Perlindungan Bertingkat dan operasi terkait - Anti-DDoS - Alibaba Cloud Documentation Center

Perlindungan bertingkat menggabungkan Anti-DDoS Origin dengan Anti-DDoS Proxy untuk memberikan pertahanan DDoS adaptif. Layanan Anda berjalan di balik perlindungan Origin berlatensi rendah secara default dan secara otomatis beralih ke pembersihan mendalam berbasis Proxy ketika serangan volumetrik memicu kondisi blackhole. Topik ini menjelaskan cara membuat aturan perlindungan bertingkat, mengonfigurasi alih bencana DNS, dan mengelola perutean traffic.

Sebelum memulai

Sumber daya cloud yang didukung

Layanan Anda berjalan pada salah satu sumber daya Alibaba Cloud berikut dengan Alamat IP publik:

Elastic IP Address (EIP)
Instans Elastic Compute Service (ECS)
Instans Server Load Balancer (SLB)
Instans Web Application Firewall (WAF)

Instans Anti-DDoS

Anti-DDoS Origin: Anda telah membeli instans Anti-DDoS Origin edisi Enterprise dan mengaktifkan perlindungan Origin untuk aset IP publik Anda (ECS, SLB, EIP, atau WAF). Untuk detailnya, lihat Beli instans Anti-DDoS Origin dan Beli instans Anti-DDoS Origin.
Anti-DDoS Proxy:
- Anti-DDoS Proxy (Chinese Mainland): Profession.
- Anti-DDoS Proxy (Outside Chinese Mainland): Insurance atau Unlimited.
Penting
Instans harus memiliki bandwidth bersih dan permintaan per detik (QPS) yang mencukupi untuk memenuhi kebutuhan layanan Anda. Untuk detailnya, lihat Beli instans Anti-DDoS Proxy.

Persyaratan konfigurasi

Website Anda sudah ditambahkan ke instans Anti-DDoS Proxy.
Anda telah memverifikasi bahwa Anti-DDoS Proxy meneruskan traffic dengan benar.

Cara kerja

Perlindungan bertingkat menggunakan strategi pertahanan dua tahap yang menyesuaikan secara dinamis berdasarkan traffic serangan real-time:

Tahap 1 — Perlindungan latensi rendah (default): Anti-DDoS Origin melakukan pembersihan lalu lintas di tepi jaringan. Karena traffic tidak melewati node proxy tambahan, latensi tetap minimal. Tahap ini menangani traffic rutin dan serangan skala kecil.
Tahap 2 — Mitigasi lanjutan (peningkatan serangan): Ketika serangan volumetrik besar menyebabkan semua alamat IP terkait memasuki kondisi blackhole, sistem secara otomatis mengalihkan kembali traffic ke Anti-DDoS Proxy untuk Deep Packet Inspection. Hanya traffic bersih yang mencapai server origin Anda.

Penting

Ketika sumber daya cloud memasuki kondisi blackhole, semua alamat IP-nya menjadi tidak dapat dijangkau dan traffic sementara tidak tersedia. Aturan perlindungan bertingkat dengan instans Anti-DDoS Proxy terkait dapat secara otomatis memulihkan layanan dengan mengalihkan kembali traffic melalui Proxy.

Tabel berikut merangkum setiap tahap perlindungan:

Tahap	Penyedia perlindungan	Traffic Path	Kondisi pemicu
Normal	Anti-DDoS Origin	Client → Anti-DDoS Origin (pembersihan) → Sumber daya cloud (ECS, SLB, EIP, atau WAF)	Status default. Tidak ada serangan atau terdeteksi serangan skala kecil.
Darurat	Anti-DDoS Proxy (edisi Professional, Advanced, Insurance, atau Unlimited)	Client → Anti-DDoS Proxy (pembersihan mendalam) → Sumber daya cloud	Semua alamat IP terkait memasuki kondisi blackhole akibat serangan volumetrik besar.
Peralihan kembali otomatis	Anti-DDoS Origin (dipulihkan)	Client → Anti-DDoS Origin → Sumber daya cloud (latensi rendah dipulihkan)	Trafik serangan berhenti dan tetap stabil setelah melewati waktu tunggu switchback yang dikonfigurasi. Catatan Alih bencana dan pengembalian traffic bergantung pada perubahan Rekaman DNS. Propagasi biasanya memakan waktu 30–60 detik, tergantung pada waktu refresh cache DNS di sisi client.

