EIP可通過IPv4網關的公網串連控制能力,以及阿里雲DDoS防護能力,提升網路資源互訪時的安全性。
使用IPv4網關控制公網串連
IPv4網關是串連Virtual Private Cloud(Virtual Private Cloud)和公網的網路組件。VPC訪問IPv4公網的流量經過IPv4網關,由IPv4網關實現路由轉寄以及私網地址到公網地址的轉換,最終實現對公網的訪問。
公網訪問集中控制
VPC內雲資源綁定了EIP,可以直接存取公網,不受VPC路由表控制。為了降低雲資源直接存取公網可能帶來的安全管控風險,您可以使用IPv4網關及子網路由能力,對VPC中訪問公網的行為進行約束,根據需求使得子網具備訪問公網的能力或者不具備訪問公網的能力。
入方向路由策略控制
IPv4網關結合子網路由能力,可以將訪問公網的流量引流至虛擬防火牆(例如Cloud Firewall)做安全防護。
關於IPv4網關更多資訊,請參見IPv4網關概述。
DDoS攻擊防護
DDoS攻擊是一種針對目標系統的惡意網路攻擊行為,會導致被攻擊者的業務無法正常訪問。阿里雲免費為EIP提供不超過5 Gbps的DDoS基礎防護,如果您的業務有更高的安全防護需求,您還可以選擇購買DDoS防護(增強版)EIP。
DDoS基礎防護
EIP執行個體預設開啟DDoS基礎防護能力,提供不超過5 Gbps的基礎DDoS防護能力。所有來自互連網的流量都要先經過Apsara Stack Security再到達EIP執行個體,Apsara Stack Security會針對常見的攻擊進行清洗過濾。更多資訊,請參見什麼是DDoS原生防護。
當來自互連網的流量大於DDoS防護能力時,為保護整個叢集的安全,流量將會被黑洞處理,即所有入流量全部被屏蔽。DDoS基礎防護各個地區預設初始黑洞觸發閾值,請參見DDoS基礎防護黑洞閾值。EIP執行個體的實際黑洞閾值與所在地區及頻寬有關,請以資產中心頁面顯示為準。
關於EIP執行個體的DDoS基礎防護能力更多資訊,請參見DDoS基礎防護。
DDoS防護(增強版)
阿里雲提供DDoS防護(增強版)EIP,在購買EIP執行個體時,選擇DDoS防護(增強版)安全防護