产品动态
安全公告
产品公告
配置端口过滤
功能说明
端口过滤用于通过指定端口和协议的方式精准制定防护策略,管控客户端可访问 EdgeOne 的端口和协议。开启端口过滤后,可以根据需求自定义协议类型、源端口范围、目的端口范围的组合,并对匹配中的规则进行设置拦截、放行、继续防护的策略动作。
说明:
该功能仅在四层代理实例的防护级别为增强防护或卓越防护时支持,其他场景均不支持配置。
适用场景
源站存在 UDP 业务,通过端口过滤 UDP 反射攻击:如果当前您的源站业务存在 UDP 连接,无法直接封禁 UDP 协议访问,您可以通过在端口过滤中,配置在 DDoS 清洗需拦截的 UDP 访问端口,防止 UDP 反射攻击透传。常见的 UDP 反射攻击端口包括:1-52、54-161、389、1900、11211。
清洗非允许的端口访问来源:当您的源站仅开放指定端口访问时,可以通过端口过滤,配置在 DDoS 清洗后仅允许访问的端口,直接丢弃所有来自其余端口的访问连接,减少攻击透传。
操作步骤
例如针对站点
example.com 下的所有业务域名,业务仅对外开放了 TCP 协议的 110-155 号端口,其余端口不允许访问。操作步骤如下:1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,进入服务总览,单击网站安全加速内需配置的站点。
2. 在站点详情页面,单击四层代理 > 四层实例列表,进入四层代理列表页。
3. 选择需要配置的四层代理实例,单击防护策略配置。
4. 在端口过滤卡片中,单击设置,进入端口过滤页面。
5. 在端口过滤页面中,单击新建,创建端口过滤规则,以当前场景为例,新建两条规则,规则 1 的协议选择为全部协议,源端口范围和目的端口范围均为 1-65535,动作为拦截,规则 2 的协议选择为 TCP 协议,源端口范围和目的端口范围均为 110-155,动作为放行,单击保存。
字段 | 说明 |
协议 | 可选全部、TCP 或 UDP 协议 |
源端口范围 | 指客户端发起访问的端口信息,支持填写范围:1-65535 |
目的端口范围 | 指客户端访问的目的端口信息,支持填写范围:1-65535 |
动作 | 拦截:阻断该请求。 放行:放行该请求,并不再匹配剩余的防护策略。 继续防护:放行当前请求,继续匹配其余的防护策略。 |
文档反馈