《Cloudflare 与攻击防护数据源》

本节介绍系统的「网络安全 - 数据源」模块，重点讲解如何接入 Cloudflare、如何接入轮询式数据源（如各类抗 DDoS 平台），以及攻击事件（告警）如何从这些数据源自动采集、展示并进行处置。本模块仅面向管理员（admin）。

在哪里：登录系统后，从左侧导航进入 网络管理 > 网络安全 > 数据源。页面顶部有三个标签页：回调式数据源、轮询式数据源、Cloudflare。

一、先搞懂几个基础概念（小白必读）

在动手之前，先用大白话解释一下本节会反复出现的名词。如果你已经熟悉，可以跳到第二节。

名词	通俗解释
DDoS 攻击（分布式拒绝服务攻击）	想象一家小店门口，突然涌来成千上万的"假顾客"把门口堵死，真顾客进不来。攻击者用大量"假流量"挤爆你服务器的网络带宽或处理能力，让正常用户无法访问，这就是 DDoS。
攻击防护 / 流量清洗	在流量进入你的服务器之前，先经过一道"安检门"，把"假顾客"（攻击流量）拦下、放行真顾客，这个过程叫清洗（cleanTraffic）。如果直接把某个 IP 的所有流量全部挡在门外，则叫封堵（block）。
Cloudflare	一家全球知名的网络服务公司。它像是架在你网站前面的"超大号安检门 + 加速器"，能帮你抵挡 DDoS、加速访问。本系统可以把 Cloudflare 当成一个"攻击情报来源"接进来。
数据源（Datasource）	本系统获取攻击/告警信息的"上游来源"。系统自己不直接清洗流量，而是从 Cloudflare、抗 DDoS 平台等外部系统"读取"攻击数据，再统一展示和管理。一个数据源就是一个被接入的外部系统。
API Token / API Key / API Secret	相当于一把"钥匙"。系统要去外部平台（如 Cloudflare）读取数据，必须出示这把钥匙证明"我有权限读"。它们属于机密信息，务必妥善保管。
Zone（区域）/ Zone ID	在 Cloudflare 里，一个"Zone"通常对应你托管的一个域名（如 `example.com`）。Zone ID 是这个域名在 Cloudflare 中的唯一编号。配置了它，系统才能管理该域名下的访问规则、查询其 Zone 信息。
Account Tag（账户标识）	Cloudflare 账户的唯一编号。配置了它，系统才能查询账户级别的 DDoS 网络分析告警（即详情页"告警列表"标签页的数据来源）。
Access Rules（访问规则）/ 黑白名单	写在 Cloudflare 安检门上的"放行/拦截名单"。白名单（whitelist）里的 IP 直接放行；黑名单（block）里的 IP 直接拦截。
告警 / 攻击事件	"安检门"发现可疑流量时记下的一条记录，包含被攻击的目标 IP、攻击来源、攻击类型、时间等。系统会把这些记录采集进来，形成"攻击事件"列表。
处置（Disposal）	针对某个被攻击 IP 采取的应对动作，比如"封堵该 IP 60 分钟"或"对该 IP 开启清洗"。
MO（被监控对象）	在抗 DDoS 平台里，把一批 IP 归到一个"客户/对象"下统一管理，这个对象就叫 MO。
BPS / PPS	BPS（Bits Per Second，每秒比特数）衡量带宽大小；PPS（Packets Per Second，每秒数据包数）衡量包速率。两者都是判断攻击规模的常用指标。
AS（自治域）/ AS 号	一段由同一个运营商或机构统一管理的网络，用一个编号表示，可粗略理解为"某运营商的网络编号"。

