文档中心 宙斯盾安全防护 快速入门 自定义高级安全策略

自定义高级安全策略

最近更新时间:2019-04-08 12:11:30

宙斯盾安全防护(Aegis Anti-DDoS)默认提供基础安全策略,策略基于 AI 智能引擎、IP 画像、行为模式分析等算法,可以有效应对常见的 DDoS 攻击行为。若遭遇到某些特殊或模拟业务特点的攻击行为时,宙斯盾安全防护还提供了高级策略,可以根据业务特点或攻击行为定制。对特定攻击行为进行更有针对性的防护。

高级策略可以绑定到高防 IP、高防包防护的 IP 上,用户可针对业务平台的自身需求 配置高级安全策略HTTP CC 防护策略水印防护。当前业务请求在检测到攻击行为时,会按高级策略的配置对攻击流量进行清洗。

自定义高级安全防护策略

高级安全防护策略 CC 防护策略
协议禁用 HTTP QPS 请求阈值
端口禁用 黑白名单配置(URL,IP)
IP 黑白名单 CC 自定义防护
报文过滤特征 匹配模式:阻断,人机验证
境外流量禁用 限速模式:源 IP 访问速率
空连接防护 -

高级安全防护策略

  • 禁用协议或端口
    客户可禁用业务不使用的协议或端口。当检测到攻击行为时,防护系统会清洗掉该协议或端口的流量。
  • 设置 IP 黑白名单
    源自白名单中 IP 的业务流量,防护系统不做攻击检测和流量清洗。源自黑名单中 IP 的业务流量会被清洗。黑白 IP 名单总共添加不可超过50个 IP 地址。
  • 报文过滤特征
    可以针对业务报文特征或攻击报文特征,配置报文长度,或报文长度 + 载荷特征为条件的策略。当检测到报文匹配到策略条件时,可以执行丢弃、拉黑源 IP 或断开连接等操作。
  • 空连接防护
    应对空连接攻击。高防包防护的 IP 若需空连接防护,可开启本功能。
  • 拒绝境外流量
    可禁止来源中国(大陆及港澳台)以外的 TCP 流量请求。

案例说明:
如下为一个正常业务报文。

经过分析,其特征如下:

  • 目的端口为80。
  • 包长在1000字节及以内。
  • 载荷以 “GET” 开头,并且会携带 “Host” 字段。

因此配置报文特征过滤策略,对不符合正常业务特征的报文进行拦截处理。
满足如下条件的报文:

  • 目的端口为80。
  • 包长在1000字节及以上。
  • 载荷不以 “GET” 开头,且没有携带 “Host” 字段。

执行操作:
同时命中上述条件做拦截。

CC 防护策略

  • HTTP 请求数阈值
    当 HTTP 请求数超过设定的 QPS 值时,触发 CC 防护。
  • URL 白名单
    添加到白名单后的 URL,防护系统不再做 CC 攻击检测和防护。
  • IP 黑白名单
    源自白名单中 IP 的 HTTP 访问请求,防护系统不做 CC 攻击检测和防护。源自黑名单中 IP 的 HTTP 访问请求会被拒绝。黑白 IP 名单总共添加不可超过50个 IP 地址。
  • CC 自定义防护
    主要针对 HTTP 字段头有相关字段进行阻断或人机验证。
    • 匹配模式:匹配到 HTTP 对应字段头的请求,执行阻断、人机验证等操作。
    • 限速模式:对源 IP 访问进行限速处理。支持配置全局或指定 URL 的源 IP 限速。配置后,所有源 IP 访问本策略绑定的高防 IP(或高防包的 IP)时,其访问频率会受配置值限速控制。配置为0为不启用。指定 URL 限速的策略优先级高于全局限速策略。

水印防护

  • 防护 IP
    将访问该 IP 和指定端口的业务流量进行水印检测,并将攻击包文识别丢弃。
  • TCP 协议防护端口、UDP 协议防护端口
    TCP/UDP 防护端口最多可以配置5个端口段;不同端口段不可以互相重合;起止端口号相同则认为是一个端口;TCP 或 UDP协议端口段中需要至少配置一条。
  • UDP 水印剥离
    勾选 “自动剥离 UDP 报文水印”。数据报文经过安全防护系统后,自动剥离 UDP 报文中的水印,再前传到源站。还可以配置指定水印标签在 UDP 报文中的偏移量 0~100。特别注意:若不需要防护系统剥离 UDP 协议水印,则服务端仍需要做剥离水印的改造。
  • 白名单
    勾选 “启用源 IP 白名单”,添加 IP。访问白名单中的 IP 报文不会进行水印检测。

客户可以通过接入水印防护,高效全面防护 4 层 CC 攻击,如模拟业务报文攻击和重放攻击等。

  • 业务端和宙斯盾防护系统共享水印算法和密钥。
  • 客户端每个发出的包文都嵌入了水印特征。而攻击包文却无水印特征。
  • 防护系统将甄别出攻击包文并将其丢弃。