通过组合使用DDoS原生防护(防护包)和DDoS高防,您可以在尽量保证正常业务流畅体验的前提下,为其部署强力的DDoS防护。组合使用方案通过DDoS高防流量调度器的防护调度规则实现。本文介绍了组合使用方案的配置方法。

背景信息

DDoS原生防护(防护包)是一款针对阿里云ECS、SLB、EIP、Web应用防火墙等云产品直接提升DDoS攻击防御能力的安全产品。DDoS原生防护的主要好处是可以直接把防御能力加载到云产品上,不需要更换IP,也没有四层端口、七层域名数等限制。DDoS原生防护部署简单,即刻购买,即刻生效,同时具备弹性防护能力,遭受大规模攻击时调用当前地域阿里云最大DDoS防护能力提供全力防护,可防御最高数百Gbps级别的DDoS攻击。

DDoS高防(新BGP)服务采用中国内地地域独有的T级八线BGP带宽资源,防护带宽最大达到1.5 T,可防御Tbps级别的超大流量DDoS攻击。DDoS高防采用DNS解析牵引的模式接入,拥有中国内地地域最优质的BGP带宽资源,BGP线路覆盖电信、联通、移动、教育等运营商线路,平均访问时延仅20 ms左右。

DDoS高防流量调度器允许您设置DDoS高防与DDoS原生防护之间的联动规则,实现日常使用原生防护防御DDoS攻击,仅在被大流量攻击的时候,切换到DDoS高防进行防御。

方案概述

DDoS原生防护和DDoS高防的组合方案允许您同时享受到DDoS原生防护和DDoS高防的优势,例如DDoS原生防护的费用可控、全资产防护、透明部署无延迟,和DDoS高防的超大攻击流量防护。

在DDoS原生防护和DDoS高防的组合方案中,您可以开通DDoS原生防护企业版,保护单地域255个IP,应用全力防护模式(防御能力一般不低于100~300 Gbps,具体和所在地域有关);在DDoS原生防护的基础上,增加一组DDoS高防,冷备防御300 Gbps以上的大流量攻击。配置防护调度规则后,将业务接入高防流量调度器,在原生防护触发黑洞时自动切换DDoS高防IP。组合方案
DDoS原生防护和DDoS高防的组合方案具备以下特性:
  • 原生防护企业版提供多区域、账号级DDoS防护,无需更改IP,无需改变业务架构,无延迟增加。
  • 原生防护提供全力防护(防御能力一般不低于100~300 Gbps,具体和所在地域有关),300 Gbps以上的大流量自动切换到Tbps级别的高防防御。
  • 黑洞触发自动切换,通过DNS调度完成切换,最短1~3分钟切换完成,最长5~10分钟全国切换完成。
  • 专线回源,不受云产品黑洞影响。
部署组合方案后,业务默认解析在SLB、ECS、WAF,开启原生防护企业版,此时不增加延迟;攻击过大,原生防护触发黑洞时,高防调度器调度到DDoS高防IP,使用高防IP防御大流量的攻击,存在约20 ms的业务延时;攻击停止,流量回切到SLB、ECS、WAF,使用原生防护。
  • 触发切换后,受国内local DNS影响,最多5~10分钟可以完成全国切换。
    说明 中国内地的DNS解析更新约需5~10分钟,非中国内地约需1~3分钟。
  • 切换到DDoS高防时,黑洞阈值受高防的最大防护能力限制。开通实例时可以配置30 Gbps保底+300 Gbps弹性,但您可以通过工单联系我们升级到1 T甚至更高。
  • 切换到高防之后,即使攻击停止也不会马上回切。流量调度器支持设置切换延迟时间,默认是120分钟(2小时),目的是防止回切后被持续攻击触发频繁切换,出现震荡,导致业务始终在切换状态。

开通和配置DDoS原生防护

开通DDoS原生防护(防护包)企业版实例,并添加同地域阿里云资源(ECS、SLB、EIP、WAF)作为防护对象。

注意
  • 如果采用公网SLB、ECS、EIP、NAT对外服务,需要注意对应产品的网络规格满足业务正常流量需要,并在DDoS基础防护控制台查看清洗限流阈值能否满足业务需求。
  • 大促前,需要提前报备,协商正常流量峰值,防止误触发清洗或限流保护,对业务产生影响。
ddos防护包
  1. 开通DDoS原生防护企业版。若已开通,请跳过此步骤。
    1. 登录云盾DDoS防护产品管理控制台
    2. DDoS原生防护页面,单击新购原生防护
    3. DDoS原生防护(防护包)购买页面,完成防护包实例配置,并单击立即购买。防护包的配置描述如下。
      • 防护套餐企业版
      • 资源所在地域:要防护的阿里云资源的地域
      • 业务规模:要防护的业务的正常网络带宽
      防护包
      说明 更多信息,请参见开通DDoS原生防护(防护包)企业版
    4. 确认订单并完成支付。
  2. 为DDoS原生防护添加防护对象。
    1. 登录云盾DDoS防护产品管理控制台
    2. DDoS原生防护页面,定位到企业版防护包,单击其操作列下的添加防护对象
    3. 添加防护对象对话框,输入要防护的业务的源站IP地址,并单击确定
      防护对象IP
      说明 更多信息,请参见添加防护对象

配置DDoS高防和流量调度器

开通DDoS高防(新BGP)专业版,添加业务转发规则,并通过流量调度器配置防护调度规则。完成规则配置后,将业务解析到流量调度器的Cname地址。

ddos高防,流量调度
  1. 开通DDoS高防专业版。若已开通,请跳过此步骤。
    1. 登录DDoS高防(新BGP)控制台
    2. 在左侧导航栏,单击资产管理 > 实例管理
    3. 单击新购实例
    4. DDoS高防(新BGP)购买页面,完成高防实例的配置,并单击立即购买。高防实例的配置描述如下。
      • 防护套餐专业版
      • 保底防护带宽:30 Gb
      • 弹性防护带宽:300 Gb
      • 业务带宽:要防护的业务的正常网络带宽
      ddos高防
      说明 更多信息,请参见创建DDoS高防实例
    5. 确认订单并完成支付。
  2. 为业务添加网站配置。
    1. 登录DDoS高防(新BGP)控制台
    2. 在左侧导航栏,单击接入管理 > 域名接入
    3. 单击添加网站
    4. 填写网站信息任务中,完成要防护的业务的转发配置,并单击添加。转发配置的描述如下。
      • 功能套餐实例:要使用的高防实例
      • 网站:网站域名
      • 服务器地址:选择源站IP,并填写源站服务器的IP地址
      说明 更多信息,请参见添加网站配置
      网站配置
      成功添加网站业务转发配置后,无需按照页面提示修改DNS解析。
  3. 使用流量调度器,为业务添加防护调度规则。
    1. 登录DDoS高防(新BGP)控制台
    2. 在左侧导航栏,单击接入管理 > 流量调度器
    3. 通用联动页签下,单击添加规则
    4. 添加规则页面,完成阶梯防护规则的配置,并单击下一步。阶梯防护规则的配置描述如下。
      • 联动场景阶梯防护
      • DDoS高防IP:在网站配置中使用的高防实例
      • 云资源:业务的源站IP
      阶梯防护
      说明 更多信息,请参见流量调度器
      成功添加调度规则后,获得调度器Cname地址。调度器Cname
  4. 更新业务域名解析。前往域名DNS服务商处修改DNS解析,使用CNAME解析,并将解析指向流量调度器Cname地址。