实战讲解香港腾讯云服务器20g防御下的流量清洗方案

1.

准备工作与前提校验

先确认账号资源并准备证据材料：验证腾讯云账号已完成实名认证、开通计费方式并保证能购买 Anti-DDoS/高防 产品；检查目标服务器位于香港地域且使用独立公网 IP（EIP）或绑定 CLB；核验当前带宽与流量计费方式是否可支持切换到高防套餐。小分段：在控制台 > 购买页选定“Anti‑DDoS 高防”或“Anti‑DDoS Advanced”，选择“20Gbps 防护包”并记下套餐 ID。

2.

购买并开通 Anti‑DDoS 套餐

登录腾讯云控制台 → 安全 → Anti‑DDoS，选择适合的防护类型（一般为按带宽计费的高防包），在地域选择处选择“香港”或“全球”可用选项，购买 20Gbps 规格。小分段：填写收款与计费周期、确认购买后，在“已购资源”中找到防护包并记下“资源实例 ID”。

3.

将目标 IP 绑定到高防实例

在 Anti‑DDoS 控制台选择“防护对象管理”→ 添加防护对象，输入要保护的 EIP 或 CLB 实例，选择防护策略模板（若无则先创建）。小分段：绑定完成后在“防护对象”里能看到“防护中”的状态，若未生效请等待 30 分钟并确认路由已被高防托管。

4.

设置清洗阈值与黑洞阈值

进入具体防护对象的“策略配置”页，设置流量清洗阈值（建议初始设为 60-80% 的包流量/带宽上限，以 20Gbps 为准，具体按业务承受能力调整），并配置紧急黑洞阈值（黑洞阈值通常设置在无法承载时，谨慎使用以免误伤）。小分段：示例：清洗阈值 16Gbps、黑洞阈值 19.5Gbps；另外设置告警阈值（例如 70%）以触发短信/邮件通知。

5.

配置流量清洗策略（协议与端口层面）

在策略中按协议类型创建规则：TCP（常见应用端口如 80/443/22）、UDP（DNS、游戏端口）以及 ICMP。对 TCP 启用 SYN Cookies、连接数限制、半连接队列阈值；对 UDP 设置流量速率限制和单源速率限制。小分段：对 HTTP/HTTPS 使用基于会话的限制，对 DNS 等易被放大攻击的端口启用更严格的限速。

6.

应用黑白名单与地理封禁

使用 IP 黑白名单快速放行可信客户端（白名单）并屏蔽已知恶意 IP 段（黑名单）。在香港场景中可根据业务需要对大陆/其它地区做地理封禁或限速。小分段：白名单加入 CDN/监控/运维 IP，黑名单可从日志中提取高频源 IP 批量导入。

7.

部署 Web 应用防火墙（WAF）与 CC 攻击防护

对 HTTP/HTTPS 服务同时部署 WAF，启用常见规则集（SQL 注入、XSS、文件包含等）并打开 CC 防护策略（请求频次限制、UA 验证、Referer 验证、验证码或 JS 检验）。小分段：在 WAF 中根据 URI、Cookie、Header 编写自定义规则，优先在“观察模式”测试 24 小时后再切换为“拦截模式”。

8.

与负载均衡（CLB）/CDN 联动

建议将前端流量先引入腾讯云 CLB 或 CDN，CLB 结合高防可以在清洗后分发请求到后端主机，CDN 可缓存静态内容大量降低源站压力。小分段：在 CLB 上配置健康检查、会话保持与后端权重，CDN 将“缓存规则”设置为最大化静态命中率。

9.

日志采集、流量分析与告警配置

开启 Anti‑DDoS 的流量日志导出（支持 COS 存储）和 VPC Flow Logs，使用云监控（CM）建立带宽、PPS、连接数告警，设置阈值并配置短信/邮件/电话通知。小分段：将日志导入 SIEM 或 ELK 做可视化面板，用于攻击态势分析和溯源。

10.

应急响应步骤（遭受超 20Gbps 攻击时）

第一步：启动预设告警并立即切换到更高清洗策略（增加速率限制、启用更严格的验证码）；第二步：临时拦截异常 IP 段或启用地理封禁；第三步：与腾讯云安全团队工单联系，请求紧急扩容清洗能力或 BGP 路由协助。小分段：在工单里附上攻击开始时间、PPS/BPS 峰值、攻击源 IP/ASN 和日志样例，加快处理速度。

11.

回放与演练—如何做常态化测试

在非生产时段做演练：使用合法测试流量工具（内部压测或第三方压测服务）模拟高并发并观察清洗生效，验证白名单、黑名单、WAF 规则不会误杀正常流量。小分段：记录每次演练的阈值调整与效果，形成 SOP 供突发事件时参考。

12.

优化建议与成本控制

定期依据攻击类型与频次调整策略以避免长期高成本：对频繁重复的 IP 段设置长期黑名单，使用 CDN 缓存降低回源带宽；对小流量攻击优先使用 WAF/CC 策略，只有在大流量下才触发高防流量清洗。小分段：维护一套模板策略（正常、加固、紧急）在控制台快速切换。

13.

问：在香港腾讯云使用 20G 防护时，如何快速判断是否需要更高一级防护？

答：观察关键指标：带宽使用率（接近或超出 70%）、PPS 急剧上升、后端服务响应时延或连接失败频繁。若清洗后业务仍无法承载且告警频繁，或攻击峰值接近套餐上限，应立即联系云厂商申请临时扩容或升级至更高规格。

14.

问：清洗规则误杀正常用户时如何快速回滚？

答：先把策略切回“观察/宽松”模板，临时放行受影响的 IP 段（白名单），然后在日志中定位触发规则的请求特征，修改或增加例外规则后再恢复严格策略；保持变更记录便于事后复盘。

15.

问：发生大流量攻击时，如何与腾讯云安全团队协同处置？

答：立即在控制台发起工单或电话支持，提供：攻击开始时间、峰值 BPS/PPS、受影响资源 ID、攻击包特征与流量日志样本；同时在控制台启用应急模板并列明联系人电话以便厂商快速验证并采取 BGP/清洗扩容等措施。