Table of Contents

上一个主题

CDN

下一个主题

应用体检

本页

防火墙

服务概述

新浪云当前提供两种类型的防火墙服务:

  • DDoS 防火墙
  • 应用防火墙

两者的区别如下表所示:

  DDoS 防火墙 应用防火墙
工作原理 DDoS 防火墙工作在机房入口,根据来源 IP 范围、行为特征和频率来判断是否是 DDoS 攻击,阈值较为苛刻,目前攻击识别准确率 100%,一旦确定为攻击,对于攻击源 IP 采取丢包 Drop 动作。 应用防火墙工作在负载均衡层,用户可以针对自己的业务自定义规则,请求一旦匹配规则,就不会再向后转发。
使用场景 系统级别的防护,拦截掉恶意攻击,保证正常业务请求的访问。 应用级别的防护,可用在防抓站、防刷单等场景。
默认状态 开启 关闭
建议 强烈建议开启,我们会动态根据全平台访问自动学习规则进行识别和拦截。绝大部分应用不会遇到恶意攻击,也就不会产生费用。受到攻击时,DDoS 防火墙按照拦截次数计费且有封顶。 建议开启,并且根据自身的业务特点设定规则。
关闭后可能出现的问题 遇到 DDoS 攻击,我们会将您的应用解析到黑洞,在 24 小时后或许更长时间(根据攻击情况)后恢复 不会影响到您的业务运行,但可能会导致您的云豆消耗增加。

我们为您提供 DDoS 防火墙以保护您的业务安全稳定,DDos 防火墙默认开启,并且强烈建议您开启,如果您不想开启,可以在新浪云控制台『防火墙 /DDoS 防火墙』面板显式关闭。

应用防火墙

应用防火墙可以让您自定义规则拦截来保护您的应用和 Storage 存储的访问。

针对应用和针对 Storage 存储的防火墙使用的策略及配置方法一致,但需要在不同的面板开启。

应用防火墙的实用意义:

  • 对恶意抓取的行为有效拦截
  • 保护云豆不被恶意的消耗

应用防火墙针对访问行为提供如下控制策略:

策略名 说明
requests/5minutes 5 分钟内访问请求数限制
bandwidth/5minutes 5 分钟访问流量限制
requests/day 24 小时访问请求数限制
bandwidth/day 24 小时访问流量限制
requests/5minutes_delay 5 分钟内访问请求数限制,超过后限制请求访问速度而不是禁止访问
allow 白名单,列入其中的 IP 或者网段不受上面请求数和流量的限制,最多可以设置 100 个
deny 黑名单,列入其中的 IP 或者网段不受上面请求数和流量的限制,最多可以设置 100 个
rules 特征过滤,通过设置特征 key-values 达到阻断或放行访问。特征 key 对应 http 请求的 uri 或 header,特征 key 的长度限制在 3~25,不区分大小写。特征 value 限制在 5~256,多个 value 用英文逗号 (,) 隔开。value 支持前置或后置通配符 (*) 和取反 (~),取反可以理解为白名单,是放行访问。例如:~*.sinaapp.com,test.appchizi.*是合理的 values,绝不允许出现前后通配符 (*.app.*) 的规则。规则校验时顺序检测多个 key 和多个 value 进行阻断或放行,因此设置的规则是有顺序的。

防火墙生效时返回 HTTP 609 错误

小技巧

用户可以通过 CIDR 来设置一个网段的黑白名单。比如 108.192.8.*网段写做:108.192.8.0/24