通过组合使用DDoS原生防护和DDoS高防,您可以在尽量保证正常业务流畅体验的前提下,为其部署强力的DDoS防护。组合使用方案通过DDoS高防流量调度器的防护调度规则实现。本文介绍了组合使用方案的配置方法。

背景信息

DDoS原生防护(企业版)是一款针对阿里云ECS、SLB、EIP、Web应用防火墙等云产品直接提升DDoS攻击防御能力的安全产品。DDoS原生防护的主要好处是可以直接把防御能力加载到云产品上,不需要更换IP,也没有四层端口、七层域名数等限制。DDoS原生防护部署简单,即刻购买,即刻生效,同时具备弹性防护能力,遭受大规模攻击时调用当前地域阿里云最大DDoS防护能力提供全力防护。

DDoS高防(新BGP)服务采用中国大陆地域独有的T级八线BGP带宽资源,防护带宽最大达到1.5T,可防御超大流量DDoS攻击。DDoS高防采用DNS解析牵引的模式接入,拥有中国大陆地域最优质的BGP带宽资源,BGP线路覆盖电信、联通、移动、教育等运营商线路,平均访问时延仅20ms左右。

DDoS高防流量调度器允许您设置DDoS高防与DDoS原生防护之间的联动规则,实现日常使用原生防护防御DDoS攻击,仅在被大流量攻击的时候,切换到DDoS高防进行防御。

方案概述

DDoS原生防护和DDoS高防的组合方案允许您同时享受到DDoS原生防护和DDoS高防的优势,例如DDoS原生防护的费用可控、全资产防护、透明部署无延迟,和DDoS高防的超大攻击流量防护。

在DDoS原生防护和DDoS高防的组合方案中,您可以开通DDoS原生防护企业版,保护单地域255个IP,应用尽力防护模式(防御防护能力一般不低于100~300Gbps,具体防护能力和所在区域有关);在DDoS原生防护的基础上,增加一组DDoS高防,冷备防御200G以上的大流量攻击。配置防护调度规则后,将业务接入高防流量调度器,在原生防护触发黑洞时自动切换DDoS高防IP。组合方案
DDoS原生防护和DDoS高防的组合方案具备以下特性:
  • 原生防护企业版提供多区域、账号级DDoS防护,无需更改IP,无需改变业务架构,无延迟增加。
  • 原生防护提供200Gbps防护能力,更大流量自动切换到Tbps级别的高防防御。
  • 黑洞触发自动切换,通过DNS调度完成切换,最短1-3分钟切换完成,最长5-10分钟全国切换完成。
  • 专线回源,不受云产品黑洞影响。

方案对比

方案 防护配置 业务延时 防护效果
DDoS原生防护 保底20Gbps,弹性尽力防护(200Gbps) 正常无业务延时 攻击带宽20~200Gbps间弹性尽力防护,200Gbps以上黑洞
DDoS高防 保底30Gbps,弹性300Gbps 存在业务延时(约20ms) 攻击带宽30~300Gbps间弹性后付费,300Gbps以上黑洞
DDoS原生防护+DDoS高防 保底20Gbps,弹性300Gbps 正常无业务延时,被攻击时延时约20ms 攻击带宽20~200Gbps间弹性尽力防护,200~300Gbps间弹性后付费,300Gbps以上黑洞

部署组合方案后,业务默认解析在SLB/ECS/WAF,开启原生防护企业版,此时不增加延迟;攻击过大,原生防护触发黑洞时,高防调度器调度到DDoS高防IP,使用高防IP防护大流量的攻击;攻击停止,流量回切到SLB/ECS/WAF,使用原生防护。

  • 触发切换后,受国内local DNS影响,最多5~10分钟可以完成全国切换。
    说明 中国大陆的DNS解析更新约需5~10分钟,非中国大陆约需1~3分钟。
  • 切换到DDoS高防时,黑洞阈值受高防的最大防护能力限制。开通实例时可以配置30Gbps保底+300Gbps弹性,但您可以通过工单联系我们升级到1T甚至更高。
  • 切换到高防之后,即使攻击停止也不会马上回切。流量调度器支持设置切换延迟时间,默认是120分钟(2小时),目的是防止回切后被持续攻击触发频繁切换,出现震荡,导致业务始终在切换状态。

