DDoS原生防護是一款直接提升阿里雲產品DDoS防禦能力的安全產品,部署簡單無需改變網路架構,沒有四層連接埠、七層網域名稱數等限制。購買執行個體並綁定IP後即可分鐘級生效。主要防禦三層和四層的流量型DDoS攻擊,尤其適合希望以低成本、零改造方式快速提升基礎DDoS防禦能力的使用者。
前置概念
DDoS攻擊:全稱為分散式阻斷服務攻擊(Distributed Denial of Service attack),是一種常見的網路安全攻擊方式。這種攻擊形式主要通過惡意流量消耗網路或網路裝置的資源,從而導致網站無法正常運行或線上服務無法正常提供。更多資訊,請參見什麼是DDoS攻擊。
工作原理
DDoS原生防護採用旁路部署方式,在阿里雲機房出口處部署DDoS攻擊檢測及清洗系統。它以被動清洗為主、主動壓製為輔,在不影響正常業務的前提下,對DDoS攻擊流量進行識別和清洗。
攻擊檢測:系統即時檢測流經您公網IP的流量。
流量清洗:當入向流量超出預設的清洗閾值時,系統會自動將流量牽引至DDoS清洗中心。
流量回注:清洗中心識別並丟棄攻擊流量,然後將乾淨的業務流量回注給您的來源站點伺服器,保證在攻擊持續狀態下,業務仍可正常訪問。
產品優勢
即時部署:購買後即刻生效,最快一分鐘內完成部署,防禦能力直接載入至雲產品,無需進行部署或更換IP。
彈性防禦:具備彈性防護能力,當遭遇大規模攻擊時,可自動調用當前地區的全部DDoS防護資源進行全力防禦。
卓越效能:採用阿里雲BGP頻寬,單一IP即可實現電信、聯通、移動等多電訊廠商網路的高速訪問。
海量頻寬:提供海量清洗頻寬,滿足大促活動、新品上線及核心業務的安全穩定性需求。
靈活共用:支援多個IP地址共用同一個防護執行個體,高效滿足多資產的防禦需求。
防護的雲產品類型說明
對比維度 | 標準型雲產品 | 增強型雲產品 |
定義 | 指具備阿里雲預設DDoS防護能力的雲產品,例如普通的Elastic Compute Service、EIP、SLB等。 | 指購買時開啟了DDoS防護增強功能的雲產品,目前特指DDoS防護增強EIP(高防EIP)。 |
防護策略生效方式 | 防護策略(如黑白名單、地區封鎖等)僅在遭受攻擊且流量被清洗時生效。 | 防護策略始終生效。所有流量都會經過清洗中心處理。 |
防護能力 | 共用地區級清洗能力,中國內地地區最高可達數百Gbps。 | 可提供高達Tbps層級的全力防護能力。 |
購買特殊配置 | 購買EIP時,安全防護選擇預設。 | 購買EIP時,安全防護選擇DDoS防護(增強版)。 |
DDoS原生防護版本
類別 | 執行個體版本 | 說明 |
DDoS原生防護1.0(訂用帳戶) | 企業版 | 已停止新購。 |
DDoS原生防護2.0(訂用帳戶) | 中小企業普惠版、企業版 | 僅支援防護標準型雲產品,不支援防護增強型雲產品。
|
DDoS原生防護2.0(後付費) | 企業版 | 支援防護標準型雲產品、增強型雲產品。 |
版本防護能力對比
DDoS原生防護提供1.0和2.0版本,1.0版本已停止新購,下表中僅展示2.0版本的防護能力參考值。
DDoS原生防護採用“全力防護”模式,其防護能力非固定值,而是依據當前雲資料中心的整體防護水位動態調整。該防護水位通常隨阿里雲網路基礎設施的擴充而提升,但在資源緊張等特殊情況下也可能臨時下降。
地區 | 原生防護2.0(訂用帳戶)中小企業普惠版 | 原生防護2.0(訂用帳戶)企業版 | 原生防護2.0(後付費)企業版 | ||
標準型雲產品 | 標準型雲產品 | 標準型雲產品 | 增強型雲產品 | ||
