EIP 預設提供不超過 5Gbps 的DDoS 基礎防護能力,當流量超過基礎防護能力時,流量將會被黑洞處理,即所有入流量全部被屏蔽,可能導致服務完全中斷。使用 DDoS 防護(增強版)EIP,可獲得 Tbps 級的防護能力,保障商務持續性。
工作原理
DDoS 防護(增強版)EIP 使用 DDoS 原生防護 ,具備 Tbps 級的 DDoS 防護能力,適用於大型遊戲、重大線上直播等對安全防護層級要求較高且時延較敏感的情境。
-
入方向:先經過 DDoS 原生防護檢測並清洗,過濾攻擊流量後,將正常流量轉寄至執行個體。
-
出方向:直接通過 EIP 訪問公網。
適用範圍
-
線路類型:BGP(多線)。
-
計費方式:隨用隨付。
-
通過IP位址集區建立DDoS防護(增強版)EIP時,IP位址集區也需要是 DDoS 防護(增強版)。
-
支援的地區:
EIP
-
亞太地區-中國:華北2(北京)、華東1(杭州)、華東2(上海)、中國香港
-
亞太地區-其他:菲律賓(馬尼拉)、日本(東京)、新加坡、馬來西亞(吉隆坡)、印尼(雅加達)、韓國(首爾)、泰國(曼穀)
-
其他:美國(維吉尼亞)、美國(矽谷)、德國(法蘭克福)、英國(倫敦)、墨西哥
IP位址集區
-
亞太地區-中國:中國香港
-
亞太地區-其他:菲律賓(馬尼拉)、日本(東京)、新加坡、馬來西亞(吉隆坡)、印尼(雅加達)、韓國(首爾)、泰國(曼穀)
-
其他:美國(維吉尼亞)、美國(矽谷)、德國(法蘭克福)、英國(倫敦)、墨西哥
-
開啟 DDoS 防護(增強版)
確保已開通 DDoS原生防護(隨用隨付版)。開通服務並添加防護資產後,阿里雲即認為您正式使用產品並開始計費。該服務是按月開通產品,30天內不支援停用。
控制台
-
付費模式:隨用隨付。
-
線路類型:BGP(多線)。
-
安全防護:DDoS防護(增強版)。
-
位址集區:
-
保持預設:從阿里雲公用 IP 位址集區分配 DDoS 防護(增強版)EIP。
-
指定 IP 位址集區:必須指定 DDoS 防護(增強版)IP 位址集區,從中分配 EIP。
-
建立完成後,可以登入Elastic IP Address管理主控台,單擊目標 EIP 安全防護列的
表徵圖,查看 DDoS 安全防護的清洗閾值和黑洞閾值。
T日建立完成後,可在 T+1 日前往流量安全產品控制台,在流量安全 > 網絡安全 > 原生防護2.0 > 賬單中心頁面查詢用量明細。單擊詳細說明,可以申請調整訪問峰值頻寬。
API
調用AllocateEipAddress配置SecurityProtectionTypes為AntiDDoS_Enhanced,建立 DDoS 防護(增強版)EIP。
計費說明
僅隨用隨付的 EIP 支援 DDoS 防護(增強版)安全防護層級,計費項目包括:
-
公網 IP 保有費和公網網路費:EIP 收取;
-
DDoS 原生防護 2.0 費用:DDoS 防護收取。DDoS 防護(增強版)EIP 屬於增強型雲產品。
更多資訊
DDoS 基礎防護
EIP 預設具備不超過 5Gbps 的 DDoS 基礎防護能力。公網入方向流量首先經過阿里雲 DDoS 基礎防護,經檢測符合 DDoS 攻擊模型,且超過清洗閾值時,DDoS 基礎防護將啟動流量清洗,過濾惡意報文,將正常流量轉寄至 EIP。
-
流量清洗:
-
清洗方法:過濾攻擊報文、限制流量速度、限制資料包速度等。
-
清洗觸發:流量符合攻擊模型特徵,且流量達到 BPS(流量速率) 清洗閾值或 PPS (資料包速率)清洗閾值。DDoS 基礎防護根據 EIP 頻寬自動設定清洗閾值。
-
BPS 清洗閾值:當 EIP 頻寬 ≤ 300Mbps 時,為 450Mbps;EIP 頻寬 > 300Mbps 時,為
EIP 頻寬值 × 1.5Mbps。 -
PPS 清洗閾值:當 EIP 頻寬 ≤ 100Mbps 時,為 100000pps;EIP 頻寬 > 100Mbps 時,為
EIP 頻寬值 × 1000pps。
-
-
-
黑洞策略:當 DDoS 攻擊流量超過 EIP 的黑洞閾值(即 5Gbps 的 DDoS 基礎防護能力,具體為 5200Mbps)時,為避免對雲產品產生更大損害,阿里雲會執行黑洞策略,屏蔽 EIP 所有入方向流量,這將導致服務完全中斷。預設黑洞自動解除時間是2.5小時。實際根據資產被攻擊頻率有差異。