當您的雲產品業務流量滿足清洗條件時,DDoS原生防護會對入方向流量進行清洗,儘可能保障您的業務可用。本文介紹如何設定流量清洗閾值。
什麼是流量清洗
流量清洗是指在遭受DDoS攻擊時,通過DDoS原生防護對網路流量進行即時監測、分析和過濾,將惡意攻擊流量從正常流量中分離出來,並進行阻斷或丟棄,只讓合法的正常流量到達目標伺服器,從而保障伺服器的正常運行和網路服務的可用性。
DDoS原生防護在清洗判定中除了基於您設定的BPS/PPS清洗閾值外,還採用了AI智能分析的方法,基於阿里雲的巨量資料能力,自學習您的業務流量基準,並結合演算法識別異常攻擊。只有當AI智能分析檢測到DDoS攻擊,且請求流量達到您設定的BPS或PPS清洗閾值時,DDoS防護才會觸發流量清洗,避免了使用固定閾值可能導致的誤清洗(例如,正常業務上漲波動超出固定清洗閾值,引起誤清洗)。
清洗閾值
DDoS原生防護支援您使用系統預設的清洗閾值,也支援您自訂清洗閾值。
系統預設清洗閾值
阿里雲針對各類雲產品,會根據流量負載動態調整清洗閾值,通常會基於以下兩點考慮。
系統預設清洗閾值通常為您可以設定的最大清洗閾值,您可以根據業務實際情況適當調低清洗閾值。
自訂清洗閾值
自訂清洗閾值是指您根據自身業務的特定需求、網路環境特點以及安全性原則,對流量清洗的觸發條件進行個人化。
閾值設定建議及注意事項
設定建議
清洗閾值需要略高於實際訪問值。閾值如果設定過高起不到防禦效果,如果設定過低觸發流量清洗可能會影響正常的訪問。
例如,對於安全性要求較高的金融交易業務、政府關鍵資訊系統,或者曾遭受過低頻高強度攻擊的小型網站,在平時流量平穩時,為了防止閾值過高而對少量惡意流量不敏感,可以適當降低清洗閾值。在網站進行推廣或促銷活動時、遊戲大型賽事期間或ApsaraVideo for Live平台在熱門主播開播時段等,可以調高清洗閾值,避免因正常業務流量高峰而觸發誤判。
注意事項
自訂設定清洗閾值後:
如果雲產品升配:自訂清洗閾值優先順序較高,雲產品的清洗閾值不會隨升配而變化。
如果雲產品降配:
降配後的“系統預設清洗閾值”低於“自訂清洗閾值”時,清洗閾值會恢複為“系統預設清洗閾值”,自訂清洗閾值配置隨即失效,後續雲產品繼續升配或降配,清洗閾值均為系統預設清洗閾值。
降配後的“系統預設清洗閾值”高於“自訂清洗閾值”時,自訂清洗閾值優先順序較高,客戶雲資產清洗閾值不會發生變化。
調整單個資產清洗閾值(在資產中心頁面)
登入流量安全控制台的資產中心頁面,在頂部功能表列左上方處,選擇資產所在地區。
單擊需要操作的雲產品頁面,例如ECS。
說明IDC網段和專有地址頁簽的資產不支援清洗設定。
在IP資產列表中,單擊目標IP,在IP详情面板,單擊清洗設定。
在清洗設定面板,為當前目標執行個體設定清洗閾值並單擊確定。
系統預設:根據云產品的流量負載自動調整清洗閾值。
手動設定:
流量清洗閾值:該閾值不能超過當前雲產品執行個體公網頻寬的1.5倍,不能低於60Mbps。
報文清洗閾值:該閾值不能超過當前雲產品執行個體公網PPS規格的1.5倍,不能低於12000pps。
批量調整資產清洗閾值(在防護對象頁面)
登入流量安全控制台的防護對象頁面。
在頂部功能表列左上方處,選擇執行個體所在資源群組和地區。
原生防護1.0(訂用帳戶)執行個體:請選擇執行個體所在地區。
原生防護2.0(訂用帳戶)執行個體、原生防護2.0(後付費)執行個體:請選擇全球。
頁面上方選擇DDoS原生防護執行個體後,單擊批量調整清洗閾值。
在清洗閾值頁簽中,選擇資產IP,大量設定流量和報文的清洗閾值。
流量清洗閾值:該閾值不能超過當前雲產品執行個體公網頻寬的1.5倍,不能低於60Mbps。
報文清洗閾值:該閾值不能超過當前雲產品執行個體公網規格pps的1.5倍,不能低於12000pps。
重要高防EIP不支援批量修改清洗閾值,僅支援在資產中心頁面,修改單個高防EIP的清洗閾值。
最多支援一次調整500個IP。
建議盡量選擇相同雲資產、相同清洗閾值資產進行批量閾值配置。
配置完成後會返回配置是否成功的結果,如有修改不成功的雲資產和IP,請您根據配置結果提示繼續操作。