一句话总结：数据源 = 攻击情报的来源；告警 = 情报里的一条攻击记录；处置 = 针对攻击采取的动作。（部分术语详见《IDC 术语速查表》）

二、三类数据源分别是什么

进入 数据源 页面后，顶部有三个标签页，对应三种接入外部攻击情报的方式：

标签页	适用场景	数据怎么进来
回调式数据源	外部系统主动"推"数据给本系统	由外部系统在发生攻击时主动调用本系统（需先在本系统"设置回调"获取一把回调密钥）。
轮询式数据源	本系统定时去外部系统"拉"数据	本系统按固定周期主动向外部平台（如 AntiDDoS Portal、傲盾）查询告警与处置信息。
Cloudflare	接入 Cloudflare 抗 DDoS / 防护	本系统用你提供的 Cloudflare Token，定时去 Cloudflare 拉取告警，并可管理 Cloudflare 的访问规则。

提示：Cloudflare 在底层也属于轮询式数据源（类型为 cloudflare），但它的配置项和操作与普通轮询数据源不同，因此在界面上单独拆成一个标签页。下文将分别介绍。

三、回调式数据源（了解即可）

「回调式数据源」标签页展示由外部系统主动推送数据的来源列表。表格列含义如下：

列	含义
ID	数据源编号
名称	数据源名称
地址	外部系统的接口地址（Endpoint）
回调设置	是否已经为该数据源生成"回调密钥"
事件驱动	该数据源使用的适配器/驱动（适配不同外部系统的内置程序，列中显示其友好名称）
策略获取类型	固定显示"自动"
上次策略获取时间	最近一次记录更新时间
启用	该数据源是否启用（开关）
操作	修改、删除

主要操作：

点击右上角添加按钮新建一个回调式数据源。弹窗需填写：名称、数据中心（必填，可多选，决定该数据源归属哪些机房）、适配器（必填，下拉选择适配外部系统的内置驱动）、是否启用（开关）；选定适配器后，下方会按该适配器自动展开它专属的参数表单（按字段填写即可）。
在某条数据源的"回调设置"列上点击，会弹出 回调设置 弹窗，系统生成一把回调密钥（KEY）和一个回调地址（URL）。把这两项配置到外部系统，外部系统就能主动把攻击数据推送给本系统。
通过列表中的"启用"开关可暂停/开启数据源；勾选多行后点底部删除可批量删除。

警告：回调密钥相当于密码。重设密钥后，旧密钥立即失效，必须同步更新外部系统中的配置，否则数据将无法推送进来。设置成功后请立即保存好弹窗中显示的 KEY 和 URL。

由于回调式数据源的接入高度依赖外部系统的对接方式，本节不展开。重点请看下面的 Cloudflare 与轮询式数据源。

四、Cloudflare 数据源（重点）

4.1 这个标签页能做什么

切换到 Cloudflare 标签页，你会看到已接入的 Cloudflare 数据源列表。每接入一个 Cloudflare 数据源，系统就能：

自动采集告警：后台定时（推荐每分钟）扫描，把 Cloudflare 上针对你 IP 的 DDoS 攻击记录拉进系统，生成"攻击事件"。
查看告警明细：在详情页按目标 IP、源 IP、时间段实时查询攻击记录。
管理访问规则：在 Cloudflare 上为某个 IP 添加白名单（放行）或黑名单（拦截）。
查看 Zone 信息：查看该 Token 能访问哪些域名（Zone）。

4.2 列表页

Cloudflare 标签页顶部是查询区（按名称模糊搜索、按启用/停用筛选；右侧有查询和重置按钮），最右上角是添加按钮。下方表格列含义：

列	含义
ID	数据源编号
名称	点击可进入详情页（蓝色链接）
Zone ID	绑定的 Cloudflare 域名编号，未配置显示 `-`
Account Tag	绑定的 Cloudflare 账户编号，未配置显示 `-`
Endpoint	Cloudflare API 地址
REST Timeout	普通请求超时时间（秒）
GraphQL Timeout	查询告警时所用接口的超时时间（秒）
状态	Cloudflare 连接状态（`active` 显示为绿色标签，其它为灰色）
启用	开关，可直接停用/启用该数据源
创建时间 / 更新时间	记录时间
操作	修改（铅笔图标）、删除（垃圾桶图标）

