Anti-DDoS Proxy は、大規模な分散型サービス妨害 (DDoS) 攻撃からサービスを保護するプロキシサービスです。このサービスは、サービスのトラフィックをグローバルに分散されたスクラビングセンターにリダイレクトします。スクラビングセンターは悪意のある攻撃トラフィックをフィルタリングし、正当なトラフィックのみをオリジンサーバーに転送します。このプロセスにより、攻撃中でもサービスの安定性と可用性が確保されます。
仕組み
Anti-DDoS Proxy は、3 つのステップでサービスの安定性を確保します:
トラフィックリダイレクト:DNS レコードを変更するか、サービス IP アドレスを Anti-DDoS インスタンスの IP アドレスに向けることで、インターネットからのすべての着信トラフィックが Anti-DDoS スクラビングセンターにリダイレクトされます。詳細については、「トラフィックリダイレクトの方法」をご参照ください。
トラフィックスクラビング:Anti-DDoS スクラビングセンターは、多層の検出およびフィルタリングエンジンを使用して、SYN フラッドや UDP フラッドなどのレイヤー 3 およびレイヤー 4 のボリューム型攻撃を防御します。また、HTTP フラッドなどのレイヤー 7 アプリケーションレイヤー攻撃からも保護します。悪意のある攻撃トラフィックは正確に識別され、破棄されます。
オリジンサーバーへのトラフィック転送:トラフィックがスクラビングされた後、正当なトラフィックはポートおよびプロトコル転送を通じて、安全かつ確実にオリジンサーバーに返されます。
トラフィックリダイレクトの方法
以下のいずれかの方法を使用して、サービスのトラフィックを Anti-DDoS インスタンスの IP アドレスに誘導し、スクラビングを行うことができます。
リダイレクト方法 | 説明 | ユースケース | メリット | デメリット |
DNS 名前解決 | ドメイン名 (例: | Web サイト、Web アプリケーション、API など、ドメイン名でアクセスされるサービス。 | 設定が簡単で、迅速に有効になります。これにより、攻撃中に迅速な切り替えが可能です。 | オリジン IP アドレスを直接標的とする攻撃からは保護できません。 |
IP 直接指定 | Anti-DDoS インスタンスで転送ルールを設定し、インスタンスの IP アドレスをサービスのエントリポイントとして使用します。トラフィックはその後、実サーバーの IP アドレスに送り返されます。クライアントは Anti-DDoS インスタンスの IP アドレスに直接アクセスします。 | ゲームやアプリのバックエンドサービスなど、IP アドレスを直接使用してアクセスされる非 Web サイトサービス。 | IP アドレスを直接保護し、オリジンサーバーを隠します。 | IP アドレスを切り替えると、一部のクライアント接続に影響を与える可能性があります。 |
メリット
迅速かつ簡単なデプロイ
このサービスは、DNS 名前解決と IP 直接指定の 2 つの接続タイプをサポートしています。ハードウェアやソフトウェアのインストール、ルーティング設定の調整は不要です。DNS の伝播時間などの要因にもよりますが、通常は数分で設定を完了できます。このアプローチにより、オリジン IP アドレスを隠して保護することもできます。
AI 駆動の精密保護
ネットワークレイヤーの攻撃防御:従来の機能検出に加えて、IP レピュテーションライブラリとディープパケットインスペクション (DPI) を使用して、さまざまなボリューム型攻撃を正確に識別し、ブロックします。
アプリケーションレイヤーの CC 攻撃保護:AI エンジンがサービスモデルを自動的に学習し、CC 攻撃トラフィックを正確に識別してフィルタリングします。このサービスは URL レベルでの詳細な保護ポリシーをサポートしており、運用保守の複雑さを大幅に軽減します。
大規模なグローバル緩和容量
Anti-DDoS Proxy のグローバル保護ネットワークは、合計 20 Tbps 以上の帯域幅を持ち、中国本土以外では 5 Tbps 以上の緩和帯域幅を備えています。この容量により、ネットワーク、トランスポート、アプリケーションの各レイヤーにおけるさまざまな DDoS 攻撃を効果的に防御し、スムーズなグローバルアクセス体験を保証します。
柔軟なバースト可能保護
保護帯域幅はいつでもオンラインでスペックアップでき、変更は数秒で有効になります。これにより、サービスの中断や調整なしに、バースト攻撃に応じて防御能力を即座に向上させることができます。
金融グレードの安定性と高可用性
このサービスは、データセンター、サーバー、エンジン、およびリンクを包括的に監視する完全冗長アーキテクチャを採用しています。堅牢な自動フェイルオーバーおよび回復メカニズムを備え、99.95% のサービス可用性を保証します。
インテリジェントなトラフィック再ルーティング
このサービスは、他の Alibaba Cloud 製品と連携して、攻撃発生時にトラフィックを自動的に Anti-DDoS Proxy に再ルーティングできます。通常運用時にはサービスは介入しないため、コストとセキュリティのバランスが取れます。
製品仕様
