EdgeOne DDoS 防护服务支持通过配置 IP 黑名单和白名单的方式,控制客户端源 IP 封禁或者放行访问请求,从而限制访问您业务资源的用户。配置 IP 黑白名单针对源 IP 设置过滤或放行规则,当白名单中的 IP 访问时,将被直接放行,不经过 DDoS 防护内其他防护策略过滤(不影响其他模块的防护策略),当黑名单中的 IP 访问时,将会被直接阻断。
说明:
1. 该功能仅在四层代理开启独立 DDoS 防护时支持。如需对 Web 站点配置 IP 黑白名单,请使用自定义规则。
2. IP 黑白名单规则保存后,将在5-10秒内生效。
3. IP 黑白名单最多可以配置8个 IP 分组,每个分组最多填写2000个 IP。
使用场景
攻击时仅允许白名单内 IP 访问:在遭受 DDoS 攻击时,仅允许受白名单信任的用户访问该站点,可以大幅度降低网站的安全风险,但是可能会影响不在白名单内的正常 IP 访问请求。
黑名单直接拦截攻击源 IP:对已确定为攻击源 IP 添加为黑名单,阻断来自该 IP 的所有访问请求,降低 DDoS 清洗流量,减少攻击透传。
场景一:通过 IP 白名单,添加受信任 IP 放行请求
针对站点 example.com 下的所有业务域名,IP 地址段 1.1.1.1/24 是该站点信任的访问 IP,为了避免受信任 IP 被误拦截,可将该 IP 添加至白名单内,不经过 DDoS 防护模块清洗。操作步骤如下: