概念
高度なTCP保護は、選択したIPプレフィックスを高度なTCP攻撃から保護します。プレフィックスは、IPアドレスまたはCIDR形式のIP範囲であることができます。Cloudflareが受信するパケットを分析し、高度なTCP DDoS攻撃に対する保護を提供できるようにするために、プレフィックスを高度なTCP保護に追加する必要があります。
高度なTCP保護に追加されるプレフィックスは、次のいずれかでなければなりません:
Magic Transitにオンボードされていないプレフィックス(またはプレフィックスのサブセット)や、ステータスが「未承認」のものを追加することはできません。プレフィックスの承認については、アカウントチームにお問い合わせください。
高度なTCP保護のアロウリストは、すべての構成された高度なTCP保護ルールをバイパスするプレフィックスのリストです。
たとえば、パートナー企業のみが使用するプレフィックスをアロウリストに追加することで、パケット検査や高度なTCP保護によって実行される緩和アクションから免除されるようにすることができます。
ルールは、いくつかの設定に従って、特定のスコープに対して高度なTCP保護を構成します:実行モード、バースト感度、レート感度。
各システムコンポーネント(SYNフラッド保護およびアウトオブステートTCP保護)には独自のルールリストがあり、少なくとも1つのルールを持っている必要があります。
A filter modifies Advanced TCP Protection’s execution mode — monitoring, mitigation (enabled), or disabled — for all incoming packets matching an expression.
フィルター式は、ソースおよび宛先のIPアドレスとポートを参照できます。各システムコンポーネント(SYNフラッド保護およびアウトオブステートTCP保護)には1つ以上のルールが必要ですが、フィルターはオプションです。各高度なTCP保護システムコンポーネントには独自のフィルターがあります。各実行モードに対してフィルターを構成できます:
- 緩和フィルター:システムはフィルター式に一致するパケットをドロップします。
- 監視フィルター:システムはフィルター式に一致するパケットをログに記録します。
- オフフィルター:システムはフィルター式に一致するパケットを無視します。
一致がある場合、フィルターは特定のシステムコンポーネント(SYNフラッド保護またはアウトオブステートTCP保護)に構成されたすべてのルールの実行モードを変更します。これには無効なルールも含まれます。
Cloudflareダッシュボードでフィルターを作成する手順については、フィルターの作成を参照してください。APIの例については、一般的なAPI呼び出しを参照してください。
新しいプレフィックスをオンボードするための監視フィルターを作成することができます。この式を使用してプレフィックスに対して一致させます。
すでにオンボードされているプレフィックスは、緩和モードで構成された1つ以上のルールで保護されたままにできます。
新しいプレフィックスをオンボードする際には、このプレフィックスのために監視フィルターを構成し、その後高度なTCP保護に追加します。
ルールとフィルターの両方が構成されている場合、実行モードは次のように決定されます:
-
構成されたフィルターのいずれかに一致がある場合、フィルターの実行モードを使用します。フィルターの評価順序は、次の順序でモードに基づいています:
- 緩和フィルター(
enabledモードのフィルター) - 監視フィルター(
monitoringモードのフィルター) - オフフィルター(
disabledモードのフィルター)
- 緩和フィルター(
-
一致するフィルターがない場合、既存のルールによって決定された実行モードを使用します。
-
一致するルールがない場合、高度なTCP保護を無効にします。