Apa itu fitur perlindungan bertingkat dan operasi terkait? - Anti-DDoS

Anda dapat membuat aturan perlindungan bertingkat untuk mengaktifkan Proxy Anti-DDoS bekerja sama dengan Anti-DDoS Origin. Fitur ini membantu menyelesaikan masalah peningkatan latensi akses lalu lintas layanan setelah menambahkan situs web Anda ke instansi Proxy Anti-DDoS. Jika perlindungan bertingkat diaktifkan, Anti-DDoS Origin melindungi layanan tanpa meningkatkan latensi akses. Jika serangan volumetrik terjadi, Proxy Anti-DDoS mulai melindungi layanan sebagai gantinya. Topik ini menjelaskan cara membuat aturan perlindungan bertingkat.

Jenis instans yang didukung

Proxy Anti-DDoS (Tiongkok Daratan) dari Rencana Mitigasi Profesional, Proxy Anti-DDoS (Tiongkok Daratan) dari Rencana Mitigasi Lanjutan, Proxy Anti-DDoS (Luar Tiongkok Daratan) dari Rencana Mitigasi Asuransi, dan Proxy Anti-DDoS (Luar Tiongkok Daratan) dari Rencana Mitigasi Tanpa Batas.

Prasyarat

Layanan Anda menggunakan sumber daya Alibaba Cloud dengan alamat IP publik, seperti Elastic IP (EIP), Web Application Firewall (WAF), Elastic Compute Service (ECS), atau instansi Server Load Balancer (SLB).
Instansi Anti-DDoS Origin telah dibeli, dan aset telah ditambahkan ke instansi tersebut untuk perlindungan. Aset tersebut diberi alamat IP publik. Untuk informasi lebih lanjut, lihat Beli Instansi Anti-DDoS Origin dan Tambahkan Objek untuk Perlindungan.
Instansi Proxy Anti-DDoS (Tiongkok Daratan) atau Proxy Anti-DDoS (Luar Tiongkok Daratan) telah dibeli. Untuk informasi lebih lanjut, lihat Beli Instansi Proxy Anti-DDoS.
Layanan situs web telah ditambahkan ke Proxy Anti-DDoS. Untuk informasi lebih lanjut, lihat Tambahkan Situs Web.
Instansi Proxy Anti-DDoS meneruskan lalu lintas layanan sesuai harapan. Untuk informasi lebih lanjut, lihat Verifikasi Konfigurasi Penerusan pada Komputer Lokal Anda.

Buat aturan perlindungan bertingkat

Masuk ke Konsol Proxy Anti-DDoS.
Di bilah navigasi atas, pilih wilayah instansi Anda.
- Proxy Anti-DDoS (Tiongkok Daratan): Pilih wilayah Tiongkok Daratan.
- Proxy Anti-DDoS (Luar Tiongkok Daratan): Pilih wilayah Luar Tiongkok Daratan.
Di panel navigasi kiri, pilih Provisioning > Sec-Traffic Manager.

Pada tab General Interaction, klik Add Rule. Di panel yang muncul, konfigurasikan aturan Tiered Protection dan klik OK.

