DDoS原生防護是一款針對阿里雲ECS、CLB、Web Application Firewall、EIP等產品直接提升DDoS防禦能力的安全產品,直接把防禦能力載入到雲產品上,不需要更換IP,也沒有四層連接埠和七層網域名稱數等限制。
DDoS原生防護(基礎版)介紹
DDoS原生防護(基礎版)預設為CLB等阿里雲公網IP資源免費開啟,提供最大支援5 Gbps的DDoS原生防護(基礎版)。所有來自互連網的流量都要先經過Apsara Stack Security再到達負載平衡,Apsara Stack Security會清洗過濾常見的攻擊,例如SYN Flood、UDP Flood、ACK Flood、ICMP Flood和DNS Flood等DDoS攻擊。
DDoS原生防護採用被動清洗方式為主、主動壓製為輔的方式,針對DDoS攻擊在反向探測、黑白名單、報文合規等標準技術的基礎上,保證被防護使用者在攻擊持續狀態下,仍可對外提供商務服務。網路拓撲架構如下圖所示。
DDoS原生防護(基礎版)根據公網CLB執行個體的頻寬設定清洗閾值和黑洞閾值。當入方向流量達到閾值上限時,觸發清洗和黑洞:
清洗:當來自互連網的攻擊流量較大或符合某些特定攻擊流量模型特徵時,Apsara Stack Security將會自動對攻擊流量進行清洗,清洗包括攻擊報文過濾、流量限速、包限速等。
黑洞:當來自互連網的攻擊流量非常大時,為保護整個叢集的安全,流量將會被黑洞處理,即所有入流量全部被丟棄。
閾值的計算遵循以下兩個原則:
根據CLB執行個體所購買的頻寬(即CLB的出方向頻寬)來決定閾值的高低。當執行個體的頻寬較高時,閾值較高;當執行個體的頻寬較低時,閾值相應地會變低。
根據您的安全信譽評分來決定黑洞閾值的高低。
說明安全信譽評分僅影響黑洞閾值,不影響清洗閾值。
計算閾值
按照以下步驟計算閾值。
CLB後台根據您購買的頻寬給出能夠滿足執行個體正常工作的閾值建議值。
說明如果您購買的是按流量計費執行個體,出頻寬為執行個體所在地區所支援的頻寬峰值上限。目前中國內地地區頻寬上限都是峰值5 Gbps。更多資訊,請參見頻寬峰值限制。
CLB頻寬與BPS清洗閾值之間的關係
當CLB頻寬<100 Mbps時,清洗BPS預設閾值=120 Mbps。
當CLB頻寬>100 Mbps時,清洗BPS預設閾值=頻寬值*1.2。
CLB頻寬與PPS清洗閾值之間的關係
清洗PPS閾值=(CLB頻寬值/500)*150000
頻寬值單位為Mbps。
CLB頻寬與黑洞BPS閾值之間的關係
當CLB頻寬<1 Gbps時,黑洞BPS預設閾值=2 Gbps。
當CLB頻寬>1 Gbps時,黑洞BPS預設閾值=MAX(CLB頻寬值*1.5,2G)。
Apsara Stack Security根據CLB給出的建議值,結合您安全信譽評分和各地區的資源情況,計算出最終的閾值。
Apsara Stack Security評估BPS和PPS閾值的規則。
BPS最小值為1000 M,PPS最小值為30萬個。
當CLB傳入的參考閾值小於上述最小值時,取上述最小值。
當CLB傳入的參考閾值高於上述最小值時,取CLB傳入的參考閾值。
Apsara Stack Security根據您的安全信譽評分來決定黑洞閾值的高低。
授權Apsara Stack Security基礎防護唯讀許可權
按照以下步驟為RAM帳號授予Apsara Stack SecurityDDoS原生防護(基礎版)Anti-DDoS Basic的唯讀許可權。
使用主帳號進行授權。
使用主帳號登入RAM存取控制台。
在左側導覽列,單擊
在使用者頁面,找到目標RAM使用者,然後在操作列單擊添加許可權。
在新增授權面板,為RAM角色添加許可權。
選擇資源範圍。
帳號層級:許可權在當前阿里雲帳號內生效。
資源群組層級:許可權在指定的資源群組內生效。
說明指定資源群組授權生效的前提是該雲端服務及資源類型已支援資源群組,詳情請參見支援資源群組的雲端服務。
輸入授權主體。
選擇權限原則。
選擇策略名稱稱列中的AliyunYundunDDosFullAccess,將其加入到已選擇的權限原則列表中,然後單擊確認新增授權。
單擊關閉。
查看防護閾值
在頂部功能表列,選擇CLB執行個體的所屬地區。
在執行個體管理頁面,找到目標CLB執行個體,將滑鼠移至目標執行個體的Apsara Stack Security表徵圖,查看BPS清洗閾值、PPS清洗閾值和黑洞閾值。更多資訊,請參見Apsara Stack SecurityDDoS防護控制台。
BPS清洗閾值:入方向流量超過了BPS清洗閾值時,觸發清洗。
PPS清洗閾值:入方向資料包數超過了PPS清洗閾值時,觸發清洗。
黑洞閾值:入方向流量超過黑洞閾值時將觸發黑洞。