防火墙¶
服务概述¶
新浪云当前提供两种类型的防火墙服务:
- DDoS 防火墙
- 应用防火墙
两者的区别如下表所示:
| DDoS 防火墙 | 应用防火墙 | |
|---|---|---|
| 工作原理 | DDoS 防火墙工作在机房入口,根据来源 IP 范围、行为特征和频率来判断是否是 DDoS 攻击,阈值较为苛刻,目前攻击识别准确率 100%,一旦确定为攻击,对于攻击源 IP 采取丢包 Drop 动作。 | 应用防火墙工作在负载均衡层,用户可以针对自己的业务自定义规则,请求一旦匹配规则,就不会再向后转发。 |
| 使用场景 | 系统级别的防护,拦截掉恶意攻击,保证正常业务请求的访问。 | 应用级别的防护,可用在防抓站、防刷单等场景。 |
| 默认状态 | 开启 | 关闭 |
| 建议 | 强烈建议开启,我们会动态根据全平台访问自动学习规则进行识别和拦截。绝大部分应用不会遇到恶意攻击,也就不会产生费用。受到攻击时,DDoS 防火墙按照拦截次数计费且有封顶。 | 建议开启,并且根据自身的业务特点设定规则。 |
| 关闭后可能出现的问题 | 遇到 DDoS 攻击,我们会将您的应用解析到黑洞,在 24 小时后或许更长时间(根据攻击情况)后恢复 。 | 不会影响到您的业务运行,但可能会导致您的云豆消耗增加。 |
我们为您提供 DDoS 防火墙以保护您的业务安全稳定,DDos 防火墙默认开启,并且强烈建议您开启,如果您不想开启,可以在新浪云控制台『防火墙 /DDoS 防火墙』面板显式关闭。
应用防火墙¶
应用防火墙可以让您自定义规则拦截来保护您的应用和 Storage 存储的访问。
针对应用和针对 Storage 存储的防火墙使用的策略及配置方法一致,但需要在不同的面板开启。
应用防火墙的实用意义:
- 对恶意抓取的行为有效拦截
- 保护云豆不被恶意的消耗
应用防火墙针对访问行为提供如下控制策略:
| 策略名 | 说明 |
|---|---|
| requests/5minutes | 5 分钟内访问请求数限制 |
| bandwidth/5minutes | 5 分钟访问流量限制 |
| requests/day | 24 小时访问请求数限制 |
| bandwidth/day | 24 小时访问流量限制 |
| requests/5minutes_delay | 5 分钟内访问请求数限制,超过后限制请求访问速度而不是禁止访问 |
| allow | 白名单,列入其中的 IP 或者网段不受上面请求数和流量的限制,最多可以设置 100 个 |
| deny | 黑名单,列入其中的 IP 或者网段不受上面请求数和流量的限制,最多可以设置 100 个 |
| rules | 特征过滤,通过设置特征 key-values 达到阻断或放行访问。特征 key 对应 http 请求的 uri 或 header,特征 key 的长度限制在 3~25,不区分大小写。特征 value 限制在 5~256,多个 value 用英文逗号 (,) 隔开。value 支持前置或后置通配符 (*) 和取反 (~),取反可以理解为白名单,是放行访问。例如:~*.sinaapp.com,test.appchizi.*是合理的 values,绝不允许出现前后通配符 (*.app.*) 的规则。规则校验时顺序检测多个 key 和多个 value 进行阻断或放行,因此设置的规则是有顺序的。 |
防火墙生效时返回 HTTP 609 错误
小技巧
用户可以通过 CIDR 来设置一个网段的黑白名单。比如 108.192.8.*网段写做:108.192.8.0/24