配置防御加速

当业务板单个CPU最大利用率达到告警阈值时,可通过本节配置,实现防御性能的提升。

背景信息

当发生超大流量攻击时,CPU利用率达到告警阈值后,为保障设备性能,可以通过开启防御加速,提高设备防御性能。

防御加速后的防御策略包含两个阶段:

  1. 防御加速后的防御策略。

    触发条件:开启防御加速功能,CPU利用率持续达到告警阈值。

    防御加速支持的防御类型如表1所示。

  2. 接口板限速

    触发条件:开启防御加速和接口板限速功能后,已启动防御加速,但CPU利用率仍然持续达到告警阈值。

    接口板限速功能配置请参见配置接口板限速功能(仅AntiDDoS8000支持)

说明:
BGP引流场景中,如果开启防御加速功能,则请将引流口对端的路由器接口IP地址加入白名单,防止误防御。
表1 防御加速支持的防御类型
攻击类型 支持防御加速的防御策略 防御加速后对应的防御策略

SYN flood

防护对象下SYN flood源认证,支持以下两种模式的转换:

  • 基本模式
  • 高级模式
  • SYN首包检查

  • SYN flood的高级源认证模式

  • SYN首包检查

ACK flood

防护对象下ACK flood会话检查,支持以下两种模式的转换:

  • 基本模式
  • 严格模式
  • TCP首包检查

  • ACK flood防御严格模式

  • TCP首包检查

FIN/RST flood

防护对象下FIN/RST flood防御

FIN/RST flood防御

TCP abnormal flood

防护对象下TCP abnormal flood防御

TCP abnormal flood防御

TCP fragment flood

防护对象下TCP fragment flood防御

TCP fragment flood防御

HTTP flood

防护对象下HTTP flood源认证,支持以下三种模式的转换:

  • 基本模式
  • 高级模式
  • 302重定向模式
  • HTTP首包检查

  • HTTP flood的302重定向模式

  • HTTP首包检查

HTTPS flood

防护对象下HTTPS flood防御

HTTPS flood防御

UDP flood
  • 防护对象下UDP flood限速
  • UDP阻断

  • UDP flood限速

  • UDP阻断

UDP fragment flood

防护对象下UDP fragment flood限速

UDP fragment flood限速

DNS request flood

防护对象下DNS request flood源认证,支持以下三种模式的转换:

  • 基本模式
  • 授权服务器模式
  • 被动防御模式

DNS request flood被动防御模式

DNS reply flood

防护对象下DNS reply flood防御

DNS reply flood防御

SIP flood

防护对象下SIP flood防御

SIP flood防御

ICMP flood

防护对象下ICMP flood限速

ICMP flood限速

Other flood

防护对象下Other flood限速

Other flood限速

配置步骤

  1. 选择防御 > 策略配置 > 设备全局配置
  2. 单击“操作”列的

  3. 选中“防御加速”对应的“开启”,开启防御加速。

    缺省情况下,“防御加速”功能开启。

父主题: 配置设备全局策略
版权所有 © 华为技术有限公司