配置DDoS防护策略_操作指南_网站云防护-文档中心

分布式拒绝服务（DDoS）攻击是指攻击者通过控制僵尸网络或代理设备等手段，向目标网站或服务器发送大量请求或数据，从而对目标业务造成影响的恶意行为。这种攻击可能导致网站加载缓慢或完全无法访问。我司DDoS防护产品依托CDN资源优势，结合大数据分析能力和自主研发的防护算法，可实现对各类DDoS攻击的实时检测与防御，从而保障网站在大规模攻击下依然能够稳定在线。

进入DDoS防护页面

登录控制台，在已开通产品下找到安全产品并点击进入。
前往防护配置>安全策略页面。
定位要配置安全策略的域名，点击，进入安全策略编辑页面。
选择DDoS防护标签页，若应用层DDoS防护已关闭，请开启。

网络层DDoS防护配置

我司网站云防护平台默认自动检测和缓解OSI模型3/4层的DDoS攻击，包括SYN Flood、ACK Flood、ICMP Flood、UDP Flood及各类反射攻击（如NTP反射、Memcache反射、SSDP反射）。这些防护默认开启，不可关闭，以保护平台基础设施及所有客户的可用性。

应用层DDoS防护配置

概述

应用层DDoS防护服务基于智能防护引擎，融合内置规则防护与AI智能防护双重机制，通过自动化攻击检测与动态防护策略调整，保障业务在应用层（如HTTP/HTTPS）遭受DDoS攻击时的可用性与稳定性。

整体防护机制说明

1. 双重机制协同防护

内置规则防护
我司构建的内置防护规则集，基于海量攻击特征库与安全专家团队攻防对抗经验沉淀，预置针对异常请求参数、协议规范违规、可疑高频请求等常见应用层攻击的规则。规则集部署于全球分布式边缘节点，以支持秒级精准攻击匹配与拦截。

AI智能防护

自动化攻击监测：基于我司安全大数据平台能力，通过机器学习模型持续分析网站的业务请求基线，持续监控域名流量特征、请求分布、源站响应状态等指标，实时判定攻击类型、攻击强度以及源站状态。
自适应防护策略：根据所选防护等级以及检测的攻击状态，自动切换防护模式：

当域名遭受CC攻击时，优先自适应启用内置规则进行拦截。
当内置规则未完全拦截攻击，源站可用性仍受到威胁时，系统将结合自主研发的算法，自动识别异常攻击请求并生成防护规则，实现动态封禁、人机验证、请求限速等多维度处置，有效缓解新型应用层DDoS攻击以保护源站。

2. 整体防护逻辑

域名接入，学习开始
新域名接入时，引擎将根据所选的防护等级自动下发预设阈值，确保业务在初始阶段即可获得及时防护；同时，引擎将通过2-6小时的域名流量学习，生成业务专属防护阈值与AI防护规则，并每小时动态更新，实现攻击精准定位与自适应防护。

第一道防线 - 边缘防护开启，快速拦截
当域名遭受少量CC攻击时，部署于边缘节点的 “攻击时启用” 内置规则将快速生效，实现攻击秒级拦截与处置。内置规则模式详情可参考文档下方规则模式表格。

第二道防线 - 全域名防护开启，大量清洗
当系统检测到攻击流量进一步持续增大，将以全域名维度下发 “攻击时启用” 内置规则，实现全域攻击流量清洗。

第三道防线 - AI智能防护规则生成，保护源站
若系统检测到攻击仍有漏过，且影响到源站可用性时，AI智能防护将进一步增强防护，将根据已学习到的具体攻击特征，定位攻击并下发对应的 AI 防护规则，当前可支持的几类AI规则如下：

频率限制规则，用于防护请求高频攻击
空请求头规则，用于防护请求头异常为空的攻击
特定 UA 规则，用于防护 UA 异常的攻击
JA4 规则，用于防护 JA4 异常聚集的攻击

攻击结束
当系统检测到域名流量持续15分钟不满足判定攻击的条件，则判断该域名所受攻击结束，此时将停用 “攻击时启用” 规则，并删除所有已下发的 AI 规则。

选择防护等级

开启应用层DDoS防护后，需要您根据不同业务场景的安全防护需要，选择适当的安全防护等级，每个防护等级都会影响：攻击检测灵敏度和AI规则生成阈值。防护等级的选择参考下表：

等级	防护效果	适合场景	攻击检测灵敏度	AI规则生成阈值
宽松	默认拦截已知的特定恶意攻击，AI引擎仅在监测到攻击导致网站可用性明显下降时启动自适应防护，对正常请求误拦截概率极低。	适用于请求量大，且处理能力强的网站，或适配活动等特殊业务场景。	低（必要条件：系统检测到源站可用性大幅下降）	中
适中（推荐）	可有效防护常见恶意攻击，适配绝大多数业务场景。	适用于请求量平稳，且有正常业务处理能力的网站。	中	中
严格	对恶意攻击启用严格的防护策略，此模式可能导致部分误拦截。	适用于请求量小，自身处理能力较弱的网站，或适配有严格清洗需求的业务场景。	高	高

