创建防护对象

通过创建防护对象,对AntiDDoS或NFA2000V设备保护的IP地址进行标识和分组。后续针对不同的防护对象,可以配置不同的防御策略,实现差异化、层次化的防御。

前提条件

当创建防护对象的同时需要关联AntiDDoS或NFA2000V设备时,请先将防护对象关联的设备发现到ATIC管理中心中。

背景信息

防护对象有自定义防护对象、默认防护对象。

  • 自定义防护对象

    当明确了要保护的IP地址/IP地址段时,管理员可以手工创建自定义防护对象,并将待保护的IP地址/IP地址段加入到防护对象中。对访问这些IP地址/IP地址段的流量,Anti-DDoS设备或NFA2000V设备使用为其配置的防御策略进行精细化保护。

    此类防护对象的类型为“自定义”

  • 默认防护对象

    每台设备只能关联一个默认防护对象,默认防护对象没有具体的IP地址。配置了默认防护对象后,对“自定义”防护对象以外的目的IP地址,将使用默认防护对象下配置的防御策略进行保护。

    此类防护对象的类型为“默认”

说明:

Outbound不支持默认防护对象。

当网络较大或跨多个区域,需要多个管理员每人管理一部分网络时。可以创建多个防护对象,为每个管理员赋予对应防护对象的管理权限。

操作步骤

  1. 选择防御 > 策略配置 > 防护对象
  2. “防护对象列表”界面,单击
  3. 配置防护对象的基本信息,参数说明请参见表1

    表1 防护对象基本信息
    参数 说明 取值建议
    账号 防护对象账号,会下发到设备。

    只能由英文字母、数字、下划线组成,不区分大小写。不能为非法字符null、admin或default,不能以sig开头。且必须以字母开头,长度不能超过32个字符。

    修改防护对象时,不能修改此参数。
    类型 防护对象的类型。

    包括“自定义”“默认”两种类型。

    修改防护对象时,不能修改此参数。
    名称 防护对象名称,作为防护对象账号的补充,方便查看。仅用于ATIC显示。

    名称不能为null,可以为数字、中文、字母、字符“-”、“_”、“!”、“@”、“#”、“$”、“^”、“.”、“+”、“{”、“}”,长度不能超过64个字符。
    联系人、联系电话、移动电话、行业、邮编、Email、地址 联系人的基本信息。 -
    描述 描述信息,用于备注此防护对象的详细信息。 长度不能超过255个字符。

  4. 配置自定义防护对象的IP地址。

    说明:
    只有创建自定义防护对象时,才可以进行此操作。

    1. “创建防护对象”界面,单击“IP地址”页签。
    2. 单击

    3. 创建IP地址,参数说明请参见表2

      说明:

      NFA2000V与AntiDDoS可支持IPv4和IPv6两种格式的IP地址。

      表2 创建IP地址
      参数 说明 取值建议
      IP类型 IP地址类型。
      • “包含”:表示此IP地址属于此防护对象。
      • “排除”:在已经配置的IP地址中排除,使其不属于此防护对象。

      举例:当防护对象是整个网段,但不包含其中某IP地址时,可先创建“IP类型”“包含”的整个网段,再创建“IP类型”“排除”的单个IP地址。
      创建方式 创建IP地址的方式。
      • “IP地址+掩码”:通过输入IP地址和掩码的方式创建IP地址。
      • “IP地址范围”:通过输入开始IP地址和结束IP地址的方式创建IP地址。

    4. 单击“确定”

      创建的IP地址显示在“IP地址”界面列表中。

      说明:

      • 不同防护对象的IP地址不能有交集。

      • “IP地址”列表中,选中单个IP地址,单击,可删除此IP地址;选中列表标题的复选框,单击,可删除所有IP地址。

  5. 单击“设备”页签,为防护对象关联AntiDDoS或NFA2000V设备。选中设备前的复选框,单击“确定”

    说明:

    当需要将防护对象的流量牵引至设备的特定VPN实例时,须在“VPN”列选择对应的VPN实例名称。NFA不支持VPN实例。

  6. 单击“策略”页签,配置防御策略和引流。(适用于AntiDDoS设备)
    1. 配置防护对象的防护带宽。

      防护对象带宽指创建的防护对象中所有IP地址的总带宽,一般用于运营场景中,运营商为租户服务的总带宽。

      防护带宽也可用于告警级别定义的参考,不同的防护对象,对应的带宽不同,响应的告警各级别的带宽也不同。

    2. 选择防御策略模板。

      您可以选择系统默认的防御策略模板,当默认的防御策略模板不能满足需要时,可以创建新的防御策略模板。具体请参见配置策略模板

      说明:

      Outbound防御策略不支持此操作。

    3. 勾选“防护对象攻击抓包”,清洗设备会对由于防护对象受到攻击导致丢弃的报文进行抓包,用以协助分析攻击事件。(Outbound不支持)
    4. 可选:创建静态引流任务。

      “引流任务”区域框中,单击,创建需要引流的IP地址。

      当静态引流任务下发后,访问该目的IP地址的所有流量都会被引到清洗设备进行清洗。

      当仅需要对被保护IP地址段中的部分IP地址或IP地址段进行引流时,可执行以下操作拆分IP地址段并选择拆分后的子网地址:

      1. 单击待拆分IP地址对应的

      2. “拆分设置”界面,输入掩码拆分长度,单击“拆分”

        掩码拆分长度范围为:IP地址段掩码位数+1~IP地址段掩码位数+8之间。举例:被保护IP地址段的掩码为255.255.0.0,即16位掩码,则掩码拆分长度可输入17~24。

      3. 选择拆分后的子网地址。

      4. 单击“确定”

      5. “创建引流任务”界面,选择拆分后的子网地址。

  7. 单击“策略”页签,配置检测策略。(适用于NFA2000V设备)
    1. 选择策略模板。

      创建新的策略模板,具体请参见配置策略模板

      说明:

      Outbound防御策略不支持此操作。

  8. 可选:单击“端口映射”页签,配置端口映射。目的是在非知名端口上存在业务流量时,把业务固定在某种协议上。(适用于AntiDDoS设备)

    说明:
    每个防护对象的每种协议可以配置16个端口映射。

    1. 单击,配置端口映射。

    2. 单击“确定”
  9. 可选:单击“关联智能防御规则 ”页签,配置智能防御规则。(适用于AntiDDoS设备)
    1. 单击,选择智能防御规则。

    2. 单击“确定”
  10. 单击“确定”,在ATIC管理中心上完成创建防护对象;单击“部署”,将防护对象配置直接部署到AntiDDoS或NFA2000V设备。

后续处理

当需要查看、修改、删除防护对象时,请参见配置防护对象

父主题: 配置防护对象
版权所有 © 华为技术有限公司