文档中心 BGP 高防包 操作指南 防护配置 管理 DDoS 高级防护策略

管理 DDoS 高级防护策略

最近更新时间:2019-08-09 15:48:59

BGP 高防包提供面向 DDoS 攻击的高级防护策略功能,用户可针对自身业务防护需求对 DDoS 防护策略进行调整和优化。通过黑白名单、禁用协议、禁用端口、报文特征过滤策略、连接耗尽防护、水印防护等功能,为业务提供针对性防护。

配置项简介

配置项 功能简介 生效时间
黑白名单 基于 IP 地址级别的防护。
  • 白名单中的 IP,访问时将被直接放行,不经过任何防护策略过滤。
  • 黑名单中的 IP,访问时将会被直接阻断。
保存配置后即刻生效。
禁用协议 可禁用业务不使用的协议。
当检测到攻击行为时,大禹高防集群会清洗掉该协议的流量。
保存配置后即刻生效。
禁用端口 可禁用业务不使用的端口。
当检测到攻击行为时,大禹高防集群会清洗掉该端口的流量。
保存配置后即刻生效。
报文过滤特征 可以针对业务报文特征或攻击报文特征,将协议、端口范围、包长范围、是否检测载荷、偏移量、检查深度、是否包括特征字符串等条件进行组合,设定策略动作。
当检测到报文匹配到策略条件时,可以执行直接转发、丢弃、拉黑源 IP 或断开连接等操作。
保存配置后即刻生效。
限速 基于目的IP的防护,对访问协议进行限速控制。 保存配置后即刻生效。
拒绝海外流量 可拒绝来自中国(大陆地区及港澳台)以外的 TCP 流量请求。 被防护的 IP 处于被攻击状态时生效。
空连接防护 应对空连接攻击。 被防护的 IP 处于被攻击状态时生效。
连接耗尽防护 基于 IP 地址的防护,对于接入高防包的防护 IP 的连接速度、包长度等参数进行限制,实现缓解小流量的连接型攻击的防护功能。 保存配置后即刻生效。
异常连接检测 当一个源 IP 接收到的一个 TCP 连接符合所配置的参数特征时,将判断为异常连接,同时当该源 IP 所接收到的异常连接数超过所设置的最大异常连接数时,会被加入黑名单一定时间,禁止被访问。 保存配置后即刻生效。
水印防护 支持 UDP 和 TCP 报文,在配置的端口范围内,其载荷进行水印检测和剥离。通过接入水印防护,高效全面防护 4 层 CC 攻击,如模拟业务报文攻击和重放攻击等。
  • 业务端和腾讯云大禹安全防护系统端共享水印算法和密钥。
  • 客户端每个发出的报文都嵌入了水印特征,而攻击报文却无水印特征。
  • 大禹安全防护系统将甄别出攻击报文并将其丢弃。
保存配置后即刻生效。

添加新策略

注意:

高级安全防护策略功能具有一定专业性,建议有相关经验的用户在阅读以下操作指南后根据实际情况进行配置。

登录 DDoS 防护(大禹)管理控制台,选择【BGP 高防包】>【防护配置】。在【DDoS 高级防护策略】页签,单击【添加新策略】。根据实际业务需求设置以下参数,单击【确定】。

  • 策略名称
    输入策略名称,长度为1 - 32个字符,不限制字符类型。

  • 黑白名单

    • 若需设置黑名单:单击【添加】,选择【黑名单】,填写需要拦截的 IP,存在多个 IP 时可全部填入并用回车分隔多个 IP,单击【确定】。
    • 若需设置白名单:单击【添加】,选择【白名单】,填写需要放行的 IP,存在多个 IP 时可全部填入并用回车分隔多个 IP,单击【确定】。

      说明:

      黑白 IP 名单之和最多支持添加100个 IP,批量添加的 IP 数不允许超过当前配额。

  • 禁用协议
    选择需要禁用的协议。

  • 禁用端口
    选择协议,然后填写对应需要禁用的端口。若某条记录中仅需禁用一个端口,则开始端口号和结束端口号填写相同值即可。单击列表下方的【增加】可新增多条记录。

  • 报文过滤特征
    支持将协议、端口范围、包长范围、是否检测载荷、偏移量、检查深度、是否包括特征字符串等条件进行组合,设定策略动作且即刻生效。

    说明:

    • 偏移量:表示报文内容中开始匹配的特征的位置。
    • 检查深度:配合偏移量使用,表示从偏移量设定的位置开始向后匹配的报文内容长度。
    • 策略:
      • “丢弃报文”表示丢弃匹配该报文过滤特征的数据包。
      • “丢弃且拉黑源 IP”表示丢弃匹配该报文过滤特征的数据包并将源 IP 临时拉黑一段时间。
      • “丢弃且断开连接”表示丢弃匹配该报文过滤特征的数据包并断开 TCP 连接。
      • “丢弃,断开连接且拉黑源 IP”表示丢弃匹配该报文过滤特征的数据包,同时断开 TCP 连接并将源 IP 临时拉黑一段时间。
      • “直接转发”表示直接转发匹配该报文过滤特征的数据包。
  • 限速
    单击【添加】,选择需要限速的协议,设置限速阈值。支持限速的可选协议有 ICMP、TCP、UDP 和其他协议,这里的其他协议指除了 ICMP、TCP、UDP 以外的协议。

  • 拒绝海外流量
    勾选开启或关闭。BGP 高防包的防护引擎内置海外 IP 库,开启拒绝海外流量后将基于该 IP 库对来源进行判断并执行阻断。勾选【开启】时,需处于被攻击状态才生效。勾选【关闭】时即刻生效。

