通过高级防护策略限制异常连接

约束与限制

高级防护功能目前处于公测阶段，仅DDoS原生高级防护-全力防高级版部分区域支持该功能，如果您需要此项功能请提交工单开通。

开启高级防护

1. 登录AAD服务控制台。
2. 在左侧导航栏选择“DDoS原生高级防护 > 防护策略”，进入DDoS原生高级防护“防护策略”页面。
3. 在防护策略列表的左上方，单击“创建策略”。
4. 在弹出的“创建策略”对话框中，设置“策略名称”并选择所属实例后，单击“确定”。
   图1 创建策略
   

5. 在目标防护策略所在行的“操作”列中，单击“配置策略”。
6. 在“高级防护”配置框中，单击“设置”。
   图2 高级防护
   

7. 单击“异常连接防御”页签，可设置异常连接防御参数。
   图3 异常连接防御
   

   表1 异常连接防御参数说明

   类别	参数	说明
   检测阈值	目的IP地址并发连接数检查	当目的IP地址的TCP并发连接数大于“连接数阈值”时，启动针对TCP连接耗尽攻击的防御。防御启动后，开始对源IP地址进行检查。
   	目的IP地址新建连接速率检查	当目的IP地址每秒新增加的TCP连接数大于“连接速率阈值”时，启动针对TCP连接耗尽攻击的防御。防御启动后，开始对源IP地址进行检查。
   防御方式	TCP连接耗尽防御	开启“TCP连接耗尽防御”后可设置： “源IP新建连接检查”：按照设定周期检查源IP地址的新建连接数，当新建连接数大于设定值时，将该源站IP纳入黑名单中进行封禁惩罚，等封禁结束后可恢复访问。 “源IP并发连接检查”：当源IP地址的TCP并发连接数大于设定值，将该源站IP纳入黑名单中进行封禁惩罚，等封禁结束后可恢复访问。
   	TCP空连接防御	开启“TCP空连接防御”后可设置： “每连接报文数/周期（秒）”：检查周期内，连接上报文数低于阈值视为空连接。 “异常连接数/周期（秒）”：检查周期内，异常连接超过阈值，则将源IP加入动态黑名单。
   	应用层空连接防御	开启“应用层空连接防御”后可设置： HTTP：按照设定周期检查源IP地址的HTTP异常连接，当异常连接数大于设定值时，将该源站IP纳入黑名单中进行封禁惩罚，等封禁结束后可恢复访问。 HTTPS：按照设定周期检查源IP地址的HTTPS异常连接，当异常连接数大于设定值时，将该源站IP纳入黑名单中进行封禁惩罚，等封禁结束后可恢复访问。

8. 单击“确定”，保存配置。
9. 单击“网络层CC防御”页签，可设置网络层CC防御参数。
   图4 网络层CC防御
   

   表2 网络层CC防御参数说明

   类别	参数	说明
   防御阈值	-	防御阈值只能通过流量清洗档位调整。当目的IP连接数达到后面配置的任一阈值后，开启TCP连接防御。
   防御方式	源认证挑战	连续检测周期内，源IP无法正常响应认证的次数超过阈值，则将源IP加入动态黑名单。
   	源高速访问行为阻断	源IP ACK报文速率超过阈值，则将源IP加入动态黑名单。