在不同DDoS攻击防御场景下如何选择DDoS防护产品或方案

阿里云基于多年的DDoS攻防经验和安全技术，提供多款正式商用的DDoS防护解决方案供您选择，满足您业务中对各类DDoS攻击安全防护场景的需求。本文介绍了在不同DDoS攻击防御场景下如何选择合适的DDoS防护产品或方案。

DDoS防护解决方案

阿里云提供的DDoS防护解决方案包括免费的DDoS原生防护基础版服务和以下收费服务：DDoS原生防护企业版、DDoS高防（新BGP&国际）、游戏盾。下表描述了不同方案的具体说明。

说明

如果需要定制专属的安全解决方案，您可以通过电话咨询阿里云安全架构师，具体请联系阿里云售前咨询。

DDoS防护解决方案	简介	应用场景	选择版本套餐
DDoS原生防护基础版	阿里云提供的基础服务，根据您所购买的阿里云产品（ECS、SLB、EIP（含NAT）、轻量服务器、WAF）公网IP免费提供最大5 Gbps的DDoS防护能力。	购买阿里云产品即可获得基础的DDoS防护能力，仅可满足较低的安全需求，对于有较高安全防护需求的用户建议额外开通其他的安全方案。	无
DDoS原生防护企业版	直接提升阿里云公网IP资产的DDoS防护能力。通过简单的配置，将DDoS原生防护企业版提供的安全能力直接加载到云产品上，提升其安全防护能力。说明 DDoS原生防护企业版，支持全力防护（原生防护）。	业务资源部署在阿里云环境。业务规模较大。例如，业务带宽大于1 Gbps，HTTP和HTTPS业务QPS大于5,000。需要保护的公网IP数量多。例如数十个甚至数千个IP需要防护。需要防护的端口数量多。例如每个服务器上有数十个端口。偶尔遭受DDoS攻击。具有IPv6访问流量的防护需求。	如果只需要防御DDoS攻击，推荐使用负载均衡+原生防护企业版的部署方式，由负载均衡丢弃未监听协议和端口的流量，获得更好的防护效果。如果需要防御DDoS攻击和Web攻击、CC攻击，推荐使用Web应用防火墙+原生防护企业版的部署方式，由WAF防御CC攻击、DDoS原生防护企业版防御流量攻击，获得更好的防护效果。重要如果需要Tbps级别原生防护能力，推荐使用具备DDoS防护（增强）功能的EIP和共享带宽包、共享流量包。
DDoS高防（新BGP、国际）	阿里云提供的解决互联网服务器（包括非阿里云主机）遭受大流量DDoS攻击的安全方案。通过配置DDoS高防，将业务请求流量牵引至DDoS高防清洗，攻击流量被过滤，仅正常流量被转发到源站，确保源站服务器稳定可靠。说明 DDoS高防（新BGP）支持弹性防护。 DDoS高防（国际）支持高级防护。	金融、电商、门户类网站，政府互联网出口、门户与开放平台，重大线上直播、活动推广促销的DDoS攻击防护场景。遭受恶意攻击者的DDoS攻击勒索。 DDoS攻击已经导致您的业务不可用，需要紧急恢复。频繁遭受DDoS攻击，需要持续防护DDoS攻击，保护业务的稳定性。移动业务遭恶意注册、刷单、刷流量等安全防护场景。	参考以下说明选择DDoS高防的版本套餐：业务服务器部署在中国内地，且主要服务于中国内地的用户，推荐使用DDoS高防（新BGP）专业版。业务服务器部署在中国内地以外，且主要服务于中国内地以外的用户，推荐使用DDoS高防（国际）保险版或无忧版。业务服务器部署在中国内地以外，但主要服务于中国内地的用户，推荐使用DDoS高防（国际）出海套餐或DDoS高防（国际）安全加速线路。
游戏盾	阿里云针对游戏行业面对的DDoS、CC攻击提供的行业针对性解决方案。相比于DDoS高防，除有效防御大型DDoS攻击（Tbps级别）外，游戏盾还具备彻底解决游戏行业特有的TCP协议的CC攻击问题的能力。说明支持防御Tbps级别的DDoS攻击。	主要业务为移动端游戏业务。具备集成阿里云SDK的能力。业务实时性要求高，对自定义传输协议存在精细化防护需求。具有网络传输加速需求。具有网络加密传输需求。需要追溯DDoS攻击的来源。	无

适合的业务类型

业务类型	DDoS高防	DDoS原生防护	游戏盾
网站类业务
UDP服务类业务
App应用类业务
游戏类业务			（推荐）

适合防御的DDoS攻击类型

下表中使用的符号说明如下：

：表示支持防御
：表示不支持防御

攻击类型	DDoS高防	DDoS原生防护	游戏盾
畸形报文
传输层DDoS攻击
DNS DDoS攻击	支持针对DNS攻击进行清洗。如果需要保护NS服务，需要使用云解析抗DDoS服务。	支持针对DNS攻击进行清洗。但如果需要保护NS服务，需要使用云解析抗DDoS服务。
连接型DDoS攻击
Web应用层DDoS攻击