Parameter	Deskripsi
Interaction Scenario	Pilih Tiered Protection.
Rule Name	Masukkan nama untuk aturan. Nama dapat memiliki panjang hingga 128 karakter dan dapat berisi huruf, angka, serta garis bawah (_).
Anti-DDoS Pro	Pilih instansi Proxy Anti-DDoS.
Resource for Interaction	Konfigurasikan sumber daya cloud. Pilih wilayah tempat sumber daya cloud berada dan masukkan alamat IP sumber daya cloud. Penting Anda harus memasukkan alamat IP elastis (EIP) atau memasukkan alamat IP sumber daya cloud yang ditambahkan ke instansi Enterprise Anti-DDoS Origin. Sumber daya cloud bisa berupa instansi Elastic Compute Service (ECS), instansi Server Load Balancer (SLB), atau instansi Web Application Firewall (WAF). Untuk informasi lebih lanjut, lihat Tambahkan objek untuk perlindungan. Anda dapat mengklik Add IP Address of Cloud Resource untuk menambahkan lebih banyak alamat IP. Anda dapat menambahkan hingga 20 alamat IP. Catatan Setelah Anda menambahkan beberapa alamat IP, alamat IP tersebut akan dikaitkan dengan instansi Proxy Anti-DDoS yang ditentukan. Jika salah satu alamat IP diserang, lalu lintas layanan dialihkan ke alamat IP lainnya. Lalu lintas layanan hanya dialihkan ke instansi Proxy Anti-DDoS jika semua alamat IP diserang. Untuk informasi lebih lanjut tentang cara meneruskan lalu lintas ke Proxy Anti-DDoS ketika salah satu alamat IP diserang, lihat Bagikan satu instansi Proxy Anti-DDoS di antara beberapa sumber daya cloud.
Waiting Time of Switchback	Tentukan waktu tunggu sebelum lalu lintas layanan dipindahkan dari instansi Proxy Anti-DDoS Anda kembali ke alamat IP sumber daya cloud. Ketika serangan berhenti dan waktu tunggu yang Anda tentukan berakhir, lalu lintas layanan secara otomatis dipindahkan kembali ke alamat IP sumber daya cloud. Anda dapat menentukan nilai yang berkisar antara 30 hingga 120. Unit: menit. Kami merekomendasikan Anda mengatur nilainya menjadi 60. Catatan Jika penyaringan blackhole dipicu untuk instansi Proxy Anti-DDoS Anda atau sebelum waktu tunggu yang ditentukan dimulai dari awal peristiwa penyaringan blackhole instansi berakhir, lalu lintas layanan sumber daya cloud tidak dapat dialihkan ke instansi tersebut. Jika penyaringan blackhole dipicu untuk sumber daya cloud, lalu lintas layanan sumber daya cloud secara otomatis dialihkan ke instansi Proxy Anti-DDoS Anda untuk perlindungan. Jika penyaringan blackhole tidak dinonaktifkan untuk sumber daya cloud, lalu lintas layanan tidak dapat dialihkan dari instansi Proxy Anti-DDoS Anda kembali ke sumber daya cloud. Jika penyaringan blackhole dinonaktifkan untuk sumber daya cloud, lalu lintas layanan dapat segera dialihkan kembali ke sumber daya cloud tanpa memperhatikan waktu tunggu yang ditentukan.

Ubah file hosts di komputer lokal Anda untuk memverifikasi aturan perlindungan bertingkat. Ini membantu mencegah masalah ketidakcocokan akibat kebijakan kembali ke asal yang tidak konsisten. Untuk informasi lebih lanjut, lihat Verifikasi Konfigurasi Penerusan pada Komputer Lokal Anda.
Kunjungi situs web penyedia DNS Anda dan ubah catatan DNS untuk meneruskan lalu lintas ke CNAME Pengelola Lalu Lintas Keamanan. Untuk informasi lebih lanjut, lihat Ubah Catatan CNAME untuk Mengarahkan Ulang Lalu Lintas ke Pengelola Lalu Lintas Keamanan.
Setelah mengubah catatan DNS, gunakan browser untuk menguji apakah situs web dapat diakses. Jika situs web tidak dapat diakses, perbaiki masalah tersebut. Untuk informasi lebih lanjut, lihat Bagaimana Menangani Masalah Respons Lambat, Latensi Tinggi, dan Kegagalan Akses pada Layanan yang Dilindungi oleh Instansi Proxy Anti-DDoS?.

Pilih waktu tunggu. Setelah aturan perlindungan bertingkat dibuat, Anti-DDoS Origin secara otomatis melindungi lalu lintas layanan yang ditujukan ke sumber daya cloud. Lalu lintas hanya dialihkan ke instansi Proxy Anti-DDoS Anda jika serangan DDoS volumetrik terjadi pada sumber daya cloud. Dengan cara ini, hanya lalu lintas layanan yang diteruskan ke sumber daya cloud. Setelah serangan berhenti dan waiting time yang Anda tentukan berakhir, instansi Proxy Anti-DDoS mengalihkan kembali lalu lintas ke sumber daya cloud.