开通和配置DDoS原生防护

开通DDoS原生防护(防护包)企业版实例,并添加同地域阿里云资源(ECS、SLB、EIP、WAF)作为防护对象。

注意
  • 如果采用公网SLB、ECS、EIP、NAT对外服务,需要注意对应产品的网络规格满足业务正常流量需要,并在DDoS基础防护控制台查看清洗限流阈值能否满足业务需求。
  • 大促前,需要提前报备,协商正常流量峰值,防止误触发清洗或限流保护,对业务产生影响。
ddos防护包
  1. 开通DDoS原生防护企业版。若已开通,请跳过此步骤。
    1. 登录云盾DDoS防护产品管理控制台
    2. DDoS原生防护页面,单击新购原生防护
    3. DDoS原生防护(防护包)购买页面,完成防护包实例配置,并单击立即购买。防护包的配置描述如下。
      • 防护套餐企业版
      • 资源所在地域:要防护的阿里云资源的地域
      • 业务规模:要防护的业务的正常网络带宽
      防护包
      说明 更多信息,请参见开通DDoS原生防护(防护包)企业版
    4. 确认订单并完成支付。
    成功开通DDoS原生防护企业版实例。
  2. 为DDoS原生防护添加防护对象。
    1. 登录云盾DDoS防护产品管理控制台
    2. DDoS原生防护页面,定位到企业版防护包,单击其操作列下的添加防护对象
    3. 添加防护对象对话框中,输入要防护的业务的源站IP地址,并单击确定
      防护对象IP
      说明 更多信息,请参见添加防护对象
      成功添加防护对象。

配置DDoS高防和流量调度器

开通DDoS高防(新BGP)专业版,添加业务转发规则,并通过流量调度器配置防护调度规则。完成规则配置后,将业务解析到流量调度器的Cname地址。

ddos高防,流量调度
  1. 开通DDoS高防专业版。若已开通,请跳过此步骤。
    1. 登录DDoS高防(新BGP)控制台
    2. 管理 > 实例列表页面,单击新购实例
    3. DDoS高防(新BGP)购买页面,完成高防实例的配置,并单击立即购买。高防实例的配置描述如下。
      • 防护套餐专业版
      • 保底防护带宽:30Gb
      • 弹性防护带宽:300Gb
      • 业务带宽:要防护的业务的正常网络带宽
      ddos高防
      说明 更多信息,请参见开通DDoS高防
    4. 确认订单并完成支付。
      成功开通DDoS高防(新BGP)专业版。
  2. 为业务添加网站配置。
    1. 登录DDoS高防(新BGP)控制台
    2. 管理 > 网站配置页面,单击添加网站
    3. 填写网站信息任务中,完成要防护的业务的转发配置,并单击添加。转发配置的描述如下。
      • 功能套餐实例:要使用的高防实例
      • 网站:填写网站域名
      • 服务器地址:选择源站IP,并填写源站服务器的IP地址
      说明 更多信息,请参见添加网站配置
      网站配置
      成功添加网站业务转发配置。
      说明 添加网站配置后,无需按照页面提示修改DNS解析。
  3. 使用流量调度器,为业务添加防护调度规则。
    1. 登录DDoS高防(新BGP)控制台
    2. 前往管理 > 流量调度器页面,在防护调度页签下,单击添加规则
    3. 添加规则侧边页,完成阶梯防护规则的配置,并单击下一步。阶梯防护规则的配置描述如下。
      • 联动场景阶梯防护
      • 高防IP:选择在网站配置中使用的高防实例
      • 云资源:选择业务的源站IP
      阶梯防护
      说明 更多信息,请参见流量调度器
      成功添加调度规则,获得调度器Cname地址。调度器Cname
  4. 更新业务域名解析,使能DDoS高防流量调度规则。前往域名DNS服务商处修改DNS解析,应用CNAME解析,并将解析指向流量调度器Cname地址。