配置清洗阈值与防护等级

最近更新时间:2020-02-12 10:33:39

应用场景

DDoS 高防 IP 服务提供防护策略调整功能,针对 DDoS 攻击提供三种防护等级供您选择,各个防护等级的具体防护操作如下:

注意:

如果业务需要使用 UDP,建议联系 腾讯云技术支持 进行策略定制,以免严格模式影响业务。

防护等级 防护操作 描述
宽松
  • 过滤明确攻击特征的 SYN、ACK 数据包。
  • 过滤不符合协议规范的 TCP、UDP、ICMP 数据包。
  • 过滤具有明确攻击特征的 UDP 数据包。
清洗策略相对宽松,仅对具有明确攻击特征的攻击包进行防护。
建议在怀疑有误杀时启用,遇到复杂攻击时可能会有攻击透传。
正常
  • 过滤明确攻击特征的 SYN、ACK 数据包。
  • 过滤不符合协议规范的 TCP、UDP、ICMP 数据包。
  • 过滤具有明确攻击特征的 UDP 数据包。
  • 过滤常见基于 UDP 的攻击数据包。
  • 对部分访问源 IP 进行主动验证。
清洗策略适配绝大多数业务,可有效防护常见攻击。
默认为正常模式。
严格
  • 过滤明确攻击特征的 SYN、ACK 数据包。
  • 过滤不符合协议规范的 TCP、UDP、ICMP 数据包。
  • 过滤具有明确攻击特征的 UDP 数据包。
  • 过滤常见基于 UDP 的攻击数据包。
  • 对部分访问源 IP 进行主动验证。
  • 过滤 ICMP 攻击包。
  • 过滤常见的 UDP 攻击数据包。
  • UDP 数据包严格检查。
清洗策略相对严格,建议在正常模式出现攻击透传时使用。
默认情况下,您所购买的 DDoS 高防 IP 实例采用正常防护等级,您可以根据实际业务情况自由调整 DDoS 防护等级。同时,您还可以自定义设置清洗阈值,当攻击流量超过设置的阈值时,将启动清洗策略。

配置示例

下面以配置华南地区(广州)的实例“bgpip-000002ai”为例,进行配置说明:

  1. 登录 DDoS 防护管理控制台,在左侧导航栏选择【DDoS 高防IP】>【资产列表】,在地区选择框中,单击【华南地区(广州)】。
  2. 在下方实例列表中,找到目标高防 IP 实例 ID 为“bgpip-000002ai”的高防 IP 实例,在右侧操作项中,单击【防护配置】,进行配置。
  3. 在弹出的 DDoS 防护配置的页面中,开启【防护状态】,进行清洗阈值、防护等级的设置。
    说明:

    仅当【防护状态】为状态时,配置项才可见。若手动将防护状态关闭,则配置项隐藏且配置不生效。重新开启后,配置项可见且保持原有的配置数据。


    配置参数说明:
    • 防护状态
      默认开启,您可根据实际业务需求开启或关闭防护。关闭防护时,可进行关闭时长的设置,目前只能临时关闭防护1 - 6小时,超过所设置的时长或当攻击流量超过100wpps或2Gbps时,DDoS 高防包将自动开启防护。
    • 清洗阈值
      • 清洗阈值是高防产品启动清洗动作的阈值。当流量小于阈值时,即使检测到攻击也不会进行清洗操作。
      • 默认在开启“防护状态”的情况下,您业务刚接入的 DDoS 高防IP实例的清洗阈值采用默认值,并随着接入业务流量的变化规律,系统自动学习形成一个基线值。您可以根据实际业务情况自由设置清洗阈值。
        说明:

        若明确该清洗阈值,可进行自定义设置。若无法明确该清洗阈值,DDoS 防护系统将根据 AI 算法自动学习并生成一套专属的默认阈值。

    • 防护等级
      默认在开启“防护状态”的情况下,业务刚接入的 DDoS 高防 IP 实例采用正常防护等级,您可以根据实际业务防护需求自由调整 DDoS 防护等级。
    • 其他配置项
      • 业务场景
        您可以根据实际业务需求,从已创建的业务场景中选择一个匹配的业务场景,且支持修改。当选择某一个业务场景后,对应的“高级策略”会自动匹配该业务场景生成的策略。详情请参见 配置业务场景 ,进行业务场景创建。
      • 高级策略
        您可根据业务防护特性,从已创建的高级策略中选择一个匹配的高级策略,且支持修改。详情请参见 管理 DDoS 高级防护策略 ,进行高级防护策略创建。
      • DDoS 攻击告警阈值
        DDoS 攻击告警阈值配置功能。若检测的指标超过您设定的阈值,将触发告警,并向您推送攻击告警信息。详情请参见 配置攻击告警阈值 ,进行告警指标设置。
      • TCP 业务 AI 增强防护
        针对四层 TCP 业务,DDoS 高防 IP 提供 TCP 业务 AI 增强防护功能。功能开启后,通过 AI 模型日常业务特征的自学习,能够自动识别业务流量与攻击流量,有效防护线上的四层 CC 攻击。
        注意:

        目前 TCP 业务 AI 增强防护功能仅对白名单开放。

目录