全部产品
Search
文档中心

DDoS 防护:阶梯防护

更新时间:Feb 22, 2024

阶梯防护表示通过自定义规则,联动使用DDoS高防与DDoS原生防护,解决网站业务接入高防防护后,正常业务访问延时增加的问题。阶梯防护可实现由DDoS原生防护防御日常攻击(不增加延时),仅在发生大流量攻击时切换到DDoS高防进行防护。本文介绍如何添加阶梯防护联动规则。

支持的实例类型

DDoS高防(中国内地)专业版、DDoS高防(中国内地)高级版、DDoS高防(非中国内地)保险版或DDoS高防(非中国内地)无忧版。

前提条件

  • 业务使用阿里云公网IP资源,具体包括拥有公网IP的云服务器ECS或负载均衡SLB、弹性公网IP、Web应用防火墙。

  • 已购买DDoS原生防护实例,并为公网IP资产开启了DDoS原生防护。具体操作,请参见购买DDoS原生防护实例防护对象

  • 已购买DDoS高防(中国内地)实例或DDoS高防(非中国内地)实例。具体操作,请参见购买DDoS高防实例

  • 已将网站业务接入DDoS高防。具体操作,请参见添加网站配置

  • 已验证DDoS高防实例可以正常转发业务流量。具体操作,请参见本地验证转发配置生效

添加阶梯防护联动规则

  1. 登录DDoS高防控制台

  2. 在顶部菜单栏左上角处,选择地域。

    • DDoS高防(中国内地):选择中国内地地域。

    • DDoS高防(非中国内地):选择非中国内地地域。

  3. 在左侧导航栏,选择接入管理 > 流量调度器

  4. 通用联动页签,单击添加规则,配置阶梯防护规则并单击下一步

    配置项

    说明

    联动场景

    选择阶梯防护

    规则名

    为规则命名。

    规则名由英文字母、数字和下划线(_)组成,不超过128个字符。

    高防IP

    选择要联动的DDoS高防实例。

    联动资源

    设置要联动的云资源IP:选择云资源所在地域,并输入云资源IP地址。

    重要

    云资源IP(ECS、SLB、EIP、WAF)必须已经开启DDoS原生防护企业版防护。相关操作,请参见防护对象

    单击添加云资源IP,可以添加多个云资源。最多支持添加20个IP。

    说明

    添加多个云资源IP时(即多个云资源IP关联一个高防IP),如果一个云资源IP上发生DDoS攻击,将优先使用其他云资源IP,直到无可用云资源IP时,才会切换到高防进行防护。如果您希望云产品多路分摊流量,每路被攻击时单独切换高防,请参见多路分摊切换配置

    回切时间

    业务流量联动到DDoS高防进行防护后,允许触发回切流程(切换回云资源IP)的等待时间。攻击结束且经过该等待时间后,业务流量自动回切到云资源IP。

    可选范围:30~120分钟。推荐您设置为60分钟。

  5. 通过修改本地hosts文件验证流量调度规则是否生效,避免因回源策略不一致出现兼容性问题。具体操作,请参见本地验证转发配置生效

  6. 前往DNS服务商处修改DNS解析,将DNS解析指向流量调度器生成的CNAME地址。具体操作,请参见修改CNAME解析接入流量调度器

    修改解析记录后,您可以使用浏览器测试网站访问是否正常,如果网站访问出现异常请先进行异常排查,具体操作,请参见业务接入高防后存在卡顿、延迟、访问不通等问题

配置阶梯防护联动规则后,云资源IP的业务流量默认由DDoS原生防护进行防护;只有在云资源IP上发生大流量DDoS攻击时,业务流量才会自动切换到DDoS高防进行清洗,保证只有正常业务流量会转发到云资源。业务流量自动切换到DDoS高防后,DDoS高防将在攻击结束后等待一段时间(回切时间),自动将业务流量回切到云资源(由DDoS原生防护进行防护)。

除了自动切换方式,您还可以选择手动切换,即根据业务防护需求,手动将业务流量切换到DDoS高防、回切到云资源。

相关操作

切到高防

在未自动触发DDoS高防清洗,即联动资源前有image.png图标时,您可以手动将业务流量切换到DDoS高防进行清洗。适用于在业务触发黑洞前手动切换到高防,减少业务损伤。

重要
  • 只有当DDoS高防IP不在黑洞中,才可以切换到DDoS高防。

  • 切换到DDoS高防后,默认不会自动回切到联动资源。如需回切到联动资源,您必须手动执行回切操作。

  1. 流量调度器页面的通用联动页签下,定位到联动场景阶梯防护的规则。

  2. 单击操作列的切到高防,在提示对话框中确认无误后,单击确定

回切

在业务流量由DDoS高防清洗,即高防IP前有image.png图标时,您可以手动将业务流量回切到联动资源。

重要
  • 建议您在执行回切前,确认攻击已经结束并且回切的联动资源线路可用,避免联动资源处于沙箱状态导致业务中断。

  • 如果您通过切到高防操作将业务流量切换到DDoS高防,则只能通过回切操作将流量回切到联动资源。

  • 如果联动资源全部在黑洞中,回切操作将失败。如果有部分联动资源已经解除黑洞,部分联动资源在黑洞,流量将先回切到已经解除黑洞的联动资源,其他联动资源待黑洞解除后自动恢复流量。

  1. 流量调度器页面的通用联动页签下,定位到联动场景阶梯防护的规则。

  2. 单击操作列的回切,在提示对话框中确认无误后,单击确定

编辑规则

  1. 流量调度器页面的通用联动页签下,定位到联动场景阶梯防护的规则。

  2. 单击操作列的编辑,修改高防IP、联动资源或回切时间后,单击下一步

删除规则

警告

删除联动规则前,请确保网站域名的解析没有指向流量调度器CNAME,否则删除联动规则后,网站将无法正常访问。

  1. 流量调度器页面的通用联动页签下,定位到联动场景阶梯防护的规则。

  2. 单击操作列的删除,在提示对话框中确认无误后,单击删除