阿里云国际该如何设置DDoS高防防护策略？

DDoS高防提供针对网络四层DDoS攻击的防护策略设置功能，例如虚假源和空连接检测、源限速、目的限速，适用于优化调整非网站业务的DDoS防护策略。在DDoS高防实例下添加端口转发规则，接入非网站业务后，您可以单独设置某个端口的DDoS防护策略或批量添加DDoS防护策略。本文介绍了具体的操作方法。

前提条件

已在端口接入中配置非网站业务端口转发规则。

背景信息

非网站业务的DDoS防护策略是基于“IP地址+端口”级别的防护，对于已接入DDoS高防实例的非网站业务的“IP+端口”的连接速度、包长度等参数进行限制，实现缓解小流量的连接型攻击的防护能力。DDoS防护策略配置针对端口级别生效。

DDoS高防为已接入的非网站业务提供以下DDoS防护策略。

• 虚假源：针对虚假IP发起的DDoS攻击进行校验过滤。
• 目的限速：以当前高防IP、端口为统计对象，当每秒访问频率超出阈值时，对当前高防IP的端口进行限速，其余端口不受限速影响。
• 包长度过滤：设置允许通过的包最小和最大长度，小于最小长度或者大于最大长度的包会被丢弃。
• 源限速：以当前高防IP、端口为统计对象，对访问频率超出阈值的源IP地址进行限速。访问速率未超出阈值的源IP地址，访问不受影响。源限速支持黑名单控制，对于60秒内5次超限的源IP，您可以开启将源IP加入黑名单的策略，并设置黑名单的有效时长。

设置端口DDoS防护策略

以下步骤描述了单独设置高防IP下某一条转发规则的DDoS防护策略的方法，您也可以在高防IP下批量添加DDoS防护策略。

1. 登录DDoS高防控制台。
   
2. 在顶部菜单栏左上角处，选择地域。
   

• DDoS高防（中国内地）：选择中国内地地域。
  
• DDoS高防（非中国内地）：选择非中国内地地域。
  

3. 在左侧导航栏，选择防护设置 > 通用防护策略。
   
4. 在通用防护策略页面，单击非网站业务DDoS防护页签，并在页面上方选择要设置的DDoS高防实例。
   
5. 从左侧转发规则列表中单击要设置的转发规则。
   
   

6.为指定的转发规则设置虚假源、目的限速、包长度过滤、源限速。

1.虚假源：在虚假源下开启或关闭虚假源和空连接开关。

2.目的限速：单击目的限速下的设置，在设置对话框完成以下配置，并单击确定。

3.包长度过滤：单击包长度过滤下的设置，在设置对话框设置允许通过高防IP端口的报文所含payload的最小和最大长度，取值范围：0~6000（Byte），并单击确定。

4.源限速：单击源限速下的设置，在源限速设置页面完成以下配置，并单击确定。

批量添加DDoS防护策略

1. 登录DDoS高防控制台。
   
2. 在顶部菜单栏左上角处，选择地域。

• DDoS高防（中国内地）：选择中国内地地域。
  
• DDoS高防（非中国内地）：选择非中国内地地域。
  

3. 在左侧导航栏，选择接入管理 > 端口接入。
   
4. 在端口接入页面，选择DDoS高防实例，并单击规则列表下方的批量操作 > 添加DDoS防护策略。
   
5. 在批量添加DDoS防护策略对话框，按照格式要求输入要添加的防护策略内容，并单击确定。
   DDoS防护策略的格式要求如下。
   

说明

您也可以先批量导出当前DDoS防护策略，在导出的txt文件中统一调整后再将内容复制粘贴进来。导出文件中的DDoS防护策略格式和批量添加DDoS防护策略的格式要求一致。

1. 每行对应一条转发规则的DDoS防护策略。
2. 每条DDoS防护策略从左到右包含以下字段：转发协议端口、转发协议（tcp、udp）、源新建连接限速、源并发连接限速、目的新建连接限速、目的并发连接限速、包长度最小值、包长度最大值、虚假源开关、空连接开关。字段间以空格分隔。
3. 转发协议端口必须是已配置转发规则的端口。
4. 虚假源开关和空连接开关的取值是：on、off。若为空则表示关闭（即off）。