底部为分页条，可选择每页 10/20/50/100/200 条。

📷 （界面截图待补充：Cloudflare 数据源列表页，含查询区、表格各列与添加按钮）

4.3 新增 / 修改 Cloudflare 数据源

点击添加（或某行的"修改"图标）会弹出配置弹窗，分为三个区块。各字段说明：

基础信息

字段	是否必填	说明
名称	必填	给这个数据源起个好记的名字，如 `Cloudflare - example.com`。最长 255 个字符。
Endpoint	选填	Cloudflare 接口地址，默认 `https://api.cloudflare.com/client/v4`，一般不用改。
API Token	新增必填	从 Cloudflare 后台生成的访问钥匙（密码框输入，可点眼睛图标查看）。修改时若留空，表示保留原 Token 不变。

鉴权与访问范围

提示：Zone ID 与 Account Tag 至少要填写一个，否则无法保存。

只填 Account Tag：可以使用"告警列表"（推荐，这是采集 DDoS 攻击告警的关键）。

只填 Zone ID：可以使用"访问规则（黑白名单）"和"Zone 信息/可访问 Zone"。

两个都填：以上功能都能用（推荐）。

字段	说明
Account Tag	Cloudflare 账户编号，用于查询账户级别的 DDoS 网络分析告警。
Zone	可直接输入 Zone ID，或点击右侧获取 Zone 按钮，用已填写的 Token 拉取该账户下的域名列表后从下拉中选择（也支持手动输入新值）。
Zone 名称过滤	选填，"获取 Zone"时按域名关键字过滤，方便在很多域名里快速定位。

高级设置

字段	默认值	取值范围	说明
REST Timeout	15 秒	1 ~ 120 秒	普通接口（如测试连接、读取 Zone）的超时时间。
GraphQL Timeout	60 秒	1 ~ 120 秒	查询告警所用接口的超时时间。告警数据量大时如经常超时，可调大此值。
启用	开启	—	关闭后系统将不再为该数据源自动采集告警。

弹窗底部有三个按钮：取消、测试连接、保存。

说明：自动采集告警还涉及两个后台参数——"告警查询窗口"（默认 5 分钟，范围 1 ~ 1440 分钟）和"单次告警数量"（默认 100 条，范围 1 ~ 1000 条）。这两项不在本表单中，属于后台默认配置，一般无需关心；如确有调整需要，请联系运维（详见 4.6）。

新增数据源的推荐操作步骤：

填写名称与 API Token。
填写 Account Tag（用于告警）；如需管理访问规则，点击 获取 Zone 并选择一个 Zone。
点击 测试连接：系统会用 Token 去 Cloudflare 验证一次，成功会显示绿色的"连接测试成功"，失败会显示红色错误提示。
确认无误后点击保存。

注意：点"测试连接"前必须先填好 API Token，且 Zone ID 与 Account Tag 至少有一个，否则会弹出提示要求补全。（实际向 Cloudflare 校验的主要是 Token；Zone ID 仅参与前端校验。）

📷 （界面截图待补充：新增Cloudflare数据源弹窗，展示基础信息/鉴权与访问范围/高级设置三个区块及测试连接按钮）

4.4 启用 / 停用与删除

在列表"启用"列点击开关，确认弹窗后即可停用或启用该数据源。停用后系统不再自动采集该数据源的告警。
在操作列点击垃圾桶图标，确认后删除该数据源。

4.5 Cloudflare 数据源详情页

在列表中点击数据源名称进入详情页。页面顶部展示数据源的概要信息和"当前 Zone"信息，下方有三个标签页（默认打开"访问规则"）。

页面左上角是返回按钮（带启用状态小圆点、状态标签与启用/停用标签），右上角有刷新按钮，可重新拉取最新信息。

顶部概要区包含两个卡片：

数据源信息：ID、名称、状态、启用状态、Endpoint、Token（已脱敏，仅显示部分字符）、Zone ID、Account Tag、REST Timeout、GraphQL Timeout、创建/更新时间。
当前 Zone：若配置了 Zone ID，显示该域名的名称、状态、Zone ID、类型、是否暂停（Paused）、Name Servers（域名服务器）、创建/修改时间；若未配置 Zone ID，显示"未配置 Zone ID"。

