设置DDoS策略

开启 DDoS 防护后，CDNetworks 会自动检测并缓解针对您网站的 DDoS 攻击。您可以根据实际需求调整和优化 DDoS 防护策略。

操作步骤

1. 登录 CDNetworks 控制台，在已开通产品下，找到正在使用的安全产品并点击进入。
2. 前往 防护配置 > 安全策略配置。
3. 找到需要配置安全策略的域名，点击 。
4. 进入 DDoS 防护 页面。

设置网络层 DDoS 保护

为了保护平台基础设施和所有客户的可用性，网络层防护默认开启，无法关闭。

设置应用层 DDoS 保护

选择防护等级

启用应用层 DDoS 防护后，需根据业务场景选择适当的安全 防护等级。每个防护等级将影响攻击检测灵敏度和 AI 规则生成阈值。参考下表：

注意： AI 引擎会根据域名请求量和可用性指标自动判断是否受到 CC 攻击。活动场景常伴随高请求量，因此容易出现误报。建议活动前人工调整策略以避免误报。

配置内置规则

建议保持内置规则防护默认开启，相关处理动作和规则模式保持默认设置即可。

调整处理动作或规则模式

在合法流量激增（如大促、新品发布）等场景下，可调整内置规则配置项，以减少误拦截。主要配置项如下：

• 处理动作：当请求匹配内置规则时，系统自动执行防护动作，具体如下：

• 规则模式：定义规则的生效场景，智能防护引擎可自适应切换，具体如下：

添加应用程序/API 例外

内置规则中，处理动作为DDoS托管校验时，可能不适用于APP/API业务，导致误拦截。建议针对APP/API的请求特征进行例外配置。具体配置方法请参考 设置 App/API 例外。

配置 AI 智能防护

AI 智能防护开启后，系统将根据所选防护等级和攻击特征自动下发规则建议防护。建议默认开启该功能，并保持模式为防护，以取得最佳安全效果。

调整防护模式

如需提前观察流量特征或降低攻击期间的误拦风险，可根据业务需求调整智能防护模式。模式的选择将决定引擎下发规则的处理动作，其对照关系和具体描述见下表：

查看智能防护规则

DDoS 自适应防护引擎会根据攻击威胁程度自动生成或删除防护规则，无需手动干预。如需查看自动生成的智能防护规则，可采用以下方法：

规则命名
通过查看智能防护规则的名称，可在运维场景下快速定位攻击类型。规则的命名方式为：AI_<规则类别>_xxxxx，如：AI_限制高频目录请求_xxxxx，则可知当前生效的规则类型为频率限制类规则。

查看命中智能防护规则的请求

1. 攻击过程中，查看当前正在生效的规则
   如果当前攻击正在发生，且已触发AI智能防护，可直接在安全策略>DDoS防护页面，应用层DDoS防护>AI智能防护 列表处查看当前生成的防护规则。

2. 通过攻击日志，查看命中智能防护规则的请求详情
   若您希望分析智能防护规则命中的请求日志，验证该规则是否精准匹配业务流量特征，确保仅真实攻击行为被拦截：

• 前往安全运营>攻击日志页面
• 通过过滤器，选择 DDoS防护-策略名称 等于 AI智能防护
• 展开命中规则详情，查看具体规则信息、请求信息，和客户端信息

回溯智能防护规则部署历史
由于攻击者往往会通过不断变化攻击特征绕过防护，同时为降低无攻击时的误拦风险，因此智能防护规则仅在攻击时被生成，攻击停止20分钟后将被自动删除。如果您分析到某条防护规则对多次攻击都能有效防护，可根据规则信息说明，将其手动配置到自定义规则或频率限制中，对网站进行持续防护。您可通过以下方式查看规则历史部署记录：

• 前往配置变更记录页面
• 通过过滤器，选择配置 安全策略-DDoS防护，变更类型-新增
• 在列表中查看操作人为 system 的条例，点击变更详情，将展示攻击时期下发的AI智能防护规则