对于接入高防包的防护 IP 的连接速度、包长度等参数进行限制,实现缓解小流量的连接型攻击的防护功能。 | 保存配置后即刻生效。 |
异常连接检测 | 当一个源 IP 接收到的一个 TCP 连接符合所配置的参数特征时,将判断为异常连接,同时当该源 IP 所接收到的异常连接数超过所设置的最大异常连接数时,会被加入黑名单一定时间,禁止被访问。 | 保存配置后即刻生效。 |
水印防护 | 支持 UDP 和 TCP 报文,在配置的端口范围内,其载荷进行水印检测和剥离。通过接入水印防护,高效全面防护 4 层 CC 攻击,如模拟业务报文攻击和重放攻击等。
|
保存配置后即刻生效。 |
高级安全防护策略功能具有一定专业性,建议有相关经验的用户在阅读以下操作指南后根据实际情况进行配置。
登录 DDoS 防护(大禹)管理控制台,选择【BGP 高防包】>【防护配置】。在【DDoS 高级防护策略】页签,单击【添加新策略】。根据实际业务需求设置以下参数,单击【确定】。
策略名称
输入策略名称,长度为1 - 32个字符,不限制字符类型。
黑白名单
黑白 IP 名单之和最多支持添加100个 IP,批量添加的 IP 数不允许超过当前配额。
禁用协议
选择需要禁用的协议。
禁用端口
选择协议,然后填写对应需要禁用的端口。若某条记录中仅需禁用一个端口,则开始端口号和结束端口号填写相同值即可。单击列表下方的【增加】可新增多条记录。
报文过滤特征
支持将协议、端口范围、包长范围、是否检测载荷、偏移量、检查深度、是否包括特征字符串等条件进行组合,设定策略动作且即刻生效。
- 偏移量:表示报文内容中开始匹配的特征的位置。
- 检查深度:配合偏移量使用,表示从偏移量设定的位置开始向后匹配的报文内容长度。
- 策略:
- “丢弃报文”表示丢弃匹配该报文过滤特征的数据包。
- “丢弃且拉黑源 IP”表示丢弃匹配该报文过滤特征的数据包并将源 IP 临时拉黑一段时间。
- “丢弃且断开连接”表示丢弃匹配该报文过滤特征的数据包并断开 TCP 连接。
- “丢弃,断开连接且拉黑源 IP”表示丢弃匹配该报文过滤特征的数据包,同时断开 TCP 连接并将源 IP 临时拉黑一段时间。
- “直接转发”表示直接转发匹配该报文过滤特征的数据包。
限速
单击【添加】,选择需要限速的协议,设置限速阈值。支持限速的可选协议有 ICMP、TCP、UDP 和其他协议,这里的其他协议指除了 ICMP、TCP、UDP 以外的协议。
拒绝海外流量
勾选开启或关闭。BGP 高防包的防护引擎内置海外 IP 库,开启拒绝海外流量后将基于该 IP 库对来源进行判断并执行阻断。勾选【开启】时,需处于被攻击状态才生效。勾选【关闭】时即刻生效。
只有开启源 IP 最大异常连接数,以下参数才能进行配置。
水印防护
单击【开启】进行水印防护配置。填写指定的 TCP 协议防护端口和 UDP 协议防护端口,单击【确定】水印防护功能即刻开启。添加 DDoS 高级防护策略后,自动产生一条密钥信息,需要完成线下客户端接入水印配置。
TCP 协议防护端口、UDP 协议防护端口
TCP/UDP 防护端口最多可以配置5个端口段;不同端口段不可以互相重合;起止端口号相同则认为是一个端口;TCP 或 UDP 协议端口段中需要至少配置一条。
登录 DDoS 防护(大禹)管理控制台,选择【BGP 高防包】>【防护配置】。在【DDoS 高级防护策略】页签,单击目标策略所在行的【绑定资源】。
登录 DDoS 防护(大禹)管理控制台,选择【BGP 高防包】>【防护配置】。在【DDoS 高级防护策略】页签,单击目标策略所在行的【水印客户端文件下载】,线下完成客户端的接入。
登录 DDoS 防护(大禹)管理控制台,选择【BGP 高防包】>【防护配置】。在【DDoS 高级防护策略】页签,单击目标策略所在行的【水印密钥配置】。
最多可存在2个密钥,如果需要添加新密钥,请先删掉其中一个旧密钥;当仅有一个密钥生效时,不可将其停用或删除。
登录 DDoS 防护(大禹)管理控制台,选择【BGP 高防包】>【防护配置】。在【DDoS 高级防护策略】页签,单击目标策略所在行的【配置】。根据实际业务需求更新以下参数,单击【确定】保存修改。
当目的策略是以“业务场景名称 _ policy_ 序号”形式命名的,则不能对策略名称进行修改。
- 未绑定资源的策略可直接删除,已绑定资源的策略需要先将所有资源解绑再执行删除操作;策略删除后不可恢复,请谨慎操作。
- 不能对根据用户创建的业务场景自动生成的高级防护策略进行删除操作。
登录 DDoS 防护(大禹)管理控制台,选择【BGP 高防包】>【防护配置】。在【DDoS 高级防护策略】页签,单击目标策略所在行的【删除】。在弹出的对话框中,单击【确定】。
本页内容是否解决了您的问题?