📷 （界面截图待补充：Cloudflare数据源详情页顶部，数据源信息卡片与当前Zone卡片，以及下方三个标签页）

标签页 1：访问规则（黑白名单）

前提：必须配置了 Zone ID。若未配置，页面会提示"未配置 Zone ID，无法使用访问规则"，且查询/添加按钮不可用。

这里管理的是 Cloudflare 上该域名的 IP 访问名单。操作区可按"名单类型"和"IP"查询，并支持新增、修改、删除。

字段 / 列	说明
IP	规则针对的 IP 或网段（CIDR，如 `203.0.113.0/24`）。
Target	规则目标类型（一般为 `ip`）。
名单类型	白名单（直接放行）或黑名单（直接拦截，对应 Cloudflare 的 `block`）。
备注	给规则加的说明文字。
创建时间 / 更新时间	规则时间。

添加访问规则的步骤：

点击 添加规则，弹出表单。
填写 IP（支持单个 IP 或 CIDR 网段），选择名单类型（白名单/黑名单），可选填备注。
点击保存。规则会真实地写到 Cloudflare 上。

修改时只能改"名单类型"和"备注"（IP 不可改）；删除前会二次确认。

📷 （界面截图待补充：访问规则标签页，黑白名单列表、查询区与添加规则弹窗）

标签页 2：告警列表（核心）

前提：推荐配置了 Account Tag（用于查询账户级别 DDoS 网络分析告警）。

这里展示从 Cloudflare 实时拉取的 DDoS 攻击告警，可按条件查询。查询区字段：

字段	说明
目标 IP	被攻击的本方 IP。
源 IP	发起攻击的来源 IP。
开始时间 / 结束时间	查询时间窗口。不填时默认查询最近 1 天（结束时间默认当前时间）。
返回数量	最多返回多少条，默认 100，范围 1 ~ 1000。

查询区还有查询、重置、刷新三个按钮。表格主要列：

列	说明
时间	告警时间。
目标 IP	被攻击的本方 IP。
源 IP	攻击来源 IP。
Attack ID	攻击编号。
攻击类型	Cloudflare 的攻击向量，如 `udp_flood`。
Verdict / Outcome	Cloudflare 对该流量的判定/处理结果，如 `drop`（丢弃）。
Colo	Cloudflare 数据中心代号。
协议	如 UDP / TCP。
端口	源端口 -> 目标端口。
HTTP Host	被请求的域名（如有）。
请求数	请求次数。
访问数	访问次数。
响应字节	边缘响应的数据量（自动换算成 B/KB/MB 等）。
类型	如 DDoS（红色标签）。
来源	固定为 Cloudflare。
操作	详情按钮，点击可在弹窗中查看更细的告警明细（含 Path 等字段）。

提示：如果告警查询经常超时，请优先缩小时间窗口或调小返回数量；运维侧也可以把数据源的 GraphQL Timeout 调大（最多 120 秒）。

📷 （界面截图待补充：告警列表标签页，含目标IP/源IP/时间/返回数量查询区和攻击告警表格）

标签页 3：可访问 Zone

前提：配置了 Zone ID（未配置时提示"未配置 Zone ID，无法获取 Zone 列表"）。

展示当前 Token 能访问的 Cloudflare 域名（Zone）列表，可按 Zone 名称过滤。列包含：名称、Zone ID、状态、类型、是否暂停（Paused）、Name Servers、创建/更新时间。此页主要用于确认 Token 权限范围，便于核对 Zone ID 是否填对。

4.6 告警是怎么"自动"变成攻击事件的

理解这一点很重要：你在告警列表里看到的是实时去 Cloudflare 查询的结果；而系统还会在后台定时自动采集告警，沉淀为「攻击事件」（见本系统《攻击事件 / 网络安全》相关章节）。后台采集规则如下：

