动作和安全级别
更新时间:2025-01-16 10:05:44
托管规则集由CDNetworks统一管理和推送,您可以调整这些托管规则的动作和安全级别。
行动
托管规则的操作由 CDNetworks 预先确定。根据每个规则的用途,设置不同的可选操作和默认操作。
| 行动 | 动作描述 | 对应规则目的 |
|---|---|---|
| 否定 | 通过默认 403 响应拒绝请求。 | 用于拒绝已知的攻击模式或发出高速率请求的 IP。 |
| 日志 | 记录请求并继续进一步检测。 | 用于监控已知的攻击模式或发出高速率请求的 IP。 |
| DDoS 管理挑战 | 根据请求内容类型自适应地响应 Cookie 或 Javascript 挑战操作,仅适用于部分 DDoS 托管规则。 | 用于检测和缓解大规模应用层DDoS攻击,保护源站。 |
| 拒绝连接* | 重置与客户端建立的 TCP 连接,并且不接收来自同一客户端 IP 的新连接。 | 用于缓解超大规模应用层DDoS攻击,保护缓解节点基础设施。 |
关于拒绝连接:
- 当应用层DDoS攻击规模超大时,可能会对缓解节点基础设施的性能造成影响,云安全平台会在网络层自动封堵重复发起攻击的IP,实现对应用层DDoS攻击的大规模自动缓解。
- “拒绝连接”托管规则分析的安全策略范围包括:IP/Geo 拦截、DDoS Protection、 频率限制、Custom Rules。在这四个功能中,重复攻击的IP将被直接在网络层阻断。
安全级别
安全等级定义了每条托管规则生效的场景,托管规则不会正常生效(已知攻击特征的托管规则会默认生效),只有当 DDoS 自适应防护引擎(DAPE)检测到应用层 DDoS 攻击时,才会自适应生效,这样可以最大限度降低托管规则对正常用户访问的影响。
| 安全级别 | 有效场景 | 目的 |
|---|---|---|
| 默认开启 | 托管规则默认生效。 | 根据已知攻击特征制定的托管规则具有极高的准确性和较低的误报风险。建议将这些托管规则保持在“默认开启”安全级别。 |
| 攻击时启用 | 当防护模式为“自动”时,托管规则自适应生效1 ;当防护模式为“我受到攻击了!”时,托管规则默认生效。 | 对于拒绝高速率请求 IP 或对网页请求执行 DDoS 托管挑战的托管规则,为了降低误报风险,建议您将这些托管规则保持在“攻击期间启用”安全级别。 |
| 基本关闭 | 托管规则默认不生效,但当主机名受到攻击并影响缓解基础设施2 时,托管规则仍会生效。 | 为了保证托管规则在超大规模攻击时也能正常生效以保护缓解节点基础设施,通常建议将安全级别设置为“基本上关闭”,而不是“未使用”。 |
| 未使用 | 托管规则不生效。 | 对于明显与正常业务不匹配,且会导致正常用户大规模误报的托管规则,您可以将相应托管规则的安全级别设置为“未使用”。也可以通过自定义规则或频率限制功能,手动配置适合您业务的防护规则。 |
- 自适应生效1 :在“自动”防护模式下,托管规则默认不生效。但当 DDoS 自适应防护引擎 (DAPE) 检测到主机名受到攻击时,“攻击时启用”托管规则会实时生效。当 DDoS 自适应防护引擎检测到主机名攻击停止时,“攻击时启用”托管规则将自动停止生效。
- 影响缓解基础设施2 :当智能防护引擎检测到主机名受到攻击,且攻击规模已经影响到缓解节点性能时,“Essentially Off”托管规则将实时生效。当DDoS自适应防护引擎检测到主机名的攻击规模下降或停止时,“Essentially Off”托管规则将自动停止生效。
本篇文档内容对您是否有帮助?
有帮助
我要反馈