DDoS 原生防护提供规则组功能，便于您集中配置防护策略。您可以在一个规则组内配置多条规则并将规则组关联至多个防护 IP，这些规则会对关联的所有防护 IP 生效。下面为您介绍防护规则组和规则的类型，以及配置路径。

规则组类型

DDoS 原生防护支持默认规则组、专家规则组和自定义规则组三种类型的防护规则组，以下是三者的区别说明。

• 默认规则组：火山引擎 DDoS 防护引擎基于海量实战攻防数据的积累而生成的通用防护规则，用于缓解网络层和传输层的 DDoS 攻击。默认规则会自动对未关联自定义规则组或专家规则组的防护 EIP 生效，您无需手动设置 IP 范围。
• 专家规则组：火山引擎的 DDoS 运营专家会根据您的业务特点和攻击情况，为您的业务定制专属防护规则，并定期更新以提升防护效果。您可以在控制台查看这些定制规则及其关联的 IP 范围，也可以根据需要调整关联的 IP 范围。

  注意

  当专家规则组更新时，可能会覆盖您的自定义调整，系统将以最新更新的规则和关联 IP 配置为准。

• 自定义规则组：您可以根据业务需求和安全防护要求，自行创建和配置规则组，并可随时查看和修改规则内容及其关联的 IP 范围。

  注意

  每个实例最多支持配置 50 个自定义规则组。

规则类型

• IP 黑白名单规则：通过预设 IP 地址列表来管理访问权限。
  • 白名单：放行指定 IP 访问目标资源，适用于允许内部高频访问 IP 等场景，避免其被误判为攻击源。相关配置操作可参考放行指定 IP 地址的请求流量。
  • 黑名单：阻止已知攻击源 IP 访问目标资源，防止其进行二次攻击。相关配置操作可参考封禁指定 IP 地址的请求流量。
• 协议封禁规则：在检测到攻击并触发清洗时丢弃特定协议的请求，从而减少系统暴露面。可有效缓解利用特定协议发起的 DDoS 攻击，如 UDP Flood，ICMP Flood 等。相关配置操作可参考封禁指定协议的请求流量。
• 端口禁用或加白规则：管理特定协议的源端口及目的端口访问权限。相关配置操作可参考放行或封禁指定端口的请求流量。
  • 端口禁用：限制来自指定源端口的访问，或阻止对特定目的端口的访问。
  • 端口加白：允许来自指定源端口的访问，或放行对特定目的端口的访问。
• 区域封禁规则：根据 IP 地址的地理位置信息限制访问。当您的业务主要面向特定区域时，可以封禁非业务区域的访问请求，有效降低攻击风险。相关配置操作可参考封禁指定来自区域的请求流量。

如何将规则组应用于目标 EIP

为确保自定义防护规则组对目标 EIP 生效，需要满足以下三个条件：

• 已完成规则组的创建。
• 已在规则组中配置具体防护规则。
• 已建立目标防护资源与规则组的关联。

根据您的操作场景，可以选择以下两种方式将规则组应用于目标 EIP：

• 场景一 添加防护资源时关联规则组，适用于新增防护资源时需要配置自定义规则组的场景。
• 场景二 为已有防护资源关联规则组，适用于为已有的防护资源配置规则组的场景。