全部產品
Search

搜尋本產品

    Anti-DDoS:階梯防護

    文件中心

    Anti-DDoS:階梯防護

    更新時間:Dec 27, 2024

    階梯防護表示通過自訂規則,聯動使用DDoS高防與DDoS原生防護,解決網站業務接入高防防護後,正常業務訪問延時增加的問題。階梯防護可實現由DDoS原生防護防禦日常攻擊(不增加延時),僅在發生大流量攻擊時切換到DDoS高防進行防護。本文介紹如何添加階梯防護聯動規則。

    支援的執行個體類型

    DDoS高防(中國內地)專業版、DDoS高防(中國內地)進階版、DDoS高防(非中國內地)保險版或DDoS高防(非中國內地)無憂版。

    前提條件

    • 業務使用阿里雲公網IP資源,具體包括擁有公網IP的Elastic Compute Service或Server Load Balancer、Elastic IP Address、Web Application Firewall。

    • 已購買DDoS原生防護執行個體,並為公網IP資產開啟了DDoS原生防護。具體操作,請參見購買DDoS原生防護執行個體防護對象

    • 已購買DDoS高防(中國內地)執行個體或DDoS高防(非中國內地)執行個體。具體操作,請參見購買DDoS高防執行個體

    • 已將網站業務接入DDoS高防。具體操作,請參見添加網站配置

    • 已驗證DDoS高防執行個體可以正常轉寄業務流量。具體操作,請參見本地驗證轉寄配置生效

    添加階梯防護聯動規則

    1. 登入DDoS高防控制台

    2. 在頂部功能表列左上方處,選擇地區。

      • DDoS高防(中國內地):選擇中國內地地區。

      • DDoS高防(非中國內地):選擇非中國內地地區。

    3. 在左側導覽列,選擇接入管理 > 流量調度器

    4. 通用聯動頁簽,單擊添加規則,配置階梯防護規則並單擊下一步

      配置項

      說明

      聯動情境

      選擇階梯防護

      規則名

      為規則命名。

      規則名由英文字母、數字和底線(_)組成,不超過128個字元。

      高防IP

      選擇要聯動的DDoS高防執行個體。

      聯動資源

      設定要聯動的雲資源IP:選擇雲資源所在地區,並輸入雲資源IP地址。

      重要

      雲資源IP(ECS、SLB、EIP、WAF)必須已經開啟DDoS原生防護企業版防護。相關操作,請參見防護對象

      單擊添加雲資源IP,可以添加多個雲資源。最多支援添加20個IP。

      說明

      添加多個雲資源IP時(即多個雲資源IP關聯一個高防IP),如果一個雲資源IP上發生DDoS攻擊,將優先使用其他雲資源IP,直到無可用雲資源IP時,才會切換到高防進行防護。如果您希望雲產品多路分攤流量,每路被攻擊時單獨切換高防,請參見多路分攤切換配置

      回切時間

      業務流量聯動到DDoS高防進行防護後,允許觸發回切流程(切換回雲資源IP)的等待時間。攻擊結束且經過該等待時間後,業務流量自動回切到雲資源IP。

      可選範圍:30~120分鐘。推薦您設定為60分鐘。

      說明

      • 當DDoS高防執行個體處於黑洞狀態時,或在高防黑洞事件開始時間+回切時間到期前,不允許雲資源切換到高防進行防護。

      • 當雲資源發生黑洞時,自動切換到高防進行防護。雲資源黑洞狀態下,不允許從高防回切到雲上。雲資源解除黑洞後可以立即回切,不受回切時間限制。

    5. 通過修改本地hosts檔案驗證流量調度規則是否生效,避免因回源策略不一致出現相容性問題。具體操作,請參見本地驗證轉寄配置生效

    6. 前往DNS服務位址修改DNS解析,將DNS解析指向流量調度器產生的CNAME地址。具體操作,請參見修改CNAME解析接入流量調度器

      修改解析記錄後,您可以使用瀏覽器測試網站訪問是否正常,如果網站訪問出現異常請先進行異常排查,具體操作,請參見業務接入高防後存在卡頓、延遲、訪問不通等問題

    配置階梯防護聯動規則後,雲資源IP的業務流量預設由DDoS原生防護進行防護;只有在雲資源IP上發生大流量DDoS攻擊時,業務流量才會自動切換到DDoS高防進行清洗,保證只有正常業務流量會轉寄到雲資源。業務流量自動切換到DDoS高防後,DDoS高防將在攻擊結束後等待一段時間(回切時間),自動將業務流量回切到雲資源(由DDoS原生防護進行防護)。

    除了自動切換方式,您還可以選擇手動切換,即根據業務防護需求,手動將業務流量切換到DDoS高防、回切到雲資源。

    相關操作

    切到高防

    在未自動觸發DDoS高防清洗,即聯動資源前有image.png表徵圖時,您可以手動將業務流量切換到DDoS高防進行清洗。適用於在業務觸發黑洞前手動切換到高防,減少業務損傷。

    重要

    • 只有當Anti-DDoS Pro不在黑洞中,才可以切換到DDoS高防。

    • 切換到DDoS高防後,預設不會自動回切到聯動資源。如需回切到聯動資源,您必須手動執行回切操作。

    1. 流量調度器頁面的通用聯動頁簽下,定位到聯動情境階梯防護的規則。

    2. 單擊操作列的切到高防,在提示對話方塊中確認無誤後,單擊確定

    回切

    在業務流量由DDoS高防清洗,即高防IP前有image.png表徵圖時,您可以手動將業務流量回切到聯動資源。

    重要

    • 建議您在執行回切前,確認攻擊已經結束並且回切的聯動資源線路可用,避免聯動資源處於沙箱狀態導致業務中斷。

    • 如果您通過切到高防操作將業務流量切換到DDoS高防,則只能通過回切操作將流量回切到聯動資源。

    • 如果聯動資源全部在黑洞中,回切操作將失敗。如果有部分聯動資源已經解除黑洞,部分聯動資源在黑洞,流量將先回切到已經解除黑洞的聯動資源,其他聯動資源待黑洞解除後自動回復流量。

    1. 流量調度器頁面的通用聯動頁簽下,定位到聯動情境階梯防護的規則。

    2. 單擊操作列的回切,在提示對話方塊中確認無誤後,單擊確定

    編輯規則

    1. 流量調度器頁面的通用聯動頁簽下,定位到聯動情境階梯防護的規則。

    2. 單擊操作列的編輯,修改高防IP、聯動資源或回切時間後,單擊下一步

    刪除規則

    警告

    刪除聯動規則前,請確保網站網域名稱的解析沒有指向流量調度器CNAME,否則刪除聯動規則後,網站將無法正常訪問。

    1. 流量調度器頁面的通用聯動頁簽下,定位到聯動情境階梯防護的規則。

    2. 單擊操作列的刪除,在提示對話方塊中確認無誤後,單擊刪除