文档中心 BGP 高防 IP 操作指南 防护配置 配置清洗阈值与防护等级

配置清洗阈值与防护等级

最近更新时间:2019-07-02 12:04:21

登录 DDoS 防护(大禹)管理控制台,选择【BGP高防IP】>【防护配置】,从实例下拉菜单中选择目标实例。在【DDoS 防护】区域可设置【防护状态】、【清洗阈值】、【防护等级】、【业务场景】和【高级策略】。

说明:

仅当【防护状态】为状态时,配置项才可见。若手动将防护状态关闭,则配置项隐藏且配置不生效;重新开启后,配置项可见且保持原有的配置数据。

  • 防护状态

    用户可根据实际业务需求开启或关闭防护。关闭防护时,可进行关闭时长的设置,目前只能临时关闭防护1-6小时,超过所设置的时长或当攻击流量超过 100wpps 或 2Gbps 时,自动开启防护。

  • 清洗阈值

    清洗阈值是高防产品启动清洗动作的阈值。当流量小于阈值时,即使检测到攻击也不会进行清洗操作。

    说明:

    若明确该清洗阈值,可进行自定义设置。若无法明确该清洗阈值,DDoS 防护系统将根据 AI 算法自动学习并生成一套专属的默认阈值。

  • 防护等级

    用户可根据实际业务需求设置防护等级,各个防护等级的具体防护操作如下表:

    防护等级 防护操作 描述
    宽松
    • 过滤明确攻击特征的 SYN、ACK 数据包。
    • 过滤不符合协议规范的 TCP、UDP、ICMP 数据包。
    • 过滤具有明确攻击特征的 UDP 数据包。
    清洗策略相对宽松,仅对具有明确攻击特征的攻击包进行防护。
    建议在怀疑有误杀时启用,遇到复杂攻击时可能会有攻击透传。
    正常
    • 过滤明确攻击特征的 SYN、ACK 数据包。
    • 过滤不符合协议规范的 TCP、UDP、ICMP 数据包。
    • 过滤具有明确攻击特征的 UDP 数据包。
    • 过滤常见基于 UDP 的攻击数据包。
    • 对部分访问源 IP 进行主动验证。
    清洗策略适配绝大多数业务,可有效防护常见攻击。
    默认为正常模式。
    严格
    • 过滤明确攻击特征的 SYN、ACK 数据包。
    • 过滤不符合协议规范的 TCP、UDP、ICMP 数据包。
    • 过滤具有明确攻击特征的 UDP 数据包。
    • 过滤常见基于 UDP 的攻击数据包。
    • 对部分访问源 IP 进行主动验证。
    • 过滤 ICMP 攻击包。
    • 过滤常见的 UDP 攻击数据包。
    • UDP 数据包严格检查。
    清洗策略相对严格,建议在正常模式出现攻击透传时使用。

    说明:

    如果业务需要使用 UDP,建议联系 腾讯云技术支持 进行策略定制,以免严格模式影响业务。

  • 业务场景

    用户根据需求,从已创建的业务场景中选择匹配的一个,支持修改。当选择某一个业务场景后,对应“高级策略”会自动匹配该业务场景生成的策略。

  • 高级策略

    用户可根据业务防护特性,从已创建高级策略中选择匹配的一个高级策略,支持修改。