系统按定时任务（推荐每分钟执行一次）扫描所有已启用的 Cloudflare 数据源。
数据源必须配置 Account Tag，否则后台采集会跳过该数据源。
默认查询最近 5 分钟的告警，单次最多 100 条（对应后台的"告警查询窗口"和"单次告警数量"配置，运维可调整；为避免重复处理，同一数据源相邻两次采集间隔不少于约 5 分钟）。
只采集目标 IP 已存在于本系统 IPv4 列表中的告警——也就是说，攻击的是"系统里登记过的 IP"才会生成攻击事件，陌生 IP 不会。
系统会做去重：同一条告警不会重复生成；同一个目标 IP 如果已经有一条"进行中（ongoing）"的 Cloudflare 攻击事件，也不会重复刷新。
自动生成的攻击事件特征：类型为 Layer4（网络层/传输层攻击），动作为 清洗（cleanTraffic），自动标记为"自动产生"，状态为"进行中"。
生成攻击事件后，系统会触发站内通知与 Webhook 推送，便于值班人员第一时间收到提醒。

说明：当前 Cloudflare 告警数据集不返回聚合的 PPS / 带宽速率，因此自动生成的攻击事件中这两项可能为空，属正常现象。

五、轮询式数据源（抗 DDoS 平台等）

切换到 轮询式数据源 标签页，这里接入的是需要本系统"定时主动去拉数据"的外部平台。当前系统内置支持两种类型（具体可选项以页面下拉为准）：

类型（内部标识）	名称	配置字段
`antiddos_portal`	AntiDDoS Portal	接口地址（Endpoint）、API Token
`aodun`	傲盾	接口地址（Endpoint）、API Key、API Secret

5.1 列表页

表格列：ID、名称（点击进入详情）、类型（显示类型友好名称）、状态、操作。

状态列显示为一个"叹号"图标，点击后会用当前配置测试一次连接，成功显示绿色对勾、失败显示红色叉号（即"按需检查连接状态"，不是实时自动显示的状态）。
操作列提供修改（铅笔图标）和删除（垃圾桶图标）。
右上角添加按钮新增数据源；勾选多行后点底部删除批量删除。

📷 （界面截图待补充：轮询式数据源列表页，含名称/类型/状态列与添加按钮）

5.2 新增 / 修改

点击添加弹出表单：

填写名称（必填）。
选择类型（AntiDDoS Portal 或傲盾）。类型一旦保存便不可再改（编辑时类型下拉为禁用状态）。
选择类型后，下方会按该类型展开对应的配置字段（接口地址、API Token / API Key / API Secret 等；其中 Token、API Key、API Secret 以密码框形式显示）。
点击 测试连接 验证配置是否正确（需先把该类型的配置字段填齐）。
点击保存。

提示：傲盾的接口地址可留空，系统会使用默认地址（https://api.aodun.com）。

5.3 详情页：客户 MO / 告警列表 / IP 处置

进入轮询式数据源详情后，顶部有标签页（具体显示哪些取决于数据源类型）：

客户 MO

列表展示该平台下的"被监控对象（MO）"，每行显示客户名称、IPv4 地址段、IPv6 地址段（各显示地址段数量，可点"查看详情"展开）及操作。顶部可按客户名称、IP 地址筛选。可以：

在 IPv4 / IPv6 列点 查看详情，在右侧抽屉中浏览某个 MO 下的全部 IP，并按关键字搜索、按"全部 / 白名单 / 普通 IP"筛选；白名单 IP 会以绿色标识。
在抽屉里 添加 / 修改 / 删除白名单：把某些 IP 设为放行白名单（多选 IP，提交后会真实写入该平台）。
在操作列点迁移：把当前 MO 名下选中的部分 IP 迁移到另一个目标 MO。
在操作列点 源 IP 黑白名单：在弹窗中针对攻击来源 IP 维护黑/白名单（可按 IP、IP 类型 IPv4/IPv6、类型黑名单/白名单、状态生效/失效查询，并新增源 IP）。

