全部產品
Search
文件中心

Anti-DDoS:什麼是DDoS原生防護

更新時間:Dec 07, 2024

DDoS原生防護是一款直接提升阿里雲產品DDoS防禦能力的安全產品,部署簡單無需改變您的網路架構,沒有四層連接埠、七層網域名稱數等限制,您只需將雲產品IP綁定到DDoS原生防護執行個體中即可實現防護。本文介紹DDoS原生防護的工作原理、防禦能力、產品版本等詳細資料。

工作原理

DDoS原生防護主要提供針對三層和四層流量型攻擊的防禦服務。當流量超出DDoS原生防護的預設清洗閾值後,自動觸發流量清洗,實現DDoS攻擊防護。

DDoS原生防護採用被動清洗方式為主、主動壓製為輔的方式,針對DDoS攻擊在反向探測、黑白名單、報文合規等標準技術的基礎上,在攻擊持續狀態下,保證被防護雲產品仍可以正常對外提供商務服務。DDoS原生防護通過在阿里雲機房出口處建設DDoS攻擊檢測及清洗系統,採用旁路部署方式。

防護包架構

為什麼選擇DDoS原生防護

  • 即刻購買,即刻生效。最短一分鐘內即可完成DDoS原生防護的部署,直接把防禦能力載入到雲產品,免去部署和切換IP的煩惱。

  • 具備彈性防護能力,遭受大規模攻擊時調用當前地區阿里雲最大DDoS防護能力提供全力防護。

  • 採用阿里雲BGP頻寬,覆蓋電信、聯通、移動、教育網、長城寬頻等不同的電訊廠商,只需要一個IP,即可實現多個不同電訊廠商的極速訪問。

  • 海量清洗頻寬,滿足活動大促、活動上線、重要業務的安全穩定性保障需求。

  • 支援多個IP共用防護能力,滿足多個IP地址都需要提升防禦頻寬的需求。

DDoS原生防護版本

  • DDoS原生防護1.0訂用帳戶:僅包含企業版。需要分地區購買,支援防護當前地區的資產。

  • DDoS原生防護2.0訂用帳戶:包含中小企業普惠版、企業版。

    • 中小企業普惠版:不限制地區,但只能防護當前阿里雲帳號下一個地區的資產。

    • 企業版:購買時不區分地區,支援防護當前阿里雲帳號下所有地區的資產。

    說明

    相比於原生防護1.0,推薦您購買支援防護所有地區資產的原生防護2.0。

  • DDoS原生防護2.0後付費:支援標準型雲產品、DDoS防護增強雲產品。

    說明
    • 標準型雲產品:購買雲產品時未額外選擇DDoS防禦能力,僅具有預設的DDoS基礎防護能力(500 Mbps~5 Gbps)。

    • 增強型雲產品:購買雲產品時選擇的DDoS防禦能力為增強版。目前該類型僅支援EIP,稱為高防EIP。

防護能力

DDoS原生防護為您提供全力防護,即依據當前雲機房的整體水位儘力抵禦DDoS攻擊,其防護能力並非固定不變。隨著阿里雲網路基礎設施的持續建設與拓展,原生防護的防護水位也會隨之提升,但在遭遇特殊情形致使機房資源緊張時,防護水位也可能會有所下降。DDoS原生防護提供1.0和2.0版本,1.0版本已停止新購,下表中僅展示2.0版本的防護能力參考值。

說明

如果因防護水位不足導致黑洞事件,您可以聯絡商務經理退訂原生防護,付款條件為訂用帳戶時為您退餘款,付款條件是後付費時為您提前停用後付費執行個體。若您需要確保防護能力始終不低於某一特定值,建議優先選用DDoS高防。詳細資料,請參見什麼是DDoS高防

地區

原生防護2.0訂用帳戶-中小企業普惠版

原生防護2.0訂用帳戶-企業版

原生防護2.0後付費

標準型雲產品

增強型雲產品

標準型雲產品

增強型雲產品

標準型雲產品

增強型雲產品

華北2(北京)、華東2(上海)、華東1(杭州)、華南1(深圳)、華北6(烏蘭察布)、華北3(張家口)、華北5(呼和浩特)、華南2(河源)

