通过组合使用DDoS原生防护企业版和DDoS高防,您可以在尽量保证正常业务流畅体验的前提下,为其部署强力的DDoS防护。组合使用方案通过DDoS高防流量调度器的阶梯防护联动规则实现。本文介绍了组合使用方案的配置方法。

背景信息

DDoS原生防护企业版(防护包)是一款针对阿里云ECS、SLB、EIP、Web应用防火墙等云产品直接提升DDoS攻击防御能力的安全产品。DDoS原生防护企业版的主要好处是可以直接把防御能力加载到云产品上,不需要更换IP,也没有四层端口、七层域名数等限制。DDoS原生防护企业版部署简单,即刻购买,即刻生效,同时具备弹性防护能力,遭受大规模攻击时调用当前地域阿里云最大DDoS防护能力提供全力防护,可防御最高数百Gbps级别的DDoS攻击。

DDoS高防(新BGP)服务采用中国内地地域独有的T级八线BGP带宽资源,防护带宽最大达到1.5 Tbps,可防御Tbps级别的超大流量DDoS攻击。DDoS高防采用DNS解析牵引的模式接入,拥有中国内地地域最优质的BGP带宽资源,BGP线路覆盖电信、联通、移动、教育等运营商线路,平均访问时延仅20 ms左右。

DDoS高防流量调度器允许您设置DDoS高防(新BGP)与DDoS原生防护企业版之间的联动规则,实现日常使用原生防护防御DDoS攻击,仅在被大流量攻击的时候,切换到DDoS高防(新BGP)进行防御。

方案概述

DDoS原生防护企业版和DDoS高防(新BGP)的组合方案允许您同时享受两者的优势,例如DDoS原生防护企业版的费用可控、全资产防护、透明部署无延迟,和DDoS高防(新BGP)的超大攻击流量防护。

在DDoS原生防护企业版和DDoS高防(新BGP)的组合方案中,您可以开通DDoS原生防护企业版,保护单地域255个IP,应用全力防护模式(防御能力一般不低于100~300 Gbps,具体和所在地域有关);在DDoS原生防护企业版的基础上,增加一组DDoS高防(新BGP),冷备防御300 Gbps以上的大流量攻击。配置防护调度规则后,将业务接入高防流量调度器,在原生防护触发黑洞时自动切换DDoS高防IP。组合方案
DDoS原生防护企业版和DDoS高防(新BGP)的组合方案具备以下特性:
  • 原生防护企业版提供多区域、账号级DDoS防护,无需更改IP,无需改变业务架构,无延迟增加。
  • 原生防护企业版提供全力防护(防御能力一般不低于100~300 Gbps,具体和所在地域有关),300 Gbps以上的大流量自动切换到Tbps级别的高防防御。
  • 黑洞触发自动切换,通过DNS调度完成切换,最短1~3分钟切换完成,最长5~10分钟全国切换完成。
  • 专线回源,不受云产品黑洞影响。
部署组合方案后,业务默认解析在SLB、ECS、WAF,开启原生防护企业版,此时不增加延迟;攻击过大,原生防护触发黑洞时,高防调度器调度到DDoS高防IP,使用高防IP防御大流量的攻击,存在约20 ms的业务延时;攻击停止,流量回切到SLB、ECS、WAF,使用原生防护。
  • 触发切换后,受中国内地local DNS影响,最多5~10分钟可以完成切换。
    说明 中国内地的DNS解析更新约需5~10分钟,非中国内地约需1~3分钟。
  • 切换到DDoS高防时,黑洞阈值受高防的最大防护能力限制。开通实例时可以配置30 Gbps保底+300 Gbps弹性,您可以通过工单联系我们升级到1 Tbps甚至更高。
  • 切换到高防之后,即使攻击停止也不会马上回切。流量调度器支持设置切换延迟时间,默认是120分钟(2小时),目的是防止回切后被持续攻击触发频繁切换,出现震荡,导致业务始终在切换状态。

开通和配置DDoS原生防护企业版

开通DDoS原生防护企业版实例,并添加同地域阿里云资源(ECS、SLB、EIP、WAF)作为防护对象。

注意
  • 如果采用公网SLB、ECS、EIP、NAT对外服务,需要注意对应产品的网络规格满足业务正常流量需要,并在DDoS防护产品控制台查看清洗限流阈值能否满足业务需求。
  • 大促前,需要提前报备,协商正常流量峰值,防止误触发清洗或限流保护,对业务产生影响。
原生防护企业版
  1. 开通DDoS原生防护企业版。
    具体操作请参见开通DDoS原生防护企业版
  2. 将业务的源站IP地址添加为DDoS原生防护的防护对象。
    具体操作请参见添加防护对象

配置DDoS高防和流量调度器

开通DDoS高防(新BGP)专业版,添加业务转发规则,并通过流量调度器配置防护调度规则。完成规则配置后,将业务解析到流量调度器的Cname地址。

流量调度
  1. 开通DDoS高防(新BGP)专业版。
    具体操作请参见创建DDoS高防(新BGP)实例
  2. 为业务添加网站配置。
    具体操作请参见添加网站
    说明 成功添加网站业务转发配置后,无需按照页面提示修改DNS解析。
  3. 使用流量调度器,为业务添加阶梯防护调度规则。
    具体操作请参见添加阶梯防护规则
    成功添加调度规则后,您可以在通用联动规则列表获取规则对应的流量调度器Cname地址。
  4. 更新业务域名解析。前往域名DNS服务商处修改域名的DNS解析,将解析指向流量调度器Cname地址。