告警列表

展示该平台采集到的攻击告警。顶部可按 IP/IP 段（多个用逗号分隔）、开始时间、结束时间 查询（默认最近 7 天），并有导出（提示"功能开发中"）、刷新按钮。表格列：序号、告警 ID、MO 客户名称、被攻击 IP、攻击类型、告警级别、告警状态、开始时间、结束时间、持续时间、最大 BPS、最大 PPS。

告警级别：普通 / 提示 / 次要 / 重要 / 严重 / 紧急。
告警状态：已恢复 / 持续中 / 休眠中。

点详情可查看该告警的基本信息，以及多维度明细标签页：源 IP 地址（含 AS 号、所属区域、运营商、BPS/PPS 及占比）、被攻击 IP、源 AS、TCP 标识、封包大小、源地址等，底部还显示数据采样时间。

📷 （界面截图待补充：轮询数据源告警列表标签页，含查询区和带告警级别/状态/BPS/PPS的表格）

IP 处置（仅部分类型可见）

该标签页仅在数据源类型为 AntiDDoS Portal 时显示（傲盾类型不显示该标签页）。

这里查询和管理对被攻击 IP 采取的"处置动作"。顶部除了查询，还有 新增处置、导出（提示"功能开发中"）、刷新按钮。

查询条件：IP 地址（支持 IP 或网段）、处置状态（生效/过期）、处置类型（封堵/清洗）、生效类型（常驻处置/限时处置）、时间范围（提供今天、最近三天、最近一周、最近一个月、最近一年、最近三年等快捷选项，默认最近一周）。

表格列：序号、目标 IP、MO 对象、处置类型（封堵/清洗）、最大 BPS、最大 PPS、BPS 阈值、PPS 阈值、生效类型、状态（生效/过期）、开始时间、处置时长。可对"生效中"的处置点撤销（已过期的处置撤销按钮不可用）。

新增处置的步骤：

点 新增处置，弹出表单。
选择 MO 对象，再从该对象的 IP 列表中选择一个或多个 IP 地址（支持"选择全部 IP / 取消全选"）。
选择 处置类型：封堵或清洗。
填写 处置时长（单位：秒）。规则：封堵 300 ~ 86400 秒；清洗 0 ~ 86400 秒（默认 86400 秒，即 24 小时）。
可勾选 定时执行（执行时间由定时任务设置中的时间决定）。
点确定提交。

撤销处置时会二次确认，确认后该处置立即失效。

📷 （界面截图待补充：IP处置标签页，处置列表与新增处置弹窗（MO对象/IP/处置类型/时长））

警告：封堵会直接挡住该 IP 的全部流量，可能影响该 IP 上正常业务，请谨慎使用；如只是想过滤攻击流量、保留正常访问，应选择清洗。

六、常见问题与排错

现象	可能原因与处理
保存 Cloudflare 数据源时提示"Zone ID 和 Account Tag 至少填写一个"	这两项必须至少填一个。要用告警就填 Account Tag，要用访问规则就填 Zone ID。
点"测试连接"提示失败	检查 API Token 是否正确、是否有相应权限。
告警列表为空	确认数据源配置了 Account Tag；适当放宽时间窗口；确认所查时间段内确实有攻击。
告警查询超时	缩小时间窗口、减少返回数量；或请运维把 GraphQL Timeout 调大（最多 120 秒）。
攻击事件里没看到 Cloudflare 来源的事件	自动采集要求：数据源已启用且配置了 Account Tag，且被攻击的目标 IP 已在本系统 IPv4 列表中登记；陌生 IP 不会生成事件。
"访问规则"或"可访问 Zone"标签页提示不可用	该数据源未配置 Zone ID，这两个功能都依赖 Zone ID。
修改数据源时不想改 Token	API Token 留空保存即可，系统会保留原 Token。
轮询数据源"状态"列一直是叹号	状态需手动点击该图标触发检查，不是实时自动刷新。

安全提示：API Token、API Key、API Secret、回调密钥都属于机密信息，列表与详情页中 Token 均做了脱敏显示（只露出部分字符）。请勿在工单、聊天中明文传播这些密钥。