创建过滤器

支持7种协议的过滤器,通过定义关键字和匹配动作实现静态过滤。在创建过滤器的同时可以直接关联防护对象。

操作步骤

  1. 选择防御 > 策略配置 > 过滤器 > 过滤器
  2. 单击
  3. “基本信息”页签,配置过滤器的基本信息,参数说明请参见表1。关键字内容的说明请参见表2

    表1 过滤器基本信息
    参数 说明 取值建议

    名称

    过滤器的名称。

    -

    设备类型

    选择设备类型。

    可选AntiDDoS、NFA、ALL。

    协议

    协议类型。

    -

    动作

    		 对匹配报文采取的处理方式。
    • 丢弃:当报文与关键字匹配时,直接被丢弃。
    • 丢弃+黑名单:当报文与关键字匹配时,直接被丢弃,并将源IP地址加入黑名单。
    • 通过:只有当报文与关键词匹配时才允许通过。
    • 通过+白名单:只有当报文与关键词匹配时才允许通过,并将源IP地址加入白名单。
    • 限速:将与关键字匹配的报文限制在“限速阈值”内。
    • 源限速:将单个源IP发送的报文限制在“限速阈值”内。

    单击“关键字”页签,配置关键字参数。

    表2 关键字内容
    关键字内容 说明 取值建议

    source-ip

    		 IP地址

    报文的源IP地址和子网掩码。

    支持IPv4和IPv6两种格式的IP地址。

    每个过滤器最多可配置1000个源IP地址,每台清洗设备上最多可配置20000个源IP地址。
    子网掩码

    destination-ip

    		 IP地址

    报文的目的IP地址和子网掩码。

    支持IPv4和IPv6两种格式的IP地址。

    每个过滤器最多可配置100个目的IP地址,每台清洗设备上最多可配置2000个目的IP地址。
    子网掩码

    packet-length

    		 最小报文长度

    报文的长度范围。

    每个过滤器最多可以配置32条报文长度限制条件,只要报文命中其中一条,即表示命中过滤器过滤条件。
    最大报文长度

    ttl

    		 TTL

    报文的生存时间。

    每个过滤器最多可以配置32条报文TTL限制条件。

    fingerprint

    		 偏移

    从报文数据第一位开始偏移的字节数。

    例如,“指纹内容”“1234afee”“偏移字节数”“20”“检查深度”“8”时,当数据区的第21个字节到第32个字节的内容匹配“1234afee”时,则认为此报文命中指纹。

    其中32=20+4(指纹长度)+8(检查深度)。

    指纹可以是字符串或者十六进制两种模式,取值范围为2~128个字符。默认输入内容作为字符串处理。当十六进制表示时,每个字节由2个十六进制数表示,字节前加\x。

    每个过滤器最多可以配置10条指纹,每条指纹最多可以配置4段,每台设备最多可以配置512段指纹。
    内容

    指纹的具体内容。
    深度

    用于计算指纹匹配的范围。

    protocol

    		 协议

    报文所属协议类型。

    每个过滤器最多可以指定32个报文协议。

    dscp/fragment

    		 DSCP/分片类型

    IP报文的字段。

    每个过滤器最多可以配置32条报文差分服务等级和5个报文分片限制。

    tcp-flag

    		 TCP标记 TCP报文的标记位。

    每个过滤器最多可以配置16条报文TCP标记的限制。

    destination-port

    		 开始端口 报文目的端口的范围。

    每个过滤器最多可以配置32条报文目的端口的限制。
    结束端口

    source-port

    		 开始端口 报文源端口的范围。

    每个过滤器最多可以配置32条报文源端口的限制。
    结束端口

    opcode/cookie/host/referer/user-agent

    		 OPCODE/Cookie/Host/Referer/User-Agent HTTP报文的字段。
    • 支持ASCII码及十六进制配置。
    • 每个字串最大长度为64Byte。
    • 每台设备最多可以配置128个OPCODE关键字、512个Cookie/Host/Referer/User-Agent关键字。

    uri

    		 URI HTTP报文的请求类型。

    每个HTTP过滤器里最多可以配置512个URI关键字,每台清洗设备最多可以配置512个。

    qr

    		 qr DNS报文的类型。

    包括DNS Query和DNS Reply两种。

    domain

    		 Domain DNS报文的字段。
    • include:表示模糊匹配,domain中包含匹配内容即算命中。
    • equal:表示精确匹配,domain字段与匹配内容完全相同才算命中。

    每个DNS过滤器里最多可以配置512个domain关键字,每台清洗设备最多可以配置512个。

    type

    		 类型 DNS报文的字段。

    每个DNS过滤器里最多可以配置10个type关键字。

    caller/callee

    		 Caller/Callee SIP报文的字段。

    每个SIP过滤器里最多可以配置512个关键字,每台清洗设备最多可以配置512个。

  4. 关联设备和过滤器。
    1. 单击“选择设备”页签。
    2. ,选择设备,单击“确定”

      界面中只显示“部署状态”“部署成功”的设备。请确认待关联的设备已成功部署。

  5. 单击“部署”

    • 如果关联了设备和过滤器,单击“部署”后,将过滤器直接部署到AntiDDoS上生效。
    • 如果只创建了过滤器,没有关联设备,则单击“部署”后,过滤器配置保存在ATIC管理中心中,后续需要关联设备,并再次部署后过滤器才能生效。

父主题: 配置过滤器(AntiDDoS)
版权所有 © 华为技术有限公司