IDC代播防护的配置通常要花费一些时间,需要您和阿里云技术支持根据业务商定才能完成整个流程配置。本文仅介绍IDC代播配置流程。
步骤一:购买防护代播实例
访问原生防护代播实例售卖页。
完成各项配置后,仔细阅读并勾选服务协议,跟随指引完成购买。
配置项
说明
代播模式
On-demand:适合于攻击相对不是太频繁的业务。
Always-on:适合遭受攻击频率较高的业务。
防护阈值
全力防护。详细介绍,请参见全力防护。
防护模式
保险模式(2次/月):每月有两次全力防护次数。每月初次数重置。
无忧模式(不限次):每月有不限次的全力防护次数。
详细介绍,请参见防护次数。
干净带宽
正常业务流量带宽。购买实例时默认为100 Mbps,支持以100 Mbps为步长扩展,最大支持扩展到100,000 Mbps。
C段数量
IDC服务器中的C段IP的数量。购买实例时默认为1,最大支持扩展到10,000。
IDC数量
IDC服务器的数量。购买实例时默认为1,最大支持扩展到10。
初装模式
代播基础设施安装。
初装数量
数量与您的回注点配置相关。
联系售前商务经理完成基础设施配置。
步骤二:将网段添加到代播防护实例中
登录流量安全产品控制台。
访问页面,顶部菜单栏选择地域为非中国内地。
选择代播实例后,在页面右上角单击回注配置管理,创建回注点。
回注类型:与阿里云协商配置。
回注点:从哪个清洗中心回注业务流量,一般配置为IDC服务器的地域,根据实际业务配置一个或多个回注点。
单击添加网段转发,将网段添加到防护对象中。
添加网段:请输入网段+子网掩码,非扩容网段支持/22~/28,扩容网段支持/16~/22。
说明当您要防护的网段是/22~/16时,可以选择展开子网,配置后控制台上会生成多个子网的代播防护配置项,您可以单独为某一个子网开启或关闭代播防护。
回注类型:与阿里云协商配置。
请选择回注区域:
全部清洗中心统一回注:流量经过各地域的清洗中心后,清洁流量会先转发到您配置的回注点的清洗中心,再回注到IDC服务器。
不同清洗中心独立回注:流量经过各地域的清洗中心后,先将清洁流量转发到您配置的回注点的清洗中心,再由各回注点将流量回注到IDC服务器。
步骤三:完成代播防护配置
在代播启动模式列,设置牵引模式。
手动
默认为手动,该模式下您需要在IDC服务器遇到DDoS攻击时,手动开启代播防护,并在攻击结束后,手动关闭代播防护。
NetFlow自动
IDC的网络带宽或者报文数量连续多次超过您设置的阈值,将自动开启代播防护。选择该模式后,您还需要配置代播防护的自动启动规则和停止方式等参数。
重要该方式仅支持阿里云的云上IDC,且仅支持特定协议,因此使用前请联系阿里云技术支持人员。
参数
说明
策略名称
自定义策略名称。
BPS阈值
入方向带宽阈值,通常可以设置为正常业务BPS的2倍。单位:Mbps。最小值:100。
PPS阈值
入方向报文数阈值,通常可以设置为正常业务PPS的2倍。单位:Kpps。最小值:10。
连续
从互联网访问IDC的网络带宽或者报文数量连续超过阈值多少次时,将自动开启代播防护。
停止方式
代播防护开启后,停止代播防护的方式。可选值:
手动停止(默认):您需要在攻击停止后,手动停止代播防护。
自动停止:攻击停止后,自动在您指定的时间停止代播防护。
时区:选择您的IDC服务器所在的时区。使用格林威治时间表示,格式:
GMT-hh:mm。例如,GMT-08:00表示东八区。自动停止时间:自动停止代播防护的时间。使用24小时制表示,格式:
hh:mm。建议您将该时间设置为业务低峰期。当阿里云DDoS防护检测到攻击停止后,会在您设置的时间自动停止代播防护。
在审核状态列,单击审核,由阿里云审核当前网段的合法性。
审核通过的网段可进行牵引,提交后建议您联系阿里云技术支持。
在防护模版列,选择防护模板。
防护模板
防护操作
说明
通用策略
过滤不符合协议规范的畸形报文
过滤明确攻击特征的TCP/UDP/ICMP报文
过滤IP分片报文及非TCP/非UDP/非ICMP的协议
对部分异常访问源IP进行校验及限速
清洗策略适用于绝大多数业务,可有效防护常见DDoS攻击。
办公策略
过滤不符合协议规范的畸形报文
过滤明确攻击特征的TCP/UDP/ICMP报文
过滤IP分片报文
允许GRE/IPSec等IP协议通过
对访问源IP校验较为宽松
对外访问限制较为宽松,适用于办公网络环境。
游戏TCP策略
过滤不符合协议规范的畸形报文
过滤明确攻击特征的TCP/UDP/ICMP报文
过滤IP分片报文及非TCP/非UDP/非ICMP的协议
对部分异常访问源IP进行校验及限速
对UDP报文进行严格校验及限制
业务形态以TCP接入为主时,建议您选择此策略。
游戏UDP策略
过滤不符合协议规范的畸形报文
过滤明确攻击特征的TCP/UDP/ICMP报文
过滤IP分片报文及非TCP/非UDP/非ICMP的协议
对UDP报文校验较为宽松
业务形态以UDP接入为主时,建议您选择此策略。
步骤四:启动代播防护
On-demand
手动牵引模式
当IDC服务器的运维人员判断遭受攻击时,请单击操作列的启动牵引,牵引状态会变更为牵引中,表示被防护资产的流量已经获得DDoS防护。
如果您希望停止防护,则可以单击暂停牵引。暂停牵引后,代播实例将不再为被防护资产的流量提供DDoS防护服务。
NetFlow自动牵引模式
如果从互联网访问IDC的网络带宽或者报文数量连续多次超过您设置的阈值,将自动开启代播防护。
Always-on
即一直将IDC的入流量重定向到清洗中心,因此无论是否遭受攻击,都开启牵引。
请单击操作列的启动牵引,牵引状态会变更为牵引中,表示被防护资产的流量已经获得DDoS防护。
步骤五:验证代播及回注是否正常
您可以通过traceroute命令查看流量是否经过AS134963,或者通过监控报表上是否有流量确定代播是否成功。
您可以通过回注状态列,是否显示正常确认回注状态。显示为其他状态时,请您联系阿里云技术支持。
步骤六:查看攻击防护报表
攻击结束后,单击操作列的查看监控、查看IDC攻击分析,查看相应的攻击数据。