业务接入DDoS原生防护后,防护对象会默认绑定默认防护策略,策略可以在攻击发生的瞬间有效减少攻击透过所带来的危害。本文介绍如何调整默认防护策略。
默认防护策略是DDoS防护引擎在日常海量攻防事件中沉淀的通用防护策略,可以缓解已知特征的流量型攻击,在攻击发生时即刻生效,减少已知特征攻击发生瞬间出现的攻击透过的危害。 说明 默认防护策略仅在防护对象处于被攻击状态时生效。 默认防护策略包括正常、宽松、严格三个防护等级,您将防护对象添加到DDoS原生防护实例后,防护等级默认为正常。 防护等级 防护操作 说明 宽松 过滤不符合协议规范的畸形报文 过滤明确攻击特征的TCP/UDP/ICMP报文 过滤IP分片报文及非TCP/非UDP/非ICMP的协议 清洗策略较为宽松,仅防护明显攻击特征报文,存在部分复杂攻击透传风险,建议仅在出现误拦截情况下开启。 正常 过滤不符合协议规范的畸形报文 过滤明确攻击特征的TCP/UDP/ICMP报文 过滤IP分片报文及非TCP/非UDP/非ICMP的协议 对部分异常访问源IP进行校验及限速 清洗策略适用于绝大多数业务,可有效防护常见DDoS攻击。 严格 过滤不符合协议规范的畸形报文 过滤明确攻击特征的TCP/UDP/ICMP报文 过滤IP分片报文及非TCP/非UDP/非ICMP的协议 对部分访问源IP进行严格的校验及限速 对全部UDP报文进行严格限制 清洗策略较为严格,极端情况下存在误拦截风险,建议仅在出现攻击透传情况下开启。 针对DDoS防护(增强型)EIP,默认防护策略还提供以下防护模板。 防护模板 防护操作 说明 办公策略 过滤不符合协议规范的畸形报文 过滤明确攻击特征的TCP/UDP/ICMP报文 过滤IP分片报文 允许GRE/IPSec等IP协议通过 对访问源IP校验较为宽松 对外访问限制较为宽松,适用于办公网络环境。 游戏TCP策略 过滤不符合协议规范的畸形报文 过滤明确攻击特征的TCP/UDP/ICMP报文 过滤IP分片报文及非TCP/非UDP/非ICMP的协议 对部分异常访问源IP进行校验及限速 对UDP报文进行严格校验及限制 业务形态以TCP接入为主时,建议您选择此策略。 游戏UDP策略 过滤不符合协议规范的畸形报文 过滤明确攻击特征的TCP/UDP/ICMP报文 过滤IP分片报文及非TCP/非UDP/非ICMP的协议 对UDP报文校验较为宽松 业务形态以UDP接入为主时,建议您选择此策略。 已购买DDoS原生防护实例。具体操作,请参见购买DDoS原生防护实例。 已将要防护的公网IP资产添加为DDoS原生防护实例的防护对象。具体操作,请参见防护对象。 登录流量安全产品控制台。 在顶部菜单栏左上角处,选择实例所在资源组和地域。 原生防护1.0(包年包月)实例:请选择实例所在地域。 原生防护2.0(包年包月)实例、原生防护2.0(后付费)实例:请选择全球。 在防护对象页面,调整默认策略。 IP资产:仅支持您调整默认策略的防护等级。 DDoS防护(增强版)EIP:支持您调整默认策略的防护等级,也支持您将默认策略设置为特定的业务场景防护模板。 您也可以根据业务特征,同时为防护对象设置自定义防护策略。具体操作,请参见自定义防护策略。什么是默认防护策略
防护等级
业务场景防护模板
前提条件
操作步骤
相关文档
