防护策略概述

DDoS原生高级防护提供了丰富的防护策略，购买实例后，您可以根据业务需要选择适合的防护策略，如表1所示。

防护策略设置错误可能导致攻击漏防或流量误清洗，请根据业务实际谨慎操作。

表1 防护策略
防护策略	章节	说明
基础防护	设置基础防护策略拦截攻击流量	为防护对象设置基础防护策略，当IP遭受的DDoS攻击带宽超过配置的清洗档位时，触发DDoS原生高级防护对攻击流量进行清洗，保障业务可用。
IP黑白名单	通过黑白名单拦截/放行指定IP的流量	通过配置IP黑名单或IP白名单来封禁或者放行访问DDoS防护的源IP，从而限制访问您业务资源的用户。
指纹过滤	通过指纹特征设置流量处理策略	通过配置指纹过滤防护规则，对数据包中指定位置的内容进行特征匹配，根据匹配结果设置处理动作，比如丢弃、通过、限速等。
端口封禁	封禁指定端口的流量	当某个目的端口不需要被访问时，为降低DDoS攻击风险，您可以通过端口封禁策略，阻止流量对该端口的访问。
协议封禁	封禁指定协议的流量	根据协议类型一键封禁访问DDoS防护对象的源流量，支持封禁UDP/TCP/ICMP等协议。
水印防护	通过水印防护抵御CC攻击	通过在业务端共享水印算法和关键字，客户端发出的报文都镶嵌入水印特征，能有效抵御四层CC攻击。
高级防护	通过高级防护策略限制异常连接	如果同一个源站IP短时间内频繁发起大量异常连接状态的报文时，您可以通过配置高级防护策略，将该源站IP纳入黑名单中进行封禁惩罚，等封禁结束后可恢复访问。
区域封禁	封禁指定区域的流量	DDoS原生高级防护支持封禁指定区域的流量，策略生效后，来自该区域的访问流量将被丢弃。