DDoS原生防护是一种直接提升阿里云产品DDoS防御能力的安全服务,无需改变网络架构即可为云产品提供防护。购买实例并绑定IP后,防护在分钟级内生效。该产品主要防御三层和四层的流量型DDoS攻击,适合希望以低成本快速提升基础DDoS防御能力的用户。
前置概念
DDoS攻击:全称为分布式拒绝服务攻击(Distributed Denial of Service attack),通过恶意流量消耗网络或设备资源,导致服务不可用。更多信息,请参见什么是DDoS攻击。
工作原理
DDoS原生防护采用旁路部署方式,在阿里云机房出口处部署DDoS攻击检测及清洗系统。以被动清洗为主、主动压制为辅,在不影响正常业务的前提下识别和清洗DDoS攻击流量。
攻击检测:系统实时检测流经公网IP的流量。
流量清洗:当入向流量超出清洗阈值时,系统自动将流量牵引至清洗中心。
流量回注:清洗中心丢弃攻击流量后,将干净业务流量回注给源站服务器,保证攻击持续期间业务仍可正常访问。
产品优势
即时部署:购买后生效,最快一分钟内完成部署。防御能力直接加载至云产品,无需部署或更换IP。
弹性防御:遭遇大规模攻击时,自动调用当前地域的全部DDoS防护资源进行全力防御。
BGP多线接入:采用BGP带宽,单一IP即可实现电信、联通、移动等多运营商网络的高速访问。
大规模清洗能力:提供充足的清洗带宽,满足大促活动、新品上线及核心业务的安全需求。
灵活共享:多个IP地址可共享同一防护实例,满足多资产的防御需求。
防护的云产品类型说明
对比维度 | 标准型云产品 | 增强型云产品 |
定义 | 具备阿里云默认DDoS防护能力的云产品,例如普通ECS、EIP、SLB等。 | 购买时开启了DDoS防护增强功能的云产品,目前特指DDoS防护(增强型)EIP(高防EIP)。 |
防护策略生效方式 | 防护策略(如黑白名单、区域封禁等)仅在遭受攻击且流量被清洗时生效。 | 防护策略始终生效,所有流量均经过清洗中心处理。 |
防护能力 | 共享地域级清洗能力,中国内地地域最高可达数百Gbps。 | 可提供Tbps级别的全力防护能力。 |
购买配置 | 购买EIP时,安全防护选择默认。 | 购买EIP时,安全防护选择DDoS防护(增强版)。 |
DDoS原生防护版本
类别 | 实例版本 | 说明 |
DDoS原生防护1.0(包年包月) | 企业版 | 已停止新购。 |
DDoS原生防护2.0(包年包月) | 中小企业普惠版、企业版 | 支持防护标准型云产品和高防EIP(DDoS防护增强EIP)资产。中小企业普惠版仅支持防护标准型云产品,不支持高防EIP。
|
DDoS原生防护2.0(后付费) | 企业版 | 支持防护标准型云产品、增强型云产品。 |
实例规格对比
对比项 | DDoS原生防护1.0 | DDoS原生防护2.0包年包月 | DDoS原生防护2.0后付费(即将停止新购) | |
企业版 | 中小企业普惠版 | 企业版 | 企业版 | |
防护对象 | 阿里云产品:ECS、SLB、EIP(包含绑定NAT网关的EIP)、IPv6网关、轻量服务器、WAF、GA |
| ||
计费方式 | 包年包月 | 包年包月 | 包年包月 | 按量计费 |
防护次数 | 不限次 | 2次/月 | 不限次 | 不限次 |
防护资产类型 | 标准型云产品 | 标准型云产品、增强型云产品(高防EIP) | ||
防护的资产地域数量 | 防护一个地域下的公网IP资产。 | 防护一个地域下的公网IP资产。 | 防护当前阿里云账号下所有地域的公网IP资产。 | 防护当前阿里云账号下所有地域的公网IP资产。 |
防护的资产网络类型 | 仅支持防护一种公网IP资产,IPv4或IPv6。 | 仅支持防护一种公网IP资产,IPv4或IPv6。 | 支持同时防护IPv4和IPv6公网IP资产。 | 支持同时防护IPv4和IPv6公网IP资产。 |
支持防护的IP数量 | 选购实例时100个起步,自由选择。 | 选购实例时,支持选择1~29。 | 选购实例时,支持选择30~2000。 如需更高规格,请联系商务经理。 | 最多2000个。 |
