应用场景
DDoS 高防 IP 服务提供防护策略调整功能,针对 DDoS 攻击提供三种防护等级供您选择,各个防护等级的具体防护操作如下:
注意:
默认情况下,您所购买的 DDoS 高防 IP 实例采用正常防护等级,您可以根据实际业务情况自由调整 DDoS 防护等级。同时,您还可以自定义设置清洗阈值,当攻击流量超过设置的阈值时,将启动清洗策略。
防护等级 | 防护操作 | 描述 |
宽松 | 过滤明确攻击特征的 SYN、ACK 数据包。 过滤不符合协议规范的 TCP、UDP、ICMP 数据包。 过滤具有明确攻击特征的 UDP 数据包。 | 清洗策略相对宽松,仅对具有明确攻击特征的攻击包进行防护。建议在怀疑有误杀时启用,遇到复杂攻击时可能会有攻击透传。 |
正常 | 过滤明确攻击特征的 SYN、ACK 数据包。 过滤不符合协议规范的 TCP、UDP、ICMP 数据包。 过滤具有明确攻击特征的 UDP 数据包。 过滤常见基于 UDP 的攻击数据包。 对部分访问源 IP 进行主动验证。 | 清洗策略适配绝大多数业务,可有效防护常见攻击。默认为正常模式。 |
严格 | 过滤明确攻击特征的 SYN、ACK 数据包。 过滤不符合协议规范的 TCP、UDP、ICMP 数据包。 过滤具有明确攻击特征的 UDP 数据包。 过滤常见基于 UDP 的攻击数据包。 对部分访问源 IP 进行主动验证。 过滤 ICMP 攻击包。 过滤常见的 UDP 攻击数据包。 UDP 数据包严格检查。 | 清洗策略相对严格,建议在正常模式出现攻击透传时使用。 |
配置示例
下面以配置华南地区(广州)的实例“bgpip-000002ai”为例,进行配置说明:
1. 登录 DDoS 防护管理控制台,在左侧导航栏选择 DDoS 高防IP > 资产列表,在地区选择框中,单击华南地区(广州)。
2. 在下方实例列表中,找到目标高防 IP 实例 ID 为“bgpip-000002ai”的高防 IP 实例,在右侧操作项中,单击防护配置,进行配置。
3. 在弹出的 DDoS 防护配置的页面中,开启防护状态,进行清洗阈值、防护等级的设置。
说明:
仅当防护状态为
配置参数说明:
防护状态
默认开启,您可根据实际业务需求开启或关闭防护。关闭防护时,可进行关闭时长的设置,目前只能临时关闭防护1 - 6小时,超过所设置的时长或当攻击流量超过100wpps或2Gbps时,DDoS 高防包将自动开启防护。
清洗阈值
清洗阈值是高防产品启动清洗动作的阈值。当流量小于阈值时,即使检测到攻击也不会进行清洗操作。
默认在开启“防护状态”的情况下,业务刚接入的 DDoS 高防IP实例的清洗阈值采用默认值,并随着接入业务流量的变化规律,系统自动学习形成一个基线值。您可以根据实际业务情况自由设置清洗阈值。
说明:
若明确该清洗阈值,可进行自定义设置。若无法明确该清洗阈值,DDoS 防护系统将根据 AI 算法自动学习并生成一套专属的默认阈值。
防护等级
默认在开启“防护状态”的情况下,业务刚接入的 DDoS 高防 IP 实例采用正常防护等级,您可以根据实际业务防护需求自由调整 DDoS 防护等级。
其他配置项
业务场景
高级策略
您可根据业务防护特性,从已创建的高级策略中选择一个匹配的高级策略,且支持修改。详情请参见 管理 DDoS 高级防护策略 ,进行高级防护策略创建。
DDoS 攻击告警阈值
DDoS 攻击告警阈值配置功能。若检测的指标超过您设定的阈值,将触发告警,并向您推送攻击告警信息。详情请参见 配置攻击告警阈值,进行告警指标设置。
TCP 业务 AI 增强防护
针对四层 TCP 业务,DDoS 高防 IP 提供 TCP 业务 AI 增强防护功能。功能开启后,通过 AI 模型日常业务特征的自学习,能够自动识别业务流量与攻击流量,有效防护线上的四层 CC 攻击。
注意:
目前 TCP 业务 AI 增强防护功能仅对白名单开放。