Konfigurasikan aturan perlindungan bertingkat

Ikuti langkah-langkah berikut untuk membuat aturan perlindungan bertingkat yang mengaitkan sumber daya cloud Anda dengan instans Anti-DDoS Proxy guna peningkatan serangan otomatis.

Langkah 1: Buat aturan

Masuk ke Konsol Anti-DDoS Proxy.
Pada bilah navigasi atas, pilih wilayah instans Anda.
- Anti-DDoS Proxy (Tiongkok daratan): Pilih wilayah Tiongkok daratan.
- Anti-DDoS Proxy (luar Tiongkok daratan): Pilih wilayah luar Tiongkok daratan.
Pada panel navigasi kiri, pilih Provisioning > Sec-Traffic Manager.
Pada tab General Interaction, klik Add Rule.

Konfigurasikan parameter berikut, lalu klik Next.

Parameter	Deskripsi
Interaction Scenario	Pilih Tiered Protection.
Rule Name	Masukkan nama deskriptif untuk aturan perlindungan bertingkat ini, misalnya `production-api-tiered-protection`.
Anti-DDoS IP Address	Pilih wilayah tempat sumber daya cloud dideploy dan masukkan Alamat IP publik sumber daya tersebut. Alamat IP harus milik sumber daya ECS, SLB, EIP, atau WAF yang sudah dilindungi oleh edisi Enterprise Anti-DDoS Origin.
Resource for Interaction	Pilih instans Anti-DDoS Proxy yang akan digunakan untuk pembersihan traffic saat terjadi peningkatan serangan. Klik Add IP Address of Cloud Resource untuk menambahkan lebih banyak alamat. Anda dapat menambahkan hingga 20 alamat IP. Catatan Saat Anda menambahkan beberapa alamat IP, semua alamat berbagi instans Anti-DDoS Proxy yang sama. Jika satu IP diserang, traffic dialihkan ke alamat yang tersisa. Traffic hanya dialihkan ke Anti-DDoS Proxy jika semua alamat diserang secara bersamaan. Untuk failover independen tiap alamat IP, lihat Multi-path failover.
Waiting Time of Switchback	Periode tunggu failback (berapa lama Anti-DDoS Proxy menunggu setelah serangan berhenti sebelum mengarahkan kembali traffic ke sumber daya cloud Anda). Rentang valid: 30 hingga 120 menit. Catatan Rekomendasi: 60 menit.

Perbarui Rekaman DNS Anda sesuai petunjuk: Untuk mengaktifkan aturan, arahkan Rekaman DNS domain Anda ke CNAME yang disediakan oleh Sec-Traffic Manager. Ikuti langkah-langkah berikut:

Verifikasi secara lokal sebelum memperbarui DNS: Sebelum memperbarui Rekaman DNS publik Anda, verifikasi aturan dengan memodifikasi file hosts di komputer lokal Anda. Hal ini membantu Anda menghindari konflik kebijakan penerusan origin sebelum memengaruhi traffic produksi. Untuk langkah detailnya, lihat Validasi konfigurasi penerusan Anda secara lokal.

Perbarui Rekaman DNS Anda: Setelah memverifikasi aturan secara lokal, perbarui Rekaman DNS domain Anda agar mengarah ke CNAME yang disediakan oleh Sec-Traffic Manager.

Pendaftar domain	Cara memperbarui
Alibaba Cloud	Perbarui catatan di Konsol DNS Alibaba Cloud.
Penyedia pihak ketiga	Masuk ke konsol manajemen pendaftar domain Anda dan perbarui Rekaman DNS untuk domain Anda.

Hasil Validasi
Setelah pembaruan DNS, verifikasi bahwa website Anda dapat diakses.
Catatan
- Setelah Anda memperbarui Rekaman DNS, aturan mungkin memerlukan waktu hingga sepenuhnya berlaku karena propagasi DNS (TTL). Untuk detailnya, lihat Modifikasi rekaman CNAME untuk Traffic Scheduler.
- Jika mengalami masalah, lihat Pemecahan masalah respons lambat, latensi tinggi, dan kegagalan akses untuk layanan yang dilindungi oleh Anti-DDoS Proxy.