注意：由于 AI 引擎根据域名的请求量、可用性等指标自动判断域名是否受到 CC 攻击，而活动场景往往同时伴随高请求量和可用性降低的情况，因此有较高误报可能，建议在活动前人工调整策略以避免误报。

配置内置规则

通常情况下，建议您保持内置规则防护默认开启，相关处理动作和规则模式保持原状即可。

调整处理动作或规则模式

若业务预期出现合法流量激增的情况（如大促活动、新品发布），您可以通过调整内置规则的配置项来避免误拦截的情况。配置项有以下两种：

处理动作 - 当请求匹配此条内置规则时，系统对此自动执行的防护动作，具体描述如下：

处理动作	描述
拦截	拦截对应请求并响应403
监控	仅记录日志，不对请求进行处理
DDoS托管校验	根据请求特征动态选择适当的方式进行质询，包括Cookie验证和JavaScript验证
拒绝链接	释放与客户端已建立的TCP连接，并拒绝新的连接

规则模式 - 定义每条内置规则的生效场景，智能防护引擎可根据检测到的应用层DDoS攻击状态自适应切换规则模式，具体描述如下

规则模式	描述
默认启用	不论是否检测到攻击，该模式的规则始终生效
攻击时启用	当智能防护引擎检测到域名遭受攻击时，将启用该模式的规则
基本关闭	仅当智能防护引擎检测到域名遭受攻击，且攻击规模已经影响节点基础设施性能时，会额外生效该模式的规则
永久关闭	不论是否检测到攻击，该模式的规则始终不生效

添加App/API例外

针对“DDoS托管校验”内置规则的例外处理，适用于非Web/H5网站的原生App、混合App和Callback API类业务。以下为配置例外的说明：

业务类别	说明	是否需添加例外	备注
原生App	使用移动平台语言开发，不需例外，除非使用浏览器User-Agent。	一般无需求例外	仅Mozilla或Opera的User-Agent生效，若使用浏览器的User-Agent需例外处理。
混合App	原生与HTML5技术混合应用，可根据特征例外处理。	需要例外	根据请求特征例外处理，当原生和HTML5页面请求有明显差异时，只对原生请求特征例外，如`User-Agent=AppName/1.0.0`。
回调API	自动调用注册回调函数传递数据，需例外处理。	需要例外	根据回调API特征例外处理，如`URI=/api/callback`。
其他程序API	不支持“DDoS托管校验”的API，需例外处理。	需要例外	根据程序API特征进行例外处理，如`URI=/api/other`。

具体配置方法参照：配置App/API例外

配置的App/API例外仅对处理动作为“DDoS托管校验”的内置规则生效。

配置AI智能防护

当AI智能防护开启后，引擎将自动根据所选防护等级和攻击特征下发对应的AI防护规则进行防护。通常情况下，建议您默认开启AI智能防护，并保持模式为防护，以保证最佳的防护效果。

调整防护模式

若您希望预先观察分析流量特征；或需要在遭受攻击时降低误拦截风险，可基于业务实际需求调整相关智能防护模式。模式的选择将决定引擎下发规则的处理动作，其对照关系和具体描述见下表：

模式	对应处理动作	描述
防护（默认）	拦截	智能防护规则将直接拦截命中规则的请求
防护（托管）	DDoS托管校验	系统基于网页客户端请求特征，自适应触发Cookie或JavaScript校验机制，从而有效降低该场景的误拦截率
观察	监控	仅将命中规则的请求记录在攻击日志中

查看智能防护规则

规则命名方式
通过查看智能防护规则的名称，可在运维场景下快速定位攻击类型。规则的命名方式为：AI_<规则类别>_xxxxx，如：AI_限制高频目录请求_xxxxx，则可知当前生效的规则类型为频率限制类规则。

查看命中智能防护规则的请求

攻击过程中，查看当前正在生效的规则
如果当前攻击正在发生，且已触发AI智能防护，可直接在安全策略>DDoS防护页面，应用层DDoS防护>AI智能防护 列表处查看当前生成的防护规则。
通过攻击日志，查看命中智能防护规则的请求详情
若您希望分析智能防护规则命中的请求日志，验证该规则是否精准匹配业务流量特征，确保仅真实攻击行为被拦截：

前往安全运营>攻击日志页面
通过过滤器，选择 DDoS防护-策略名称 等于 AI智能防护
展开命中规则详情，查看具体规则信息、请求信息，和客户端信息

回溯智能防护规则部署情况
由于攻击者往往会通过不断变化攻击特征绕过防护，同时为降低无攻击时的误拦风险，因此智能防护规则仅在攻击时被生成，攻击停止15分钟后将被自动删除。如果您分析到某条防护规则对多次攻击都能有效防护，可根据规则信息说明，将其手动配置到自定义规则或频率限制中，对网站进行持续防护。您可通过以下方式查看规则历史部署记录：

前往配置变更记录页面
通过过滤器，选择配置安全策略-DDoS防护，变更类型-新增
在列表中查看操作人为 system 的条例，点击变更详情，将展示攻击时期下发的AI智能防护规则

产品文档