Selain pergantian otomatis, Anda juga dapat secara manual mengalihkan lalu lintas layanan ke instansi Proxy Anti-DDoS Anda dan kemudian mengalihkan kembali lalu lintas ke sumber daya cloud sesuai kebutuhan bisnis Anda.

Apa yang harus dilakukan selanjutnya

Alihkan ke Anti-DDoS

Jika lalu lintas layanan dibersihkan oleh instansi Proxy Anti-DDoS Anda, ikon ditampilkan di kolom Resource for Interaction. Dalam hal ini, Anda dapat secara manual mengalihkan kembali lalu lintas layanan ke sumber daya cloud terkait sebelum penyaringan blackhole dipicu. Ini mengurangi dampak buruk pada layanan Anda.

Penting

Lalu lintas layanan hanya dapat dialihkan ke instansi Proxy Anti-DDoS Anda jika penyaringan blackhole tidak dipicu untuk alamat IP instansi tersebut.
Setelah lalu lintas layanan dialihkan ke instansi Proxy Anti-DDoS Anda, lalu lintas layanan tidak dapat secara otomatis dialihkan kembali ke sumber daya cloud terkait. Untuk mengalihkan kembali lalu lintas layanan, Anda harus mengklik Switchback untuk melakukannya secara manual.

Pada tab General Interaction halaman Sec-Traffic Manager, temukan aturan yang Interaction Scenario-nya adalah Tiered Protection.
Klik Switch to Anti-DDoS di kolom Actions. Di pesan yang muncul, klik OK.

Alihkan kembali

Jika lalu lintas layanan dibersihkan oleh instansi Proxy Anti-DDoS Anda, ikon ditampilkan di kolom Anti-DDoS IP Address. Dalam hal ini, Anda dapat secara manual mengalihkan kembali lalu lintas layanan ke sumber daya cloud terkait.

Penting

Sebelum mengalihkan lalu lintas layanan secara manual, pastikan bahwa serangan telah berhenti dan sumber daya cloud terkait berfungsi sesuai harapan. Ini mencegah sumber daya cloud terkait ditambahkan ke sandbox dan mencegah gangguan layanan.
Jika Anda mengklik Switch to Anti-DDoS untuk mengalihkan lalu lintas layanan ke instansi Proxy Anti-DDoS Anda, Anda harus mengklik Switchback untuk mengalihkan kembali lalu lintas layanan ke sumber daya cloud terkait.
Jika penyaringan blackhole dipicu untuk alamat IP semua sumber daya cloud terkait, pergantian gagal. Jika penyaringan blackhole dinonaktifkan untuk beberapa sumber daya cloud, lalu lintas layanan pertama-tama dialihkan kembali ke sumber daya cloud tersebut. Setelah penyaringan blackhole dinonaktifkan untuk sumber daya cloud yang tersisa, lalu lintas layanan dialihkan kembali ke sumber daya cloud yang tersisa.

Pada tab General Interaction halaman Sec-Traffic Manager, temukan aturan yang Interaction Scenario-nya adalah Tiered Protection.
Klik Switchback di kolom Actions. Di pesan yang muncul, klik OK.

Edit aturan

Pada tab General Interaction halaman Sec-Traffic Manager, temukan aturan yang Interaction Scenario-nya adalah Tiered Protection.
Klik Edit di kolom Actions. Ubah parameter Anti-DDoS Pro, Sumber Daya untuk Interaksi, atau Waktu Tunggu Pergantian. Kemudian, klik Next.

Hapus aturan

Peringatan

Sebelum menghapus aturan interaksi, pastikan bahwa nama domain situs web Anda tidak dipetakan ke CNAME Pengelola Lalu Lintas Keamanan. Jika tidak, akses ke situs web Anda mungkin gagal setelah menghapus aturan.

Pada tab General Interaction halaman Sec-Traffic Manager, temukan aturan yang Interaction Scenario-nya adalah Tiered Protection.
Klik Delete di kolom Actions. Di pesan yang muncul, klik Delete.