华为云首页用户手册

DDOS防护 ADS-国内高防

时间：2024-05-20 11:00:30

DDOS防护 ADS

国内高防

如果同一个源IP短时间内频繁发起大量异常连接状态的报文时，需要通过配置连接防护策略，才能将该源IP纳入黑名单中进行封禁惩罚，等封禁结束后可恢复访问。
- 如果需要配置连接防护策略（仅云原生全力防高级版和高防支持，可联系保障同事配置），需要您评估正常业务日常目的IP地址并发连接数和目的IP地址新建连接速率，超出则会触发启动针对TCP连接耗尽攻击的防御，评估正常源IP最大并发连接数和正常源IP最大的每秒新建连接速率，作为拉黑源IP的条件，如果配置过小会有把正常源IP拉黑的风险。可参考配置连接防护。
- 如果不配置连接防护策略，或者配置目的IP地址并发连接数和目的IP地址每秒新建连接速率触发阈值过大，或者配置正常源IP最大并发连接数和正常源IP最大的每秒新建连接速率阈值过大，可能会有源站后端连接被打满的风险。
请客户根据历史攻击情况评估是否需要开启四层cc连接类攻击防护，并知晓会有拉黑正常源IP的风险，如果需要使用，请联系后台配置。
IP接入方式存在单线路单点故障风险，当机房掉电，运营商线路故障，机房硬件设施故障等场景，造成服务IP不可用或者IP存在大量丢包时延增加的情况无法保证客户业务连续性，无法承诺服务SLA，请客户充分知悉上述风险，实例IP接入的客户在发生单点故障时华为云后台无法进行调度。

推荐客户购买一个备用实例，故障发生时客户评估自行调度流量到备用实例IP，进行故障的恢复。或者通过域名接入高防能够在该高防IP故障情况下自动调度到其他机房高防IP，如果客户源站在华为云上，优选推荐使用云原生基础版/高级版接入。
请客户检查弹性带宽阈值，流量达到弹性带宽阈值会被机房封堵。

弹性防护带宽是先防护后缴费，请客户把弹性防护带宽阈值调整到比以往的最大攻击流量带宽更高。
请客户对齐高防域名/IP接入的业务总带宽和购买高防实例的带宽是否一致，如果购买高防实例的业务带宽比实际域名/IP接入的总带宽小，可能会有被限速风险。

需要评估是否需要扩容业务带宽或者申请短期暂时后台放大业务带宽。
客户源站IP是否有对外暴露过，高防防护原理就是隐藏源站IP, 如果暴露过有被绕过高防直接打源站IP的风险。

有暴露过源站IP需要提醒客户更换没有暴露过的IP作为高防源站。
如果客户业务有长连接业务，使用云原生全力防高级版/高防在网络波动异常场景触发机房调度可能会导致长连接断连需要重新建立长连接。

有长连接场景的客户建议使用云原生基础版，云原生高级版和高防在丢包率高的异常场景会触发调度到其他机房，调度瞬间可能会导致长连接断连需要重新建立长连接。
接入业务稳定后尽量不要调整界面上的配置，以免比如打开一些封禁协议开关影响业务。

请在接入正式业务前进行充分测试。
如果客户业务没有海外流量访问。

建议您在防护策略界面上封禁海外流量。

以上风险请知悉！