当需要为防护对象中的服务器或主要服务提供基于服务的精细化防御,或者为TCP、UDP或HTTP的非知名端口提供防御时,可以通过创建服务来实现。
背景信息
清洗设备在进行流量清洗时,会优先按照目的IP地址、服务类型和目的端口匹配服务,匹配成功后,按照对应服务类型的防御策略进行检测、防御;否则,按照协议类型匹配默认防御策略进行检测、防御。
说明: 对于某些设备类型,基于服务的防御策略仅支持配置限流,此时服务的流量按照默认防御策略进行检测、防御,过程如下:清洗设备在进行流量清洗时,会优先按照服务类型和目的端口匹配服务,匹配成功后,则按照协议类型匹配默认防御策略进行检测、防御,然后按照服务的限流策略进行限流。
- 如果是分片报文,则基于服务的防御策略只针对首分片进行防御,后续分片报文即使命中服务也不会进进入服务的防御流程。
TCP、UDP类型的服务可以通过服务学习配置,具体请参见配置服务学习任务。
操作步骤
- 选择。
- 单击防护对象对应的
。 - 在“防御策略”页签中,单击
。 - 在“基本信息”页签中,配置服务的基本信息,参数说明请参见表1。
表1 配置服务的基本信息 参数 说明 取值建议 名称
服务的名称。
–
设备名称
在防护对象的所有关联设备中选择该服务的关联设备。
–
协议
服务的类型。
–
协议号
服务的协议号。
仅服务协议类型选择“Other”时,可配置。
IP地址
需要保护的目的IP地址。
该IP地址应该是防护对象中已定义的IP地址,具体请参见创建防护对象。
目的端口
需要保护的目的端口。
可以输入单个端口号,也可以输入端口号范围,每次最多输入10个,例如:1024-1030。
描述
服务的描述信息。
只能由英文字符、数字和特殊字符组成,不能包含中文和问号,长度不能超过64个字符。
- 配置各服务的防御策略。
单击各页签,配置各服务的防御策略,参数说明请参见配置防护对象防御策略(AntiDDoS)。
建议开启基线学习,以配置防御策略中的防御阈值,具体请参见配置基线学习。
单击“导入策略模板”,导入服务策略模板中的服务策略配置。
- 可选:单击“导出策略模板”,可将当前服务策略的配置保存为模板,以方便后续配置。
对策略模板的统一管理,请参见配置策略模板。
- 单击“确定”。