华为云首页用户手册

DDOS防护 ADS-原生防护-全力防高级版

时间：2024-05-20 11:00:30

DDOS防护 ADS

原生防护-全力防高级版

使用云原生全力防高级版需要在EIP购买处选择5_DDoSAlways1bgp池子的EIP，需要更换EIP。

客户知晓此项需要更换EIP的限制并且能够接受，高级版IP需要提前几分钟加到防护策略里，因为高级版IP启用的时候需要过几分钟才能完全生效。
如果同一个源IP短时间内频繁发起大量异常连接状态的报文时，需要通过配置连接防护策略，才能将该源IP纳入黑名单中进行封禁惩罚，等封禁结束后可恢复访问。
- 如果需要配置连接防护策略（仅云原生全力防高级版和高防支持，可联系保障同事配置），需要您评估正常业务日常目的IP地址并发连接数和目的IP地址新建连接速率，超出则会触发启动针对TCP连接耗尽攻击的防御，评估正常源IP最大并发连接数和正常源IP最大的每秒新建连接速率，作为拉黑源IP的条件，如果配置过小会有把正常源IP拉黑的风险。可参考配置连接防护。
- 如果不配置连接防护策略，或者配置目的IP地址并发连接数和目的IP地址每秒新建连接速率触发阈值过大，或者配置正常源IP最大并发连接数和正常源IP最大的每秒新建连接速率阈值过大，可能会有源站后端连接被打满的风险。
请客户根据历史攻击情况评估是否需要开启四层CC连接类攻击防护，并知晓会有拉黑正常源IP的风险，如果需要使用，请联系后台打开白名单。
如果有找过DDoS后台调大过带宽档位，如果在界面上调整清洗档位，会有覆盖原本调大带宽的风险。

请客户业务在现网跑稳定后尽量不要在界面上调整清洗档位。
原生防护全力防高级版专属IP在实例过期后或者将IP从实例中移除，IP会被移到拉黑防护对象，业务将不可用。

原生防护全力防高级版专属IP在实例快过期前更换成普通EIP, 日常不要将高级版IP从高级版实例里移除。
如果客户购买的原生防护全力防高级版实例的带宽比加到原生防护全力防高级版实例的EIP/ELB购买的总带宽小，EIP/ELB可能在原生防护高级版实例里会有被限速风险。

请客户对齐加到原生防护全力防高级版实例的EIP/ELB购买的总带宽和原生防护全力防高级版实例的带宽是否一致，评估是否需要扩容原生防护实例带宽或者申请短期暂时后台放大原生防护实例带宽。
如果客户业务有长连接业务，使用云原生全力防高级版/高防在网络波动异常场景触发机房调度可能会导致长连接断连需要重新建立长连接。

有长连接场景的客户建议使用云原生基础版，云原生高级版和高防在丢包率高的异常场景会触发调度到其他机房，调度瞬间可能会导致长连接断连需要重新建立长连接。
如果客户业务没有UDP协议，建议客户在防护策略界面上封禁UDP。
如果客户业务没有海外流量访问，建议客户在防护策略界面上封禁海外流量。
接入业务稳定后尽量不要调整界面上的配置，以免比如打开一些封禁协议开关影响业务。

请客户在接入正式业务前进行充分测试。