Alihkan traffic

Aturan Tiered Protection mendukung dua mode pengalihan:

Catatan

Kedua mode pengalihan otomatis dan manual bergantung pada penjadwalan traffic berbasis DNS. Pengalihan dapat terpengaruh oleh waktu propagasi DNS. Evaluasi dampaknya terhadap layanan Anda terlebih dahulu.

Peralihan Mode

Deskripsi

Skenario penerapan

Otomatis

Sistem memantau traffic dan pola serangan real-time. Sistem secara otomatis mengalihkan traffic ke Anti-DDoS Proxy atau mengembalikannya ke Anti-DDoS Origin.

Pertahanan otomatis 24/7 tanpa intervensi manual.

Manual

Alihkan traffic secara manual ke Anti-DDoS Proxy atau kembalikan ke Anti-DDoS Origin dari konsol sesuai kebutuhan bisnis Anda.

Pengalihan proaktif sebelum acara besar.

Skenario serangan kompleks yang tidak tercakup oleh pengalihan otomatis.

Pemecahan masalah dan simulasi darurat.

Pengalihan otomatis

Tipe Pengalihan	Kondisi pemicu
Alihkan ke Anti-DDoS Proxy	Semua alamat IP sumber daya cloud memasuki kondisi blackhole.
Kembalikan ke Anti-DDoS Origin	Setelah serangan berakhir dan waktu tunggu alih bencana berlalu, sistem secara otomatis mengalihkan kembali traffic ke Anti-DDoS Origin.

Pengalihan manual

Selain pengalihan otomatis, Anda dapat mengalihkan traffic secara manual ke Anti-DDoS Proxy untuk pembersihan atau mengembalikannya ke Anti-DDoS Origin sesuai kebutuhan bisnis Anda.

Switch to Anti-DDoS

Prosedur:
1. Pada halaman Sec-Traffic Manager, klik tab General Interaction.
2. Temukan aturan perlindungan bertingkat yang skenario interaksinya adalah Tiered Protection dan yang belum dialihkan secara otomatis ke Anti-DDoS Proxy (ditandai dengan ikon di bawah Resource for Interaction).
3. Pada kolom Actions, klik Switch to Anti-DDoS. Pada dialog konfirmasi, klik OK.
Batasan:
- Alihkan traffic ke Anti-DDoS Proxy saat instans Proxy berada dalam kondisi blackhole, atau saat waktu tunggu alih bencana belum berlalu sejak kejadian blackhole terakhir.
- Setelah Anda mengalihkan traffic secara manual ke Anti-DDoS Proxy, alih bencana otomatis dinonaktifkan. Gunakan operasi Switchback untuk mengembalikan traffic.

Switchback

Prosedur:
1. Pada halaman Sec-Traffic Manager, klik tab General Interaction.
2. Temukan aturan perlindungan bertingkat yang skenario interaksinya adalah Tiered Protection dan yang traffic-nya sedang dibersihkan oleh Anti-DDoS Proxy (ditandai dengan ikon di bawah Anti-DDoS Pro or Anti-DDoS Premium Instance).
3. Pada kolom Actions, klik Switchback. Pada dialog konfirmasi, klik OK.
Batasan:
- Jika semua alamat IP sumber daya cloud terkait berada dalam kondisi blackhole, operasi switchback tidak diizinkan.
- Jika sebagian alamat IP telah keluar dari kondisi blackhole sementara yang lain masih dalam kondisi blackhole.
  - Traffic hanya dialihkan kembali ke alamat IP yang telah keluar dari kondisi blackhole.
  - Traffic untuk alamat IP yang tersisa secara otomatis dipulihkan setelah kondisi blackhole berakhir.

Kelola aturan

Setelah membuat aturan, Anda dapat melakukan operasi berikut dari tab Interaksi Umum.

Operasi

Deskripsi

Edit

Ubah parameter aturan. Interaction Scenario dan Rule Name tidak dapat diubah setelah aturan dibuat.

Delete

Hapus aturan.

Sebelum menghapus aturan, hapus CNAME Sec-Traffic Manager dari Rekaman DNS domain Anda. Menghapus aturan saat CNAME masih aktif menyebabkan website Anda tidak dapat diakses.