配置特征过滤
功能说明
特征过滤可以精准制定针对业务报文特征或攻击报文特征的防护策略来防止畸形报文攻击透传。EdgeOne 支持针对 IP、TCP 及 UDP 报文头或载荷中的特征自定义拦截策略。开启特征过滤后,您可以将源端口、目的端口、报文长度、IP 报文头或荷载的匹配条件进行组合,并对命中条件的请求设置丢弃、放行、丢弃并拉黑、继续防护等策略动作。
说明:
该功能仅在四层代理开启独立 DDoS 防护时支持,默认平台防护以及七层站点独立 DDoS 防护均不支持配置。
适用场景
站点业务接入 EdgeOne 后,如果您需要针对性地管理具有固定特征的访问请求,则您可以为该站点开启特征过滤并设置精确访问控制规则。特征过滤访问控制规则由匹配条件与匹配动作构成。
匹配条件定义了要识别的请求特征,具体指访问请求中TCP/UDP协议字段的属性特征。
匹配动作定义了访问请求命中匹配条件时,对访问请求执行的动作,具体包括拦截、放行、丢弃并拉黑、继续防护。
操作步骤
例如:针对站点
example.com
下的所有业务域名,对外仅开放的 TCP 业务包长度要求均不大于 512 字节,对不符合该特征的请求全部拦截。操作步骤如下:1. 登录边缘安全加速平台控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击安全防护> DDoS 防护,进入 DDoS 防护详情页。
3. 在四层代理防护选项卡内,选择需要配置的四层代理防护实例,点击防护配置。
4. 在特征过滤卡片中,单击设置,进入特征过滤页面。
5. 在特征过滤页面中,单击新建。
6. 在新建特征过滤对话框中,创建特征过滤规则,根据需求,选择不同防护动作并填写相关字段,单击确定。
各个特征字段说明如下:
过滤特征 | 说明 | 其他参数 |
源端口 | 指访问来源端口 支持输入1-65535范围的端口号 支持逻辑等于或介于 | / |
目标端口 | 指访问目标端口 支持输入1-65535范围的端口号 支持逻辑等于或介于 | |
包长度 | 指访问报文的数据包长度 支持输入1-1500范围数字 支持逻辑等于或介于 | |
IP 首部开始检测 | 支持关键词匹配,其中关键词通过偏移量及检查深度匹配 | 偏移量:UDP或TCP头部后数据体(payload)的偏移量,可选范围:0~1500,单位:Byte。 偏移量为0时,从数据体的第一字节开始匹配。 载荷内容:要匹配的数据体(payload)内容,可直接输入字符串(如:hello) 或以\x开头的十六进制字符串(如:\x1A2B3C4D)。 检查深度:载荷内容的字符串长度加上偏移量。(如:偏移量为1,字符串长度为6,则深度为7) |
TCP/UDP 首部开始检测 | 支持关键词匹配,其中关键词通过偏移量及检查深度匹配 | |
载荷开始检测 | 指跳过IP首部和TCP/UDP首部,从报文所携带的载荷开始检测 支持关键词匹配,其中关键词通过偏移量及检查深度匹配 | |