边缘安全
  • 概述
  • DDoS 防护
    • DDoS 防护概述
    • 使用独立 DDoS 防护
    • 配置独立 DDoS 防护策略
      • 调整 DDoS 防护等级
      • 独立 DDoS 攻击流量告警
      • 配置 IP 黑白名单
      • 配置区域封禁
      • 配置端口过滤
      • 配置特征过滤
      • 配置协议封禁
      • 配置连接类攻击防护
      • 相关参考
        • 处置方式
        • 相关概念介绍
  • Web 防护
    • 概述
    • 托管规则
    • CC 攻击防护
    • 自定义规则
    • 自定义速率限制规则
    • 防护例外规则
    • 托管定制规则
    • Web 安全监控告警
    • 相关参考
      • Web 防护请求处理顺序
      • 处置方式
      • 匹配条件
  • Bot 管理
    • 概述
    • Bot 智能分析
    • Bot 基础特征管理
    • 客户端画像分析
    • 主动特征识别
    • 自定义 Bot 规则
    • Bot 管理例外规则
    • 相关参考
      • 处置方式
  • 策略模板
  • IP 和网段分组
  • 源站防护
  • 自定义响应页面
  • 告警通知推送
  • SSL/TLS
    • 概述
    • 部署/更新 SSL 托管证书至 EdgeOne 域名
    • 使用免费证书部署至 EdgeOne 域名
    • HTTPS 配置
      • 强制 HTTPS 访问
      • 启用 HSTS
      • SSL/TLS 安全配置
        • 配置 SSL/TLS 安全等级
        • TLS 版本及密码套件说明
      • 开启 OCSP 装订

配置端口过滤

功能说明

端口过滤用于通过指定端口和协议的方式精准制定防护策略,管控客户端可访问 EdgeOne 的端口和协议。开启端口过滤后,可以根据需求自定义协议类型、源端口范围、目的端口范围的组合,并对匹配中的规则进行设置拦截、放行、继续防护的策略动作。
说明:
该功能仅在四层代理开启独立 DDoS 防护时支持,默认平台防护以及七层站点独立 DDoS 防护均不支持配置;

适用场景

源站存在 UDP 业务,通过端口过滤 UDP 反射攻击:如果当前您的源站业务存在 UDP 连接,无法直接封禁 UDP 协议访问,您可以通过在端口过滤中,配置在 DDoS 清洗需拦截的 UDP 访问端口,防止 UDP 反射攻击透传。常见的 UDP 反射攻击端口包括:1-52、54-161、389、1900、11211。
清洗非允许的端口访问来源:当您的源站仅开放指定端口访问时,可以通过端口过滤,配置在 DDoS 清洗后仅允许访问的端口,直接丢弃所有来自其余端口的访问连接,减少攻击透传。

操作步骤

例如针对站点 example.com 下的所有业务域名,业务仅对外开放了 TCP 协议的 110-155 号端口,其余端口不允许访问。操作步骤如下:
1. 登录边缘安全加速平台控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击安全防护> DDoS 防护,进入 DDoS 防护详情页。
3. 在四层代理防护选项卡内,选择需要配置的四层代理防护实例,点击防护配置
4. 在端口过滤卡片中,单击设置,进入端口过滤页面。



5. 在端口过滤页面中,单击新建,创建端口过滤规则,以当前场景为例,新建两条规则,拦截所有协议选择为 TCP 协议,源端口范围填写 1-65535,目的端口范围填写为 10-155 端口,选择不同防护动作并填写相关字段,单击保存



字段
说明
协议
可选全部、TCP或UDP协议
源端口范围
指客户端发起访问的端口信息,支持填写范围:1-65535
目的端口范围
指客户端访问的目的端口信息,支持填写范围:1-65535
动作
拦截:阻断该请求;
放行:放行该请求,并不再匹配剩余的防护策略。
继续防护:放行当前请求,继续匹配其余的防护策略。