通过组合使用DDoS原生防护企业版和DDoS高防,您可以在尽量保证正常业务流畅体验的前提下,为其部署强力的DDoS防护。组合使用方案通过DDoS高防流量调度器的阶梯防护联动规则实现。本文介绍了组合使用方案的配置方法。
背景信息
DDoS原生防护企业版(防护包)是一款针对阿里云ECS、SLB、EIP、Web应用防火墙等云产品直接提升DDoS攻击防御能力的安全产品。DDoS原生防护企业版的主要好处是可以直接把防御能力加载到云产品上,不需要更换IP,也没有四层端口、七层域名数等限制。DDoS原生防护企业版部署简单,即刻购买,即刻生效,同时具备弹性防护能力,遭受大规模攻击时调用当前地域阿里云最大DDoS防护能力提供全力防护,可防御最高数百Gbps级别的DDoS攻击。
DDoS高防(新BGP)服务采用中国内地地域独有的T级八线BGP带宽资源,防护带宽最大达到1.5 Tbps,可防御Tbps级别的超大流量DDoS攻击。DDoS高防采用DNS解析牵引的模式接入,拥有中国内地地域最优质的BGP带宽资源,BGP线路覆盖电信、联通、移动、教育等运营商线路,平均访问时延仅20 ms左右。
DDoS高防流量调度器允许您设置DDoS高防(新BGP)与DDoS原生防护企业版之间的联动规则,实现日常使用原生防护防御DDoS攻击,仅在被大流量攻击的时候,切换到DDoS高防(新BGP)进行防御。
方案概述
DDoS原生防护企业版和DDoS高防(新BGP)的组合方案允许您同时享受两者的优势,例如DDoS原生防护企业版的费用可控、全资产防护、透明部署无延迟,和DDoS高防(新BGP)的超大攻击流量防护。
- 原生防护企业版提供多区域、账号级DDoS防护,无需更改IP,无需改变业务架构,无延迟增加。
- 原生防护企业版提供全力防护(防御能力一般不低于100~300 Gbps,具体和所在地域有关),300 Gbps以上的大流量自动切换到Tbps级别的高防防御。
- 黑洞触发自动切换,通过DNS调度完成切换,最短1~3分钟切换完成,最长5~10分钟全国切换完成。
- 专线回源,不受云产品黑洞影响。
- 触发切换后,受中国内地local DNS影响,最多5~10分钟可以完成切换。
说明 中国内地的DNS解析更新约需5~10分钟,非中国内地约需1~3分钟。
- 切换到DDoS高防时,黑洞阈值受高防的最大防护能力限制。开通实例时可以配置30 Gbps保底+300 Gbps弹性,您可以通过工单联系我们升级到1 Tbps甚至更高。
- 切换到高防之后,即使攻击停止也不会马上回切。流量调度器支持设置切换延迟时间,默认是120分钟(2小时),目的是防止回切后被持续攻击触发频繁切换,出现震荡,导致业务始终在切换状态。
开通和配置DDoS原生防护企业版
开通DDoS原生防护企业版实例,并添加同地域阿里云资源(ECS、SLB、EIP、WAF)作为防护对象。
- 如果采用公网SLB、ECS、EIP、NAT对外服务,需要注意对应产品的网络规格满足业务正常流量需要,并在DDoS防护产品控制台查看清洗限流阈值能否满足业务需求。
- 大促前,需要提前报备,协商正常流量峰值,防止误触发清洗或限流保护,对业务产生影响。
配置DDoS高防和流量调度器
开通DDoS高防(新BGP)专业版,添加业务转发规则,并通过流量调度器配置防护调度规则。完成规则配置后,将业务解析到流量调度器的Cname地址。
