DDoS原生防护是一款针对阿里云ECS、CLB、Web应用防火墙、EIP等产品直接提升DDoS防御能力的安全产品,直接把防御能力加载到云产品上,不需要更换IP,也没有四层端口和七层域名数等限制。
DDoS原生防护(基础版)介绍
DDoS原生防护(基础版)默认为CLB等阿里云公网IP资源免费开启,提供最大支持5 Gbps的DDoS原生防护(基础版)。所有来自互联网的流量都要先经过云盾再到达负载均衡,云盾会清洗过滤常见的攻击,例如SYN Flood、UDP Flood、ACK Flood、ICMP Flood和DNS Flood等DDoS攻击。
DDoS原生防护采用被动清洗方式为主、主动压制为辅的方式,针对DDoS攻击在反向探测、黑白名单、报文合规等标准技术的基础上,保证被防护用户在攻击持续状态下,仍可对外提供业务服务。网络拓扑架构如下图所示。
DDoS原生防护(基础版)根据公网CLB实例的带宽设定清洗阈值和黑洞阈值。当入方向流量达到阈值上限时,触发清洗和黑洞:
清洗:当来自互联网的攻击流量较大或符合某些特定攻击流量模型特征时,云盾将会自动对攻击流量进行清洗,清洗包括攻击报文过滤、流量限速、包限速等。
黑洞:当来自互联网的攻击流量非常大时,为保护整个集群的安全,流量将会被黑洞处理,即所有入流量全部被丢弃。
阈值的计算遵循以下两个原则:
根据CLB实例所购买的带宽(即CLB的出方向带宽)来决定阈值的高低。当实例的带宽较高时,阈值较高;当实例的带宽较低时,阈值相应地会变低。
根据您的安全信誉分来决定黑洞阈值的高低。
说明安全信誉分仅影响黑洞阈值,不影响清洗阈值。
计算阈值
按照以下步骤计算阈值。
CLB后台根据您购买的带宽给出能够满足实例正常工作的阈值建议值。
说明如果您购买的是按流量计费实例,出带宽为实例所在地域所支持的带宽峰值上限。目前中国内地地域带宽上限都是峰值5 Gbps。更多信息,请参见带宽峰值限制。
CLB带宽与BPS清洗阈值之间的关系
当CLB带宽<100 Mbps时,清洗BPS默认阈值=120 Mbps。
当CLB带宽>100 Mbps时,清洗BPS默认阈值=带宽值*1.2。
CLB带宽与PPS清洗阈值之间的关系
清洗PPS阈值=(CLB带宽值/500)*150000
带宽值单位为Mbps。
CLB带宽与黑洞BPS阈值之间的关系
当CLB带宽<1 Gbps时,黑洞BPS默认阈值=2 Gbps。
当CLB带宽>1 Gbps时,黑洞BPS默认阈值=MAX(CLB带宽值*1.5,2G)。
云盾根据CLB给出的建议值,结合您安全信誉分和各地域的资源情况,计算出最终的阈值。
云盾评估BPS和PPS阈值的规则。
BPS最小值为1000 M,PPS最小值为30万个。
当CLB传入的参考阈值小于上述最小值时,取上述最小值。
当CLB传入的参考阈值高于上述最小值时,取CLB传入的参考阈值。
云盾根据您的安全信誉分来决定黑洞阈值的高低。
授权云盾基础防护只读权限
按照以下步骤为RAM账号授予云盾DDoS原生防护(基础版)Anti-DDoS Basic的只读权限。
使用主账号进行授权。
使用主账号登录RAM访问控制台。
在左侧导航栏,单击。
在用户页面,找到目标RAM用户,然后在操作列单击添加权限。
在添加权限面板,为RAM角色添加权限。
选择授权应用范围。
整个云账号:权限在当前阿里云账号内生效。
指定资源组:权限在指定的资源组内生效。
输入授权主体。
选择权限策略。
单击系统策略页签,选择权限策略名称列中的AliyunYundunDDosFullAccess,将其加入到已选择的权限策略列表中,然后单击确定。
查看防护阈值
在顶部菜单栏,选择CLB实例的所属地域。
在实例管理页面,找到目标CLB实例,将鼠标移至目标实例的云盾图标,查看BPS清洗阈值、PPS清洗阈值和黑洞阈值。更多信息,请参见云盾DDoS防护控制台。
BPS清洗阈值:入方向流量超过了BPS清洗阈值时,触发清洗。
PPS清洗阈值:入方向数据包数超过了PPS清洗阈值时,触发清洗。
黑洞阈值:入方向流量超过黑洞阈值时将触发黑洞。