使用 F5 分布式云极快轻松地配置“极快 ACL DDoS防护”

Ted Byerly 

职位：员工

公司：F5

简介

本文将向大家展示如何轻松创建“快速 ACL” 以保护您的应用免受 DDoS 攻击。三至四层的 DDoS 防护也将包括在 F5 分布式云服务当中。

制定 DDoS 防护策略必须从多个层面入手。这意味着企业需要使用多种工具和功能模块来保护自身安全，并确保基础架构和应用的正常运行。这种分层方法采用网络防火墙进行三到四层的 DDoS 防护，并使用 Web 应用防火墙 (WAF) 执行七层防护。本文将介绍可提供速率限制的访问控制列表 (ACL)，亦称为“快速 ACL”。

这些 ACL 策略在数据路径入口处理的早期阶段就将被应用，形成抵御攻击的第一道防线。

典型用例如下

对流向目的的流量进行速率限制

接受从某些源 IP 到目的的流量

对从某些源 IP 到目的的流量进行速率限制或丢弃

这些策略对进入系统（入向）的每个数据包进行评估，与基于会话的 ACL 不同，只在会话的第一个数据包上计算动作。

它依照数据包的五元素{目的地 IP、目的地端口、源 IP、源端口、协议}来指定。

这有助于您根据网络基础架构和应用性能对 DDoS 防护策略进行精细的调整。

开始工作

登录 F5 分布式云服务平台。

选择 Cloud and Edge Sites 栏目。

导航到 Manage >> Firewall >> Fast ACLs（管理 >> 防火墙 >> 快速 ACL）

我们还将探讨并使用Policers（监管器）和 Protocol Policers（协议监管器）。它们既可从该界面添加，也可在构建 DDoS 防护时添加。我们将展示如何在构建 DDoS 防护时进行添加。

点击 Add Fast ACL（添加“快速 ACL”）

为“快速 ACL”命名，并添加标签和描述，以便日后区分。

接下来是 F5 分布式云服务的与众不同之处。

Fast ACL Type（快速 ACL 类型）这一栏提供了两个选项。

快速 ACL 类型可分别配置在位于 F5 分布式云的区域边缘节点 (RE) 和属于你自己的，通过 F5 分布式云服务本地化发布应用的客户边缘节点 (CE)两种。本文将介绍客户边缘节点 (CE)。

选择 Configure（配置）。

此处，您可以选择在 CE 将其应用到以下两种网络 — Inside（内部网络）或 Outside（外部网络），我选择的是 Outside Network（外部网络）。接下来选择 Destination IP（目的 IP），其中提供了三个防护选项。我选择了 All Interface IP(s) 作为 VIP（所有接口IP 作为虚拟 IP）。

最后，在 Source（源）下，我们将配置想要应用的策略。点击 Configure（配置）。

在 Rules（策略）板块下，点击 Add Item（添加项目）。

为新建的规则命名并添加描述。

Action（动作）下提供了三个选项：Simple Action（简单动作）、Policer Action（监管器动作）和 Protocol Policer Action（协议监管器动作）。

我先来介绍 Simple Action（简单动作）。Simple Action（简单动作）包含了两个选项：允许或拒绝。

在 Source Port（源端口）板块下，点击 Add Item（添加项目）。

您可以选择 All Ports（所有端口）、A User Defined Port（用户定义端口）或 DNS。

我选择了用户定义端口并添加端口 443 的值。

在 Source （源）下，我将允许所有来自 0.0.0.0./0 的流量，并点击 Add Item（添加项目）。

现在您可以返回 Rules（规则板块）或任何其他反映您应用架构的（Rules）规则板块。点击 Add Item（添加项目）。

这次，在 Action（动作）下选择 Deny（拒绝），在 Source Port （源端口）下选择 ALL（全部），源前缀为 0.0.0.0/0。

完成后，点击 Apply（应用），您将返回某个界面，然后再次点击 Apply（应用）。

协议监管器

最后，我们将配置一个“快速 ACL”协议监管器。

为您的协议监管器命名，并添加标签和描述。

如果您已经配置了一个协议监管器，或者您有要应用的协议监管器，请选择预配置的协议监管器。在本文中，我们将选择 Create new Protocol Policer（创建新的协议监管器）。

点击 Add Item（添加项目）。

然后会出现 Packet Type（数据包类型）选项，包括 TCP、ICMP、UDP和DNS。在本文中，我们将选择 TCP。

然后选择合适的 TCP 标志，这里选择的是 SYN。

监管器

在监管器这一板块，我们可以选择一个可以在系统范围内使用的预配置监管器，也可以创建一个新的监管器。这里将选择 Create New Policer（创建新的监管器）。

创建监管器非常简单，只需为其命名并添加标签和描述即可。并且选择监管器在系统范围内是否共享。

在此处，创建“快速 ACL”可帮助您对应用的 DDoS 防护进行精细调整。

• 您需要输入允许传输速率（单位：pps）和突发请求数据上限（单位：pps）。

• 点击 Continue（继续）。

• Add item（添加项目），然后 Continue（继续）。

• 最后 Save and Exit（保存并退出）。

除此之外，还需要进行另外两个步骤，但这不在本文的论述范围内。并且大多数版本已具备必要的配置。

您需要指定一个网络防火墙以及 F5 分布式云中所说的 “Fleet”。该防火墙将引用 ACL，防火墙和 “Fleet” 标签将分配给您的客户边缘节点 (CE)。

结语

本文介绍了如何使用 F5 分布式云快速、轻松地配置“快速 ACL DDoS 防护”。我们将速率限制作为调整 DDoS 防护设置的一种可行选择。在短短几分钟内，您便能够进入 F5 分布式云控制台并调整或添加 DDoS 防护措施，从而迅速应对网络攻击。

这篇好文章是转载于：学新通技术网