DDoS原生防护是一款针对阿里云ECS、SLB、Web应用防火墙、EIP等产品直接提升DDoS防御能力的安全产品。相比于DDoS高防,DDoS原生防护可以直接把防御能力加载到云产品上,不需要更换IP,也没有四层端口、七层域名数等限制。DDoS原生防护部署简易,购买后只需要绑定需要防护的云产品的IP地址即可使用,几分钟内生效。

工作原理

DDoS原生防护直接为阿里云公网IP资源(包括云服务器ECS、负载均衡SLB、Web应用防火墙和弹性公网IP)提升DDoS攻击防御能力,支持防御常见的基础DDoS攻击,包括但不限于以下类型:SYN Flood攻击(主要针对大包攻击,小包攻击的防御效果一般)、ACK Flood攻击、UDP Flood攻击、ICMP Flood攻击、反射型攻击(例如SSDP、NTP、Memcached等)。

DDoS原生防护采用被动清洗方式为主、主动压制为辅的方式,针对DDoS攻击在反向探测、黑白名单、报文合规等标准技术的基础上,保证被防护用户在攻击持续状态下,仍可对外提供业务服务。DDoS原生防护通过在阿里云机房出口处建设DDoS攻击检测及清洗系统,采用旁路部署方式。网络拓扑架构如下图所示。网络拓扑

DDoS原生防护套餐版本

DDoS原生防护提供基础版和企业版套餐。
  • 基础版(DDoS基础防护):默认为阿里云资源公网IP免费开启,无需购买。提供不超过5 Gbps的DDoS基础防护能力,具体请参见DDoS基础防护黑洞阈值
  • 企业版:购买后开启,提供全力防护能力。全力防护指阿里云根据当前机房网络的整体水位,尽可能帮助您防御DDoS攻击。随着阿里云网络能力的不断提升,全力防护的防护能力也会相应提升,而不需要您额外付出升级成本。
    • 支持防护阿里云资源公网IP,例如ECS、SLB、EIP、WAF。
    • 支持防护海外IDC服务器或云上按照网段去实现DDoS防护,提供代播实例。代播实例请联系销售人员购买。

    关于DDoS原生防护的详细计费说明,请参见DDoS原生防护计费方式

产品优势

DDoS原生防护具有以下优势:
  • 即刻购买,即刻生效。最短一分钟内即可完成DDoS原生防护的部署,直接把防御能力加载到云产品,免去部署和切换IP的烦恼。
  • 具备弹性防护能力,遭受大规模攻击时调用当前地域阿里云最大DDoS防护能力提供全力防护。
  • 采用阿里云BGP带宽,覆盖电信、联通、移动、教育网、长城宽带等不同的运营商,只需要一个IP,即可实现多个不同运营商的极速访问。
  • 海量清洗带宽,满足活动大促、活动上线、重要业务的安全稳定性保障需求。
  • 支持多个IP共享防护能力,满足多个IP地址都需要提升防御带宽的需求。
  • 部分地域支持IPv6防护,具体请参见DDoS基础防护黑洞阈值

使用限制

DDoS原生防护企业版目前仅支持在中国内地地域直接开通。在中国内地以外地域开通原生防护企业版时,需要提交工单或者联系销售人员,通过审核后才能开通。

关于DDoS原生防护支持的地域信息,请参见地域和可用区