拒绝海外流量

  • 连接耗尽防护
    • 空连接防护:勾选开启或关闭。勾选【开启】时,需处于被攻击状态才生效。由于基于 TCP 代理原理实现,对于业务的首次访问体验可能会有影响。
    • 源新建连接限速:勾选开启或关闭。勾选【开启】时,设置抑制速率(单位:个/秒),可填范围 0-∞。表示单一源IP每秒新建连接速率,超过限制的新建连接将被丢弃。
    • 源并发连接限速:勾选开启或关闭。勾选【开启】时,设置抑制数(单位:个),可填范围 0-∞。表示单一源IP并发连接数,超过限制的并发连接将被丢弃。
    • 目的新建连接限速:勾选开启或关闭。勾选【开启】时,设置抑制速率(单位:个/秒),可填范围 0-∞。表示目的IP每秒最大新建连接速率,超过限制的新建连接将被丢弃。由于防护设备为集群化部署,新建连接限速存在一定误差
    • 目的并发连接限速:勾选开启或关闭。勾选【开启】时,设置抑制数(单位:个),可填范围 0-∞。表示目的 IP 最大并发连接数,超过限制的并发连接将被丢弃。由于防护设备为集群化部署,并发连接限速存在一定误差。
  • 异常连接检测
    • 源 IP 最大异常连接数:单击【开启】,填写源 IP 最大异常连接数量,可填范围 0-∞(单位:个)。表示当一个源 IP 符合异常连接行为识别的连接数,超过所指定阈值时,会被认为是异常攻击源,在一定时间内被限制访问。

      说明:

      只有开启源 IP 最大异常连接数,以下参数才能进行配置。

    • Syn 报文占比检测:勾选开启或关闭。勾选【开启】时,设置 Syn 报文占比值,可填范围 0-100。表示当一个 TCP 连接中的 Syn 报文数与 Ack 报文数的比例超过所配置阈值时,会被识别为一个异常连接。
    • Syn 报文数检测:勾选开启或关闭。勾选【开启】时,设置最大报文数,可填范围 0-65535。表示当一个 TCP 连接中的 Syn 报文数超过所配置最大报文数时,会被识别为异常连接。
    • 连接超时检测:勾选开启或关闭。勾选【开启】时,设置检测周期(单位:秒),可填范围 0-65535。表示一个 TCP 连接创建后在所设置的时间内没有任何报文传输则判断为异常连接。
    • 异常空连接检测:勾选开启或关闭。表示一个 TCP 连接创建后没有任何带有载荷的报文传输则判断为异常连接。
  • 水印防护
    单击【开启】进行水印防护配置。填写指定的 TCP 协议防护端口和 UDP 协议防护端口,单击【确定】水印防护功能即刻开启。添加 DDoS 高级防护策略后,自动产生一条密钥信息,需要完成线下客户端接入水印配置。

  • TCP 协议防护端口、UDP 协议防护端口
    TCP/UDP 防护端口最多可以配置5个端口段;不同端口段不可以互相重合;起止端口号相同则认为是一个端口;TCP 或 UDP 协议端口段中需要至少配置一条。

绑定与解绑资源

登录 DDoS 防护(大禹)管理控制台,选择【BGP 高防包】>【防护配置】。在【DDoS 高级防护策略】页签,单击目标策略所在行的【绑定资源】。

  • 绑定资源:在弹出的【绑定资源】对话框中,根据实际业务需求勾选一个或多个资源,单击【确定】。
  • 解绑资源:在弹出的【绑定资源】对话框中,根据实际业务需求单击【已选择】区域中已选资源右侧的,单击【确定】。
    解绑资源

客户端接入水印

登录 DDoS 防护(大禹)管理控制台,选择【BGP 高防包】>【防护配置】。在【DDoS 高级防护策略】页签,单击目标策略所在行的【水印客户端文件下载】,线下完成客户端的接入。

添加、删除或停用/启用水印密钥

登录 DDoS 防护(大禹)管理控制台,选择【BGP 高防包】>【防护配置】。在【DDoS 高级防护策略】页签,单击目标策略所在行的【水印密钥配置】。

  • 添加密钥:在弹出的【密钥信息】对话框中,单击【添加密钥】即刻生成新密钥。
  • 停用/启用密钥:支持对密钥进行停用或启用操作。在弹出的【密钥信息】对话框中,单击目的密钥所在行的【停用】;如需重新开启则单击【启用】即可。
  • 删除密钥:只能对已停用的密钥进行删除。在弹出的【密钥信息】对话框中,单击目的密钥所在行的【删除】即可。

    说明:

    最多可存在2个密钥,如果需要添加新密钥,请先删掉其中一个旧密钥;当仅有一个密钥生效时,不可将其停用或删除。

密钥

配置策略

登录 DDoS 防护(大禹)管理控制台,选择【BGP 高防包】>【防护配置】。在【DDoS 高级防护策略】页签,单击目标策略所在行的【配置】。根据实际业务需求更新以下参数,单击【确定】保存修改。

说明:

当目的策略是以“业务场景名称 _ policy_ 序号”形式命名的,则不能对策略名称进行修改。

  • 策略名称
  • 黑白名单
  • 禁用协议
  • 禁用端口
  • 报文过滤特征
  • 拒绝海外流量
  • 连接耗尽防护
  • 异常连接检测
  • 水印防护

删除策略

说明:

  • 未绑定资源的策略可直接删除,已绑定资源的策略需要先将所有资源解绑再执行删除操作;策略删除后不可恢复,请谨慎操作。
  • 不能对根据用户创建的业务场景自动生成的高级防护策略进行删除操作。

登录 DDoS 防护(大禹)管理控制台,选择【BGP 高防包】>【防护配置】。在【DDoS 高级防护策略】页签,单击目标策略所在行的【删除】。在弹出的对话框中,单击【确定】。