如何选择DDoS防护产品

阿里云基于多年的DDoS攻防经验和安全技术，提供多款正式商用的DDoS防护解决方案供您选择，满足您业务中对各类DDoS攻击安全防护场景的需求。本文介绍了在不同DDoS攻击防御场景下如何选择合适的DDoS防护产品或方案。

适合的防御场景


防御场景	场景特点	防护能力介绍	选择版本套餐
防御高风险DDoS攻击（推荐使用DDoS高防）	金融、电商、门户类网站，政府互联网出口、门户与开放平台，重大线上直播、活动推广促销的DDoS攻击防护场景。遭受恶意攻击者的DDoS攻击勒索。 DDoS攻击已经导致您的业务不可用，需要紧急恢复。频繁遭受DDoS攻击，需要持续防护DDoS攻击，保护业务的稳定性。移动业务遭恶意注册、刷单、刷流量等安全防护场景。	可以解决公有云上服务器（包括非阿里云主机）遭受大流量DDoS攻击的问题。通过DNS解析方式牵引流量到阿里云全球DDoS防护网络，清洗流量型和资源耗尽型DDoS攻击，隐藏被保护的源站服务器。	参考以下说明选择DDoS高防的版本套餐：业务服务器部署在中国内地，且主要服务于中国内地的用户，推荐使用DDoS高防（新BGP）专业版。业务服务器部署在中国内地以外，且主要服务于中国内地以外的用户，推荐使用DDoS高防（国际）保险版或无忧版。业务服务器部署在中国内地以外，但主要服务于中国内地的用户，推荐使用DDoS高防（国际）出海套餐或DDoS高防（国际）安全加速线路。
防御（大规模业务）低风险DDoS攻击（推荐使用DDoS原生防护）	业务资源部署在阿里云环境。业务规模较大。例如，业务带宽大于1 Gbps，HTTP和HTTPS业务QPS大于5,000。需要保护的公网IP数量多。例如数十个甚至数千个IP需要防护。需要防护的端口数量多。例如每个服务器上有数十个端口。偶尔遭受DDoS攻击。具有IPv6访问流量的防护需求。	直接提升阿里云公网IP资产的DDoS防护能力。基于阿里云原生防护网络，不改变源站服务器IP地址，透明防护流量型DDoS攻击。	参考以下说明选择DDoS原生防护的套餐版本：基础版默认开启。如果基础版提供的不超过5 Gbps的防御能力不能满足业务需求，推荐您使用DDoS原生防护企业版。如果只需要防御DDoS攻击，推荐使用负载均衡+原生防护企业版的部署方式，由负载均衡丢弃未监听协议和端口的流量，获得更好的防护效果。如果需要防御DDoS攻击和Web攻击、CC攻击，推荐使用Web应用防火墙+原生防护企业版的部署方式，由WAF防御CC攻击、DDoS原生防护企业版防御流量攻击，获得更好的防护效果。如果需要Tbps级别原生防护能力，推荐使用具备DDoS防护（增强）功能的EIP和共享带宽包、共享流量包。
防御移动端业务为主的DDoS攻击（推荐使用游戏盾）	主要业务为移动端游戏业务。具备集成阿里云SDK的能力。业务实时性要求高，对自定义传输协议存在精细化防护需求。具有网络传输加速需求。具有网络加密传输需求。需要追溯DDoS攻击的来源。	针对游戏行业面对的大规模DDoS、CC攻击提供防御能力。通过集成阿里云安全轻量级SDK，彻底解决App类业务的DDoS和CC攻击（包括游戏行业特有的TCP协议的CC攻击）问题。	无

适合的业务类型


业务类型	DDoS高防	DDoS原生防护	游戏盾
网站类业务
UDP服务类业务
App应用类业务
游戏类业务			（推荐）

适合防御的DDoS攻击类型

下表中使用的符号说明如下：

：表示支持防御
：表示不支持防御


攻击类型	DDoS高防	DDoS原生防护	游戏盾
畸形报文
传输层DDoS攻击
DNS DDoS攻击	支持针对DNS攻击进行清洗。如果需要保护NS服务，需要使用云解析抗DDoS服务。	支持针对DNS攻击进行清洗。但如果需要保护NS服务，需要使用云解析抗DDoS服务。
连接型DDoS攻击
Web应用层DDoS攻击