边缘安全
  • 概述
  • DDoS 防护
    • DDoS 防护概述
    • 使用独立 DDoS 防护
    • 配置独立 DDoS 防护策略
      • 调整 DDoS 防护等级
      • 独立 DDoS 攻击流量告警
      • 配置 IP 黑白名单
      • 配置区域封禁
      • 配置端口过滤
      • 配置特征过滤
      • 配置协议封禁
      • 配置连接类攻击防护
      • 相关参考
        • 处置方式
        • 相关概念介绍
  • Web 防护
    • 概述
    • 托管规则
    • CC 攻击防护
    • 自定义规则
    • 自定义速率限制规则
    • 防护例外规则
    • 托管定制规则
    • Web 安全监控告警
    • 相关参考
      • Web 防护请求处理顺序
      • 处置方式
      • 匹配条件
  • Bot 管理
    • 概述
    • Bot 智能分析
    • Bot 基础特征管理
    • 客户端画像分析
    • 主动特征识别
    • 自定义 Bot 规则
    • Bot 管理例外规则
    • 相关参考
      • 处置方式
  • 策略模板
  • IP 和网段分组
  • 源站防护
  • 自定义响应页面
  • 告警通知推送
  • SSL/TLS
    • 概述
    • 部署/更新 SSL 托管证书至 EdgeOne 域名
    • 使用免费证书部署至 EdgeOne 域名
    • HTTPS 配置
      • 强制 HTTPS 访问
      • 启用 HSTS
      • SSL/TLS 安全配置
        • 配置 SSL/TLS 安全等级
        • TLS 版本及密码套件说明
      • 开启 OCSP 装订

配置连接类攻击防护

功能说明

EdgeOne 支持对连接型攻击进行防护,对连接行为异常的客户端自动封禁。在源 IP 最大异常连接数开启防护后,当边缘安全加速平台检测到同一个源 IP 短时间内频繁发起大量异常连接状态的报文时,会将该源 IP 纳入黑名单中进行封禁惩罚,封禁时间为15分钟,等封禁解除后可恢复访问。
说明:
该功能仅在四层代理开启独立 DDoS 防护时支持,默认平台防护以及七层站点独立 DDoS 防护均不支持配置;

适用场景

为了防住大量连接耗尽源站的 TCP 连接资源或者网络资源,您可以通过配置连接类攻击防护保护源站。

操作步骤

1. 登录边缘安全加速平台控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击安全防护> DDoS 防护,进入 DDoS 防护详情页。
3. 在四层代理防护选项卡内,选择需要配置的四层代理防护实例,点击防护配置
4. 在连接类攻击防护卡片中,单击设置,进入连接类攻击防护页面。



5. 在连接类攻击防护页面中,单击连接规则右侧的编辑,各连接规则说明及处置方式请参考相关参考
6. 在配置规则对话框中,修改配置后,单击确定,即可完成下发规则。

相关参考

支持的连接规则

(单个源 IP)新建连接限制:通过限制单位时间内允许单个源 IP 发起的新建连接数量,避免攻击方通过大量空连接耗尽 TCP 连接资源。
(单个源 IP)并发连接限制:通过限制同一时间单个源 IP 开放状态的连接数量,避免攻击方通过大量并发连接耗尽 TCP 连接资源。
(单个源 IP)异常连接限制:通过限制同一时间单个源 IP 连接至 EdgeOne 的异常连接数量,避免有大量异常连接状态的高危客户端连接至源站,产生安全风险。异常连接可以自定义通过SYN报文占比、SYN报文数量、连接超时、异常空连接等不同维度规则组合判断。
全局新建连接限制:通过限制单位时间内允许通过 EdgeOne 对源站站点新建连接数量,避免攻击方通过大量空连接耗尽 TCP 连接资源。
全局并发连接限制:通过限制同一时间通过 EdgeOne 对源站站点开放状态的连接数量,避免攻击方通过大量并发连接耗尽 TCP 连接资源。
全局数据速率限制:通过限制同一时间通过 EdgeOne 转发至源站应用的数据速率,避免攻击方通过大量伪造请求消耗源站网络和计算资源。
全局包速率限制:通过限制同一时间通过 EdgeOne 转发至源站应用的包速率,避免攻击方通过大量伪造请求消耗源站网络和计算资源。

处置方式

限制新建连接:单个源 IP 规则下时,拒绝该 IP 新增的连接请求,全局策略下,拒绝所有新增的 TCP 连接请求。
断开连接并惩罚:断开该 IP 连接并封禁该 IP 15分钟。
丢弃超额数据:丢弃超出数据传输速率或者连接包速率的请求内容。