中國內地 | 華北2(北京)、華東2(上海)、 華東1(杭州)、華南1(深圳)、華北6(烏蘭察布)、華北3(張家口)、華北5(呼和浩特)、華南2(河源) | 最大300 Gbps~600 Gbps。 | 最大Tbps層級。 僅華北2(北京)、華東2(上海)、華東1(杭州)支援購買。 | ||
西南1(成都)、華南3(廣州)、華北1(青島) | 最大數10Gbps。 | ||||
非中國內地 | 中國香港、新加坡、德國(法蘭克福)、美國(矽谷)、美國(維吉尼亞) | 最大100-200Gbps,更高防護需求建議使用DDoS防護增強EIP(高防EIP)。 | 最大Tbps層級。 | ||
日本(東京) | 最大數10Gbps,更高防護需求建議您使用DDoS防護增強EIP(高防EIP)。 | 最大Tbps層級。 | |||
其他地區 | 防護能力有限(小於10Gbps),建議使用DDoS防護增強EIP(高防EIP)。 | 最大Tbps層級。 | |||
版本功能對比
業務頻寬由防護的所有雲產品共用,其規格須大於全部受防護雲產品頻寬的總和。
例如,若需為3個總頻寬為2000 Mbps的雲產品提供防護,則應選擇業務頻寬大於2000 Mbps的執行個體。
對比項 | DDoS原生防護1.0 | DDoS原生防護2.0訂用帳戶 | DDoS原生防護2.0後付費 | |
企業版 | 中小企業普惠版 | 企業版 | 企業版 | |
防護對象 | 阿里雲產品:ECS、SLB、EIP(包含綁定NAT Gateway的EIP)、IPv6網關、輕量伺服器、WAF、GA |
| ||
計費方式 | 訂用帳戶,具體請參見原生防護1.0(訂用帳戶)。 | 訂用帳戶,具體請參見原生防護2.0(訂用帳戶)。 | 訂用帳戶,具體請參見原生防護2.0(訂用帳戶)。 | 隨用隨付,具體請參見原生防護2.0(後付費)。 |
防護次數 | 不限次 | 2次/月 | 不限次 | 不限次 |
防護的資產地區數量 | 防護一個地區下的公網IP資產。 | 防護一個地區下的公網IP資產。 | 防護當前阿里雲帳號下所有地區的公網IP資產。 | 防護當前阿里雲帳號下所有地區的公網IP資產。 |
防護的資產網路類型 | 僅支援防護一種公網IP資產,IPv4或IPv6。 | 僅支援防護一種公網IP資產,IPv4或IPv6。 | 支援同時防護IPv4和IPv6公網IP資產。 | 支援同時防護IPv4和IPv6公網IP資產。 |
支援防護的IP數量 | 選購執行個體時100個起步,自由選擇。 | 選購執行個體時,支援選擇1~29。 | 選購執行個體時,支援選擇30~2000。 如需更高規格,請聯絡商務經理。 | 最多2000個。 |
業務頻寬 | 選購執行個體時自由選擇頻寬,支援無上限擴容。 | 選購執行個體時,支援選擇50 Mbps~1000 Mbps。 | 選購執行個體時100 Mbps起步,自由選擇頻寬,支援無上限擴容。 |
|
SLS日誌 | 支援。 | 不支援。 | 支援。 | 支援。 |
多帳號管理 | 不支援。 | 不支援。 | 支援。 | 支援。 |
快速使用DDoS原生防護
常見問題
DDoS原生防護和DDoS高防有什麼區別?
對比維度
DDoS原生防護
DDoS高防
核心定位
雲產品的增強防護。
專業級獨立防護。
接入方式
綁定已有公網IP,無需更換IP。
需將業務流量切換至高防IP。
防護能力
地區級共用,有上限(Gbps級)。
獨立資源,可達Tbps級,SLA更高。
適用情境
提升基礎防禦,便捷、低成本。
核心業務,抵禦超大規模攻擊。
成本
相對較低。
相對較高。
DDoS原生防護能防禦CC攻擊(應用程式層攻擊)嗎?
不能。DDoS原生防護主要防禦三層和四層的流量型攻擊(如UDP Flood、SYN Flood等)。