虽然被攻击的网络层防御阈值可以从 5Gbps 上调至 20Gbps,给不同的应用链路匹配最佳的 QoS 策略,但这一切都要建立在 BPG Anycast 的异步采样技术之上。当攻击流量通过 BPG Anycast 路由到最近的边缘后,系统不会篡改路径也不会增加抖动,以零延迟的方式开始对流量进行分析。哪怕面对高频业务,这种方式也能做到毫无感知。 不过这股“自助调参”的浪潮不光是为了让大家在 Dashboard 上按按钮这么简单。Cloudflare 把对 HTTP 层 DDoS 规则的精细调控放在 Dashboard 上,让客户能像调微波炉一样调节攻击阈值。这套规则集支持“表达式过滤器”,可以按源 IP、协议类型、端口号等维度精细排除或包含流量。 除了 Dashboard,API 也是关键的控制枢纽。比如用户想把“警报”阈值从默认的 10Gbps 调整到 5Gbps,或者反向放宽到 20Gbps,都可以通过 Dashboard 直接操作。但针对特定 IP 前缀的精细控制,目前还需要调用 API 逐条配置。 针对这些由 OSI 第三、四层攻击引发的异常行为,Cloudflare 提供了专门的保护规则集。这套规则集面向 Spectrum 与 Magic Transit 用户,每条规则自带专属指纹、动态字段屏蔽与阈值触发器。由于系统只依赖入口包流而不窥视客户内部数据,哪怕是在检测异常 ACK 或非法 SYN-ACK 时,也能在兼顾安全与隐私的前提下完成身份校验与流量清洗。 除了这种“大而全”的防护方案,Cloudflare 还为 Magic Transit 专门设计了高级 TCP 保护规则集。这个引擎会持续跟踪每条 TCP 流的“出生—成长—死亡”周期。只要任何包与合法连接状态不符就会被当场质疑或丢弃,只有在阈值被触发时缓解动作才会激活。 为了防止攻击源头变成反射放大器从而变成“沉默羔羊”,系统会立刻丢弃异常 ACK、质疑非法 SYN-ACK。针对那些试图脱离连接状态的 TCP 变异攻击,比如欺骗 ACK Flood、随机 SYN Flood、分布式 SYN-ACK 反射等行为,这套规则集能够提供精准打击。 从握手到洪流的全链路覆盖需求也可以得到满足。无论是网络层 DDoS 保护规则集还是高级 TCP 保护规则集,它们都能为边缘云、微服务、IoT 子网单独开“小灶”。 为了让这些防御措施更好用,Cloudflare 把 DDoS 防御拆成了“可编程的安全积木”。企业不再是被动等待清洗而是主动参与构建更健壮的互联网边界。有了这套随时可调的“安全扳手”,哪怕下一波流量洪峰何时到来没人知道,至少我们提前把扳手递到了你手里。 所有这些改变都源于对“安全握在自己手里”的执着追求。若您此前已联系支持团队做过定制化配置原有自定义将被原样保留并可在 Dashboard 里随时复审与微调;若您从未碰过 DDoS 设置目前无需任何动作但想亲自把玩 Dashboard 指引或 API 文档即可上手。 虽然现在还只是在手动微调阶段但 Cloudflare 正在把“自动驾驶”功能加入排期:让系统根据历史流量学习模型自动为每条连接优化阈值与缓解策略真正实现“按业务自适应”。