处理动作和安全级别说明
更新时间:2024-01-08 11:26:01
内置规则集由网宿统一管理和推送,您可以调整内置规则的处理动作和安全级别。
处理动作
内置规则的处理动作由网宿预先设定,根据每条规则的用途,将设定不同的可选和默认处理动作。
| 处理动作 | 动作说明 | 对应规则用途 |
|---|---|---|
| 拦截 | 阻断请求并响应403。 | 针对已知的攻击特征或发起高频请求的IP进行拦截。 |
| 监控 | 记录请求的攻击行为,并继续做进一步的评估。 | 针对已知的攻击特征或发起高频请求的IP进行监控。 |
| DDoS托管校验 | 根据请求特征动态选择适当类型的验证算法,包括Cookie验证和JavaScript验证。 | 用于检测和缓解大规模的应用层DDoS攻击,保护源站业务。 |
| 拒绝连接* | 释放与客户端已建立的TCP连接,并拒绝新的连接。 | 用于缓解超大规模的应用层DDoS攻击,保护清洗节点基础设施。 |
关于拒绝连接:
- 当应用层DDoS攻击规模超大时可能会影响清洗节点基础设施的性能,全站防护平台会自动把反复发起攻击的IP在网络层直接封禁,这样我们就能大规模自动缓解应用层DDoS攻击。
- 处理动作为“拒绝连接”的内置规则分析的安全策略范围,包括:IP/区域封禁、DDoS防护、频率限制、自定义规则,这四个功能中反复攻击的IP都会在网络层直接封禁。
安全级别
安全级别用于定义每条内置规则的生效场景,平时内置规则不生效(已知攻击特征的内置规则会默认生效),仅当智能防护引擎识别到应用层DDoS攻击时再自适应生效,这样可以尽量避免出现内置规则影响正常用户访问的情况。
| 安全级别 | 生效场景 | 用途 |
|---|---|---|
| 默认启用 | 内置规则默认生效。 | 来自已知攻击特征的内置规则,具有非常高的准确性和低误报风险。建议您保持这些内置规则处于默认启用的安全级别。 |
| 攻击时启用 | 当防护模式为“智能托管”时,自适应生效内置规则1;当防护模式为“我受到攻击!”时,内置规则默认生效。 | 针对拦截发起高频请求的IP或针对网页端的请求进行DDoS托管校验的内置规则,为了降低误报风险,建议您保持这些内置规则处于“攻击时启用”的安全级别。 |
| 基本关闭 | 内置规则默认不生效,但是当域名攻击规模影响清洗节点基础设施时2,仍会生效内置规则。 | 为了在超大规模攻击时,内置规则也能正常生效以保护清洗节点基础设施,通常建议您设置安全级别为“基本关闭”而不是“永久关闭”。 |
| 永久关闭 | 内置规则不生效。 | 针对明确不匹配正常业务,会导致正常用户大面积误拦截的内置规则,可以将对应内置规则的安全级别设置为“永久关闭”。同时通过自定义规则或频率限制功能手动配置适合业务的防护规则。 |
- 自适应生效内置规则1:智能托管模式下,内置规则默认不生效,但是当智能防护引擎监测到域名受攻击时会实时生效【攻击时启用】的内置规则;当智能防护引擎监测到域名攻击停止时,【攻击时启用】的内置规则自动不生效。
- 域名攻击规模影响清洗节点基础设施时2:当智能防护引擎监测到域名受攻击且攻击规模已经影响节点性能时,会实时生效【基本关闭】的内置规则;当智能防护引擎监测到域名攻击规模下降或停止时,【基本关闭】的内置规则自动不生效。
本篇文档内容对您是否有帮助?
有帮助
我要反馈