すべてのプロダクト
Search

このプロダクト

    Server Load Balancer:Anti-DDoS Origin Basic

    ドキュメントセンター

    Server Load Balancer:Anti-DDoS Origin Basic

    最終更新日:Feb 26, 2025

    Anti-DDoS Origin は、Alibaba Cloud プロダクトに対する DDoS 攻撃を軽減できます。ネットワークアーキテクチャを変更する必要なく、簡単にデプロイできます。さらに、Anti-DDoS Origin では、レイヤー 4 ポートまたはレイヤー 7 ドメイン名に制限はありません。クラウド リソース ID を Anti-DDoS Origin インスタンスに関連付けるだけで、クラウド リソース の保護を有効にできます。

    概要

    デフォルトでは、Anti-DDoS Origin Basic は CLB に対して無料で有効になっています。Anti-DDoS Origin Basic は、最大 5 Gbit/s の帯域幅容量を提供します。インターネットからのすべてのトラフィックは、CLB インスタンスに到達する前に Alibaba Cloud Security を通過する必要があります。Alibaba Cloud Security は、SYN フラッド攻撃、UDP フラッド攻撃、ACK フラッド攻撃、ICMP フラッド攻撃、DNS フラッド攻撃などの一般的な DDoS 攻撃を軽減するためにトラフィックをスクラビングします。

    Anti-DDoS Origin は、主要な保護ポリシーとしてパッシブスクラビングを、補助的なポリシーとしてアクティブブロッキングを採用して、DDoS 攻撃を軽減します。これにより、保護された リソース は攻撃を受けていても期待どおりに動作できます。次の図は、Anti-DDoS Origin のネットワークトポロジーを示しています。

    Anti-DDoS Origin Basic は、インターネットに接続された CLB インスタンスの帯域幅に基づいて、スクラビングとしきい値を指定します。インバウンドトラフィックがしきい値に達すると、スクラビングまたはブラックホール化がトリガーされます。

    • スクラビング: システムが特定のモデルと一致する攻撃、または多数の攻撃を検出すると、Alibaba Cloud Security は攻撃トラフィックを自動的にスクラビングします。

    • ブラックホール化: システムがしきい値を超える多数の攻撃を受信すると、セキュリティを確保するためにすべてのリクエストがドロップされます。

    しきい値は、次の原則に基づいて計算されます。

    • しきい値は、CLB インスタンス用に購入した帯域幅 リソース に基づいて決定されます。

    • ブラックホール化のしきい値は、セキュリティ信用スコアに基づいて決定されます。

      説明

      ただし、セキュリティ信用スコアはスクラビングのしきい値には影響しません。

    しきい値を計算する

    しきい値を計算するには、次の手順を実行します。

    1. CLB は、CLB インスタンス用に購入した帯域幅 リソース に基づいて推奨しきい値を提供します。

      説明

      トラフィック課金 CLB インスタンスを購入した場合、アウトバウンド帯域幅は、CLB インスタンスがデプロイされているリージョンでサポートされている最大帯域幅と等しくなります。中国本土のすべてのリージョンは、最大 5 Gbit/s の帯域幅容量をサポートしています。詳細については、「帯域幅制限」をご参照ください。

      • CLB 帯域幅とスクラビングしきい値(bit/s)の相関関係

        • CLB 帯域幅が 100 Mbit/s 未満の場合: デフォルトのスクラビングしきい値(Mbit/s)= 120

        • CLB 帯域幅が 100 Mbit/s を超える場合: デフォルトのスクラビングしきい値(Mbit/s)= CLB 帯域幅 × 1.2

      • CLB 帯域幅とスクラビングしきい値(packet/s)の相関関係

        スクラビングしきい値(packet/s)=(CLB 帯域幅/500)× 150,000

        帯域幅の単位は Mbit/s です。

      • CLB 帯域幅とブラックホール化しきい値(bit/s)の相関関係

        • CLB 帯域幅が 1 Gbit/s 未満の場合: デフォルトのブラックホール化しきい値(Gbit/s)= 2

        • CLB 帯域幅が 1 Gbit/s を超える場合: デフォルトのブラックホール化しきい値(Gbit/s)= Max {CLB 帯域幅 × 1.5, 2}

    2. Alibaba Cloud Security は、推奨しきい値、セキュリティ信用スコア、および各リージョンの リソース に基づいて最終的なしきい値を計算します。

      • Alibaba Cloud Security は、次のルールを使用してしきい値(bit/s および packet/s)を評価します。

        しきい値の最小値は、Mbit/s では 1000、packet/s では 300000 です。

        • CLB によって計算されたしきい値が上記の最小値より小さい場合、最小値が優先されます。

        • CLB によって計算されたしきい値が上記の最小値より大きい場合、CLB によって計算されたしきい値が優先されます。

      • Alibaba Cloud Security は、セキュリティ信用スコアに基づいてブラックホール化しきい値を決定します。

    RAM ユーザーに読み取り専用 権限 を付与する

    Resource Manage Access(RAM)ユーザーに Anti-DDoS Origin Basic の読み取り専用 権限 を付与するには、次の手順を実行します。

    説明

    RAM ユーザーに読み取り専用 権限 を付与するには、Alibaba Cloud アカウントを使用する必要があります。

    1. Alibaba Cloud アカウントを使用して RAM コンソール にログオンします。

    2. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

    3. [ユーザー] ページで、RAM ユーザーを見つけ、[アクション] 列の [権限の追加] をクリックします。

    4. [権限の付与] パネルで、RAM ユーザーに 権限 を付与します。

      1. リソース 範囲を選択します。

        • [アカウント]: 権限付与は、Alibaba Cloud アカウントのすべての リソース に対して有効になります。

        • [リソースグループ]: 権限 は、指定された リソース グループ内の リソース に対して有効になります。

          説明

          [リソース 範囲] パラメーターで [リソースグループ] を選択する場合は、関連するクラウドサービスと リソース が リソース グループをサポートしていることを確認してください。詳細については、「リソースグループで動作するサービス」をご参照ください。

      2. プリンシパルを指定します。

      3. ポリシーを選択します。

        [ポリシー名] 列で [aliyunyundunddosfullaccess] を選択して、ポリシーを [選択済み] リストに追加します。次に、[権限の付与] をクリックします。

    5. [閉じる] をクリックします。

    しきい値を表示する

    1. CLB コンソール にログオンします。

    2. 上部のナビゲーションバーで、CLB インスタンスがデプロイされているリージョンを選択します。

    3. [インスタンス] ページで、CLB インスタンスを見つけ、CLB インスタンスの Alibaba Cloud Security アイコンにポインターを合わせて、スクラビングしきい値(bit/s および packet/s)とブラックホール化しきい値を表示します。詳細については、Anti-DDoS コンソール にアクセスしてください。

      • スクラビングしきい値(bit/s): 1 秒あたりのインバウンドデータがこの値を超えると、スクラビングがトリガーされます。

      • スクラビングしきい値(packet/s): 1 秒あたりのインバウンドパケットがこの値を超えると、スクラビングがトリガーされます。

      • ブラックホール化しきい値: 1 秒あたりのインバウンドデータがこの値を超えると、すべてのリクエストがドロップされます。