Anti-DDoS Proxy は、サーバーの物理的な リージョン に基づいて、Anti-DDoS Premium/Pro (中国本土) と Anti-DDoS Premium/Pro (中国本土以外) の 2 つのエディションで利用できます。
製品タイプ | インスタンスエディション | 主な特徴と違い | 注記 |
Anti-DDoS Premium/Pro (中国本土) | Professional Plan | 専用 IP アドレス、マルチラインのボーダーゲートウェイプロトコル (BGP) 保護を提供し、基本保護とバースト可能保護の両方をサポートします。 | - |
Advanced Edition | 月に 2 回の高度な緩和セッションを提供します (毎月リセット)。 | このエディションを有効にするには、アカウントマネージャーにお問い合わせください。 | |
Anti-DDoS Premium/Pro (中国本土以外) | Insurance および Unlimited |
| - |
Sec-CMA 2.0 | 中国本土のユーザー向けのアクセスアクセラレーションとアプリケーションレイヤーの DDoS 対策を提供します。特定の回数の DDoS 緩和セッションを選択すると、China Telecom、China Unicom、China Mobile の回線からの大容量 DDoS 攻撃を防御する能力が得られます。 | なし | |
Sec-CMA 2.0 (Insurance) および Sec-CMA 2.0 (Unlimited) | 機能は Sec-CMA 2.0 とほぼ同じです。Metering Method of 95th Percentile Burstable Clean Bandwidth と 95th Percentile Burstable QPS モードを無効にできます。 | これらの機能は Sec-CMA 2.0 に移行されました。新規インスタンスの購入は推奨されません。このオプションは既存のインスタンス専用です。 | |
Mainland China Acceleration および Sec-CMA 1.0 | China Mobile 回線をサポートしないレガシーバージョンです。 | 新規インスタンスの購入は推奨されません。Sec-CMA 2.0 へのアップグレードを推奨します。アップグレードを有効にするには、アカウントマネージャーにお問い合わせください。 |
ユースケースと購入に関する推奨事項
サーバーデプロイリージョン | ユーザーソース | サービス要件 | 推奨エディション |
中国本土 | 中国本土および中国本土以外 | 一般的な DDoS 対策。 | Anti-DDoS Premium/Pro (中国本土) - Professional Plan |
中国本土以外 | 中国本土以外 | クロスボーダーアクセスアクセラレーションは不要。 | Anti-DDoS Premium/Pro (中国本土以外) - Insurance または Unlimited |
中国本土以外 | 中国本土 | 低レイテンシーと安定性を確保するために、クロスボーダーアクセスアクセラレーションが必要。 | Anti-DDoS Premium/Pro (中国本土以外) - Sec-CMA 2.0 |
中国本土以外 | 中国本土および中国本土以外 | サーバーを移行せずに、クロスボーダーアクセスを高速化し、中国本土以外のユーザーにサービスを提供する必要がある。 | 組み合わせ購入:
|
中国本土以外 | 中国本土および中国本土以外 | ユーザーの所在地に基づいてサービスを異なるサーバーに移行し、クロスボーダーアクセスを可能にすることができます。移行後、異なるリージョンのユーザーは、それぞれのリージョンにあるサーバーと保護エディションによってサービスが提供されます。 |
|
課金
Anti-DDoS Proxy の料金は、サブスクリプションの インスタンス料金 と従量課金の バースト可能料金 で構成されます。
インスタンス料金 (サブスクリプション):基本保護帯域幅、クリーン帯域幅、秒間クエリ数 (QPS) など、選択した仕様に基づいて月単位または年単位で支払います。詳細については、「Anti-DDoS Proxy (中国本土以外) の Insurance および Unlimited 緩和プランの課金」、「Anti-DDoS Proxy (中国本土以外) の CMA の課金」、および「Anti-DDoS Proxy (中国本土以外) の Sec-CMA の課金」をご参照ください。
バースト可能保護料金 (従量課金):DDoS 攻撃トラフィックが基本保護帯域幅を超えた場合にのみ課金されます。料金は、ピーク攻撃トラフィックに基づいて日次で計算されます。詳細については、「バースト可能保護帯域幅の測定方法」をご参照ください。
バースト可能クリーン帯域幅/QPS 料金 (従量課金):通常のサービストラフィックまたは QPS が基本仕様を超えた場合にのみ課金されます。料金は、日次または月次 95 パーセンタイル帯域幅に基づいて計算されます。詳細については、「バースト可能クリーン帯域幅の課金」および「バースト可能 QPS の課金」をご参照ください。
グローバル高度緩和セッション:必要に応じて、特定のインスタンス用にグローバル高度緩和セッションを購入できます。詳細については、「グローバル高度緩和セッションの課金」をご参照ください。