阿里云DDoS高防IP防护如何配置

DDoS防护

阿里云DDoS高防开通地址 https://www.aliyun.com/product/security/ddos
阿里云DDoS高防官方配置教程 https://help.aliyun.com/document_detail/28411.html

1、登录阿里云控制台,点击进入【云安全】>【DDoS高防IP】页面。

2、定位到防护管理页面,选择已购买的防护套餐。

3、定位到DDoS防护:

DDoS清洗:默认开启四层的DDoS清洗防护,可以防护包括但不限于以下攻击类型: ICMP Flood、UDP Flood、TCP Flood、SYN Flood、ACK Flood 攻击。(暂不支持修改)

接防是否开启对空连接的监控,

注意:DDoS防护配置,针对该套餐下的所有网站业务的域名和非网站业务的转发规则都生效。

CC防护

一、概述

标准模式:默认的CC安全防护模式。网站无明显流量异常时建议采用此模式。标准模式的CC攻击防护策略相对宽松,可以防御一般的CC攻击,对于正常请求不会造成误杀。

严格模式:当发现网站响应、流量、CPU、内存等指标出现异常时,可切换至此模式。严格模式的CC攻击防护策略相对严格。相比标准模式,此模式可以防护更为复杂和精巧的CC攻击,但可能会对少部分正常请求造成误杀。

攻击应急模式:当客户遭受攻击时,需要提高安全防护模式,可以切换至该模式。该模式会对被保护网站的所有访问请求实行全局级别的人机识别验证,即针对每个访问者进行验证,只有通过认证后访问者才允许访问网站。

说明:

对于严格模式的全局算法认证,如果是真人通过浏览器的访问请求均可以正常响应;但如果被访问网站的业务是API或原生app应用,将无法正常响应该算法认证,导致网站业务无法正常访问。

二、操作步骤

1、登录阿里云控制台,点击进入【云安全】>【DDoS高防IP】页面。

2、定位到防护管理页面,选择已购买的防护套餐。

3、定位到CC防护: 选择需要修改防护配置的域名,开启或是关闭防护状态,或是修改防护的模式。

说明:

CC安全防护各模式的防护效果排序依次为:攻击应急模式 > 严格模式 > 标准模式。同时,各防护模式导致误杀的可能性排序依次为:攻击应急模式 > 严格模式 > 标准模式。

正常情况下,接入防护的域名选择标准CC安全防护模式。该模式的防护策略较为宽松,只会针对访问频次较大的IP进行封禁。当您的网站遭遇大量CC攻击时,且标准模式的安全防护效果已经无法满足要求,建议您切换至攻击严格模式或攻击应急模式。

若是以上的情况仍旧无法满足您的防护效果要求,可以由阿里云的服务人员后台人工进行配置。

IP黑白名单

1、 概述

· 对于已配置白名单的网站域名,来自白名单中的IP或IP段的访问请求将被直接放行,且不经过任何防护策略过滤。

· 对于已配置黑名单的网站域名,来自黑名单中的IP或IP段的访问请求将会被直接阻断。

说明:可以针对接入高防IP进行配置黑白名单列表。

2、操作步骤

1、登录阿里云控制台,点击进入【云安全】>【DDoS高防IP】页面。

2、定位到防护管理>防护设置页面,选择已购买的防护套餐。

3、定位到CC防护区块:

说明:

1、IP黑名单:填写需要进行拦截的恶意IP,暂不支持IP段。

2、IP白名单:填写需要被放行的IP,暂不支持IP段。

3、IP支持分别配置最多300条黑白名单记录,多条记录之间用英文“,”进行分隔。

4、黑白名单配置完成后即刻生效。