配置防御模式

操作步骤

1. 选择“防御 > 策略配置 > 防护对象”。
2. 单击防护对象对应的。
3. 配置基本策略，参数说明请参见表1。

   表1 配置防御模式

   参数	说明	取值建议
   防护带宽	防护对象中所有IP地址的总带宽。	当入流量超过配置的防护带宽时，可选择是否进行限流。 作为自定义防护对象的告警策略里入流量的计算基数：入流量=防护带宽*百分比。
   过滤器丢弃阈值	防护对象应用过滤器功能后，当命中过滤器的流量超过告警阈值时，AntiDDoS对后续命中过滤器的报文进行丢弃。	取值范围是1～80000000。
   引流模式	检测设备在检测到防护对象的流量异常后，将流量牵引至清洗设备的模式。	自动执行：检测设备检测到流量异常后上报ATIC，ATIC自动生成引流任务，并自动下发引流任务到清洗设备。 手动确认：检测设备检测到流量异常后上报ATIC，ATIC自动生成引流任务，引流任务生成后不直接下发，需要经管理员确认后再下发到清洗设备。 防护对象的状态由受攻击变为正常后，ATIC自动下发取消引流任务到清洗设备，自动取消引流。 说明： 除了自动执行、手动确认引流外，还可以通过配置引流任务，将指定的流量牵引到清洗设备进行处理，无论流量是否异常都进行引流，具体请参见配置BGP引流（通过ATIC）。
   防御模式	清洗设备检测到流量异常后的防护模式。	自动执行：清洗设备检测到流量异常后，生成异常事件并自动启用防御。 手动确认：清洗设备检测到流量异常后，生成异常事件，需要由管理员确认是否启用防御，具体请参见查看防护对象状态和告警。 目前支持手动确认防御的有以下几种类型：SYN flood、SYN-ACK flood、ACK flood、TCP connection flood、TCP Malformed flood、TCP frag flood、UDP flood、UDP frag flood、RST flood、DNS reply flood、DNS request flood、域名劫持攻击、HTTP flood、HTTPS flood、SIP flood、Other flood以及URI行为监测。 当“引流模式”为“手动确认”时，“防御模式”只能选择“自动执行”。
   黑洞模式	在防御过程中，当入流量超过黑洞阈值，会自动生成黑洞任务，并下发黑洞路由给清洗设备。	自动执行：清洗设备检测到流量异常后，生成黑洞并自动启用。 手动确认：清洗设备检测到流量异常后，生成黑洞，需要由管理员确认是否启用黑洞。
   黑洞事件上报（RESTful）	清洗设备检测到流量异常后，上报到restful接口，通知给restful服务器。	开启：清洗设备检测到流量异常后，生成黑洞并使用restful上报。 关闭：清洗设备检测到流量异常后，生成黑洞但不上报。
   动态黑名单模式	在防御过程中，检测到的非法源IP将被清洗设备加入动态黑名单中。	自动：动态黑名单生成后自动生效。 关闭：防御过程中，不生成动态黑名单。
   单目的IP限流	将防护对象中单个地址的流量限制在阈值之内，超过阈值的报文直接丢弃。	当网络带宽有限时，建议开启该功能，可防止网络拥塞。 此处的流量统计是从报文二层头开始统计的，不包括物理层的长度，因此实际允许通过的流量会略高于此处的设置值。
   IP信誉	当前IP信誉库主要是僵尸主机的IP地址集合，开启IP信誉功能后，可对这些僵尸主机发送的报文进行过滤。	开启IP信誉功能后，当流量触发告警阈值时，AntiDDoS对报文的源IP地址进行匹配，如果命中IP信誉库，则丢弃此报文。
   新建会话限速	将每秒到目的IP地址的所有新建会话的速率限制在“限速阈值”之内。	限速阈值是1～400000。
   秒级黑洞	开启黑洞功能后，设备会每秒统计入流量，一旦入流量超过黑洞阈值，会根据全局配置里的黑洞模式执行对应动作。	黑洞阈值是1～10000000。 黑洞类型：路由黑洞、接口板黑洞。
   恶意流量过滤	开启相应的安全策略后，触发报文过滤。	-
   域名审计	开启域名审计并且部署成功，域名审计生效，可以防止非法域名访问。	选择开启“域名审计”时，必须先在全局配置中配置域名白名单，具体请参见域名审计。

4. 单击“确定”。