DDoS原生防护（基础版）

DDoS原生防护（基础版）介绍

DDoS原生防护（基础版）默认为CLB等阿里云公网IP资源免费开启，提供最大支持5 Gbps的防护。所有来自互联网的流量都要先经过云盾再到达负载均衡，云盾会清洗过滤常见的DDoS攻击（例如SYN Flood、UDP Flood、ACK Flood、ICMP Flood和DNS Flood）。

DDoS原生防护采用被动清洗为主、主动压制为辅的方式，保证在攻击持续状态下，用户仍可对外提供业务服务。网络拓扑架构如下图所示。

DDoS原生防护（基础版）根据公网CLB实例的带宽设定清洗阈值和黑洞阈值。当入方向流量达到阈值上限时，触发清洗和黑洞：

• 清洗：当攻击流量较大或符合某些特定攻击模型时，云盾将会自动对攻击流量进行清洗。

• 黑洞：当攻击流量非常大时，为保护整个集群的安全，所有入流量将被丢弃。

计算阈值

按照以下步骤计算阈值。

1. CLB后台根据您购买的带宽提供阈值建议。

   说明

   如果您购买的是按流量计费实例，出带宽为实例所在地域所支持的带宽峰值上限。目前中国内地地域带宽上限都是峰值5 Gbps。更多信息，请参见带宽限制。

   • CLB带宽与BPS清洗阈值之间的关系

     • CLB带宽<100 Mbps时，清洗BPS默认阈值=120 Mbps。

     • CLB带宽>100 Mbps时，清洗BPS默认阈值=带宽值*1.2。

   • CLB带宽与PPS清洗阈值之间的关系

     清洗PPS阈值=（CLB带宽值/500）*150000，带宽值单位为Mbps。

   • CLB带宽与黑洞BPS阈值之间的关系

     • CLB带宽<1 Gbps时，黑洞BPS默认阈值=2 Gbps。

     • CLB带宽>1 Gbps时，黑洞BPS默认阈值=MAX(CLB带宽值*1.5,2G)。

2. 云盾根据CLB给出的建议值，结合您的安全信誉分和各地域的资源情况，计算出最终的阈值。

   • 云盾评估BPS和PPS阈值的规则

     BPS最小值为1000 M，PPS最小值为30万个。

     • 当CLB传入的参考阈值小于上述最小值时，取上述最小值。

     • 当CLB传入的参考阈值高于上述最小值时，取CLB传入的参考阈值。

   • 云盾根据您的安全信誉分来决定黑洞阈值的高低

授权云盾基础防护只读权限

按照以下步骤为RAM账号授予云盾DDoS原生防护（基础版）Anti-DDoS Basic的只读权限。

1. 使用主账号登录RAM访问控制台。

2. 在左侧导航栏，单击身份管理 > 用户

3. 在用户页面，找到目标RAM用户，然后在操作列单击添加权限。

4. 在新增授权面板，为RAM用户添加权限。

   1. 选择资源范围。

      • 账号级别：权限在当前阿里云账号内生效。

      • 资源组级别：权限在指定的资源组内生效。

        说明

        指定资源组授权生效的前提是该云服务及资源类型已支持资源组，详情请参见支持资源组的云服务。

   2. 输入授权主体。

   3. 选择权限策略。

      选择策略名称列中的AliyunYundunDDosFullAccess，将其加入到已选择的权限策略列表中，然后单击确认新增授权。

5. 单击关闭。

查看防护阈值

1. 登录传统型负载均衡CLB控制台。

2. 在顶部菜单栏，选择CLB实例的所属地域。

3. 在实例管理页面，找到目标CLB实例，将鼠标移至目标实例的云盾图标，查看BPS清洗阈值、PPS清洗阈值和黑洞阈值。更多信息，请参见云盾DDoS防护控制台。

   • BPS清洗阈值：入方向流量超过了BPS清洗阈值时，触发清洗。

   • PPS清洗阈值：入方向数据包数超过了PPS清洗阈值时，触发清洗。

   • 黑洞阈值：入方向流量超过黑洞阈值时将触发黑洞。