业务带宽 | 选购实例时自由选择带宽,支持无上限扩容。 | 选购实例时,支持选择50 Mbps~1000 Mbps。 | 选购实例时100 Mbps起步,自由选择带宽,支持无上限扩容。标准型云产品不限制带宽,增强型云产品(高防EIP)有带宽限制。 |
|
弹性业务带宽 | 不支持。 | 支持,默认开启日95模式。开启后支持的业务带宽总量为保底业务带宽的5倍。 | 不涉及 | |
SLS日志 | 支持。 | 不支持。 | 支持。 | 支持。 |
多账号管理 | 不支持。 | 不支持。 | 支持。 | 支持。 |
防护性能对比
DDoS原生防护提供1.0和2.0版本,1.0版本已停止新购,下表仅展示2.0版本的防护能力参考值。
DDoS原生防护采用"全力防护"模式,防护能力非固定值,而是依据云数据中心的整体防护水位动态调整。防护水位通常随阿里云网络基础设施的扩展而提升,但在资源紧张等特殊情况下也可能临时下降。
地域 | 原生防护2.0(包年包月)中小企业普惠版 | 原生防护2.0(包年包月)企业版 | 原生防护2.0(后付费)企业版(即将停止新购) | |||
标准型云产品 | 标准型云产品 | 增强型云产品 | 标准型云产品 | 增强型云产品 | ||
中国内地 | 华北2(北京)、华东2(上海)、 华东1(杭州)、华南1(深圳)、华北6(乌兰察布)、华北3(张家口)、华北5(呼和浩特)、华南2(河源) | 最大300 Gbps~600 Gbps。 | 最大Tbps级别。 仅华北2(北京)、华东2(上海)、华东1(杭州)支持购买。 | 最大300 Gbps~600 Gbps。 | 最大Tbps级别。 仅华北2(北京)、华东2(上海)、华东1(杭州)支持购买。 | |
西南1(成都)、华南3(广州)、华北1(青岛) | 最大数10Gbps。 | 最大数10Gbps。 | ||||
非中国内地 | 中国香港、新加坡、德国(法兰克福)、美国(硅谷)、美国(弗吉尼亚) | 最大100-200Gbps。 | 最大Tbps级别。 | 最大100-200Gbps。 | 最大Tbps级别。 | |
日本(东京) | 最大数10Gbps。 | 最大Tbps级别。 | 最大数10Gbps, | 最大Tbps级别。 | ||
其他地域 | 防护能力有限(小于10Gbps)。 | 最大Tbps级别。 | 防护能力有限(小于10Gbps)。 | 最大Tbps级别。 | ||
快速使用DDoS原生防护
购买DDoS原生防护实例。如需添加高防EIP资产,请先完成服务关联角色(SLR)授权。具体操作,请参见防护授权(首次)。
将公网IP资产添加为实例的防护对象。具体操作,请参见防护对象。
根据业务流量特征自定义防护策略。具体操作,请参见https://help.aliyun.com/zh/anti-ddos/anti-ddos-origin/user-guide/protection-configuration/。
查看业务流量监控数据。具体操作,请参见业务监控。
开启防护日志,通过防护分析功能查询和分析防护日志、查看内置防护报表。具体操作,请参见开启防护分析。
公网IP资产遭受攻击后查看攻击事件详情。具体操作,请参见攻击分析。
查看黑洞和清洗事件。具体操作,请参见事件中心。
常见问题
DDoS原生防护和DDoS高防有什么区别?
对比维度
DDoS原生防护
DDoS高防
核心定位
云产品的增强防护。
专业级独立防护。
接入方式
绑定已有公网IP,无需更换IP。
将业务流量切换至高防IP。
防护能力
地域级共享,有上限(Gbps级)。
独立资源,可达Tbps级,SLA更高。
适用场景
提升基础防御,便捷、低成本。
核心业务,抵御超大规模攻击。
成本
相对较低。
相对较高。
DDoS原生防护能防御CC攻击(应用层攻击)吗?
不能。DDoS原生防护主要防御三层和四层的流量型攻击(如UDP Flood、SYN Flood等)。