全球加速 GA(Global Accelerator)支持专有网络类型后端服务,避免后端服务直接暴露在互联网,可实现更加安全的网络连接。GA还可以搭配阿里云安全服务,保护应用免受攻击,加固对后端服务的安全访问。
加速访问专有网络类型后端服务
GA支持将以下专有网络类型云资源添加为终端节点后端服务:
实例类型 | 专有网络类型云资源 |
标准型GA实例 |
|
基础型GA实例 |
|
当您将以上专有网络类型后端服务添加为GA的终端节点时,客户端流量通过访问GA的加速IP进入阿里云加速网络后,将被直接分配至VPC内对应的后端服务中,VPC内的后端服务无需具备公网IP地址即可对外提供服务。
关于终端节点更多信息,请参见标准型全球加速实例的终端节点和基础型全球加速实例的终端节点。
攻击防护
GA可搭配阿里云安全服务,保护应用免受攻击,加固对后端服务的安全访问。
搭配DDoS防护实现DDoS攻击防护
DDoS攻击是一种针对目标系统的恶意网络攻击行为,会导致被攻击者的业务无法正常访问。您可以根据业务的安全防护需求选择以下DDoS防护产品:
防护产品 | |||
防护能力 | 较低 GA与阿里云DDoS防护集成,无需开启,免费为GA实例的加速IP和终端节点出公网IP提供不超过5 Gbps的DDoS基础防护(不同地域支持的最大免费防护流量不同)。 | 较高 DDoS原生防护支持将GA实例添加为防护对象,为GA实例的加速IP和终端节点出公网IP提供最高数百Gbps全力防护(不同地域最大防护流量不同)。 | 高 GA支持接入DDoS高防,基于阿里云全球DDoS清洗中心能力,为GA实例的安全CNAME(安全加速IP)提供最高可达Tbps以上的防御能力。 |
防护原理 | DDoS基础防护会默认设置清洗阈值,也支持您手动设置清洗阈值,当触发流量清洗条件时,DDoS基础防护通过对所有来自互联网的流量进行过滤清洗,防御一般常见的网络层、传输层攻击,例如UDP反射攻击、SYN/ACK Flood攻击等,但DDoS基础防护不支持抵御应用层攻击,例如HTTP Flood攻击和CC攻击。 当同时满足如下条件时,会触发清洗:
如果入方向流量超过防护能力(即黑洞阈值),为避免DDoS攻击对云产品产生更大损害,同时也避免单个云产品被DDoS攻击而影响其他资产正常运行,云产品会进入黑洞,即阿里云会暂时屏蔽云产品的互联网入方向流量。详细介绍,请参见阿里云黑洞策略。 | DDoS原生防护主要提供针对三层和四层流量型攻击的防御服务。当流量超出DDoS原生防护的默认清洗阈值后,自动触发流量清洗,实现DDoS攻击防护。 DDoS原生防护采用被动清洗方式为主、主动压制为辅的方式,针对DDoS攻击在反向探测、黑白名单、报文合规等标准技术的基础上,在攻击持续状态下,保证被防护云产品仍可以正常对外提供业务服务。DDoS原生防护通过在阿里云机房出口处建设DDoS攻击检测及清洗系统,采用旁路部署方式。 | 根据您在DDoS高防中为业务配置的转发规则(即指定网站域名,并将GA安全CNAME作为服务器地址),GA将业务的DNS域名解析或业务IP指向DDoS高防实例IP进行引流。
|
参考 |
搭配WAF保障应用安全
Web 应用防火墙 WAF(Web Application Firewall)对网站或者App的业务流量进行恶意特征识别及防护,在对流量清洗和过滤后,将正常、安全的流量返回给服务器,避免网站服务器被恶意入侵导致性能异常等问题,从而保障网站的业务安全和数据安全。
关于WAF更多信息,请参见什么是Web应用防火墙和快速使用WAF 3.0。
搭配云防火墙精细化管控流量
云防火墙(Cloud Firewall)可针对您云上网络资产的互联网边界、VPC边界及主机边界实现三位一体的统一安全隔离管控。其中,互联网边界防火墙作用于互联网边界,对所有公网资产进出流量统一管控防护。您可以使用互联网边界防火墙,精细化管控业务公网资产出入互联网的访问流量,减少公网资产在互联网的暴露面,降低业务流量的安全风险。
互联网边界防火墙防护的公网资产范围包含GA的加速IP。如何为GA的加速IP开启互联网边界保护,请参见互联网边界防火墙。
GA如何搭配云防火墙实现区域级流量的访问控制,请参见GA联动云防火墙实现区域级访问控制与加速。