最大200 Gbps~400 Gbps

不支援該類型資產

最大數百Gbps全力防護

不支援該類型資產

最大數百Gbps全力防護

最大Tbps層級全力防護(目前僅開放華北2(北京)、華東2(上海)、華東1(杭州)地區購買)

西南1(成都)、華南3(廣州)、華北1(青島)

最大數十Gbps 防護能力

最大數十Gbps全力防護

最大數十Gbps全力防護

非中國內地

防護能力有限(小於10Gbps),建議您使用高防EIP(DDoS防護增強EIP)。

防護能力有限(小於10Gbps),建議您使用高防EIP(DDoS防護增強EIP)。

防護能力有限(小於10Gbps),建議您使用高防EIP(DDoS防護增強EIP)。

最大Tbps層級全力防護

功能對比

各版本詳細的功能對比,請參見下表。

對比項

DDoS原生防護1.0

DDoS原生防護2.0訂用帳戶

DDoS原生防護2.0後付費

企業版

中小企業普惠版

企業版

企業版

防護對象

阿里雲產品:ECS、SLB、EIP(包含綁定NAT Gateway的EIP)、IPv6網關、輕量伺服器、WAF、GA

  • 阿里雲產品:ECS、SLB、EIP(包含綁定NAT Gateway的EIP)、IPv6網關、輕量伺服器、WAF、GA

  • 高防EIP(DDoS防護增強EIP)

計費方式

訂用帳戶,具體請參見原生防護1.0(訂用帳戶)

訂用帳戶,具體請參見原生防護2.0(訂用帳戶)

訂用帳戶,具體請參見原生防護2.0(訂用帳戶)

隨用隨付,具體請參見原生防護2.0(後付費)

防護次數

不限次

2次/月

不限次

不限次

防護的資產地區數量

防護一個地區下的公網IP資產。

防護一個地區下的公網IP資產。

防護當前阿里雲帳號下所有地區的公網IP資產。

防護當前阿里雲帳號下所有地區的公網IP資產。

防護的資產網路類型

僅支援防護一種公網IP資產,IPv4或IPv6。

僅支援防護一種公網IP資產,IPv4或IPv6。

支援同時防護IPv4和IPv6公網IP資產。

支援同時防護IPv4和IPv6公網IP資產。

支援防護的IP數量

不限制。

小於30個。

不限制。

不限制。

業務頻寬

選購執行個體時自由選擇頻寬,支援無上限擴容。

選購執行個體時頻寬小於等於1000 Mbps。

選購執行個體時自由選擇頻寬,頻寬支援無上限擴容。

  • 標準型雲產品:計費包含按乾淨流量計費,不限制頻寬。

  • 增強型雲產品:計費包含按乾淨流量計費,但限制頻寬。更多詳細內容,請參見原生防護2.0(後付費)

SLS日誌

支援。

不支援。

支援。

支援。

多帳號統一管理

不支援。

不支援。

支援。

不支援。

說明

業務頻寬由您防護的所有雲產品共用。例如,您要防護3個雲產品,頻寬總額約2000 Mbps,則您購買DDoS原生防護執行個體時,業務頻寬需要大於2000 Mbps。

使用限制

DDoS原生防護目前僅支援在中國內地直接開通。在中國內地以外地區開通時,請聯絡售前商務經理,擷取線上人工協助。如何聯絡售前商務經理,請參見聯絡我們

如何使用DDoS原生防護執行個體

  1. 購買DDoS原生防護執行個體。具體操作,請參見購買DDoS原生防護執行個體

  2. 將公網IP資產添加為執行個體的防護對象。具體操作,請參見防護對象

  3. 根據您的業務流量特徵自訂防護策略。具體操作,請參見防護配置(舊)

  4. 查看您的業務流量監控資料。具體操作,請參見業務監控

  5. 開啟防護日誌,通過防護分析功能查詢和分析DDoS原生防護執行個體的防護日誌、查看內建的防護報表。具體操作,請參見開啟防護分析

  6. 公網IP資產遭受攻擊後查看攻擊事件詳情。具體操作,請參見攻擊分析

  7. 查看黑洞和清洗事件。具體操作,請參見事件中心