配置阻断规则

操作场景

NDR提供精准阻断的功能，如果您需要精准阻断攻击源的访问或精准防护指定主机，都可以通过阻断规则的配置来实现。主要场景和配置建议如下：

• 攻击源IP未知但确定了防护对象范围：源IP设置为“ANY”，目的IP设置为“IP/IP地址组”、端口设置为“端口”或“端口组”。
• 已知攻击源IP但不确定防护对象范围：源IP设置为“IP”，目的IP和目的端口都设置为“ANY”。
• 已知攻击源IP且确定了防护对象范围：源IP设置为“IP”，目的IP设置为“IP”或“IP地址组”、端口设置为“端口”或“端口组”。

前提条件

• 如果您需要对多个攻击源IP/目的IP配置不同的阻断规则，可提前将这些IP配置为IP地址组，具体方法请参考创建IP地址组。
• 如果您需要对目的IP的多个端口配置不同的规则，可提前将这些端口配置为端口组，具体方法请参考创建端口组。

约束限制

• NDR阻断规则只能阻断TCP协议。
• NDR阻断采用旁路阻断技术（TCP Reset），无法达到100%阻断率，通常作为出现攻击时的应急响应处置措施；如果希望达到100%的阻断率或者作为长时间的访问控制策略，建议使用虚拟私有云（VPC）的安全组或CFW的访问控制策略功能。

操作步骤

1. 登录NDR服务控制台。
2. 在左侧导航树中，选择“入侵响应 > 阻断规则”，进入配置页面。
3. 单击“新建”，根据实际需要设置阻断规则，如图1所示。
   图1 新建阻断规则
   

   表1 阻断规则

   类别	说明
   名称	阻断规则的名称，只能由3～255个中文字符、英文字母、数字、下划线、中划线组成。
   IP类型	仅支持IPv4。
   源IP	IP地址组：已知攻击源IP的情况下选择该项。创建方法参考创建IP地址组。 IP地址：已知攻击源IP的情况下选择该项。 ANY：无法获取攻击源IP的情况下选择该项。“源IP”和“目的IP”不能同时为“ANY”。
   目的IP	IP地址组：需要防护的目的IP地址组，创建方法参考创建IP地址组。 IP地址：需要防护的目的IP地址。 ANY：不设定防护IP时选择该项。“目的IP”和“源IP”不能同时为“ANY”。
   目的端口	端口组：需要防护的目的端口组，创建方法参考创建端口组。 端口：需要防护的目的端口。 ANY：选择该项时，防护目的IP的所有端口。
   动作	封禁：符合阻断规则的访问将会被拦截，同时产生告警，可通过攻击事件日志或阻断日志查看拦截记录。 告警：符合阻断规则的访问只触发告警，不会被拦截。
   过期时间	规则过期时间，不填则永久生效。
   描述	规则的描述信息，不超过512个字符。

4. 单击“确认”，保存规则。
5. 在刚创建的规则所在行的“操作”列，单击“启用”。
6. 勾选需要关联该规则的服务器后，单击列表上方的“启用”，在弹出的对话框中单击“确定”。

   当阻断规则“状态”为“已启用”，表示该规则启用成功。

相关操作

禁用阻断规则

1. 在需要禁用的阻断规则所在行，单击“更多 > 禁用”。
2. 勾选需要解除该规则的服务器，单击列表上方的“禁用”，在弹出的窗口中，单击“确定”。

编辑阻断规则

1. 在需要编辑的阻断规则所在行，单击“编辑”。
2. 根据实际修改配置后，单击“确认”。

删除阻断规则

1. 在需要删除的阻断规则所在行，单击“更多 > 删除”。
2. 在弹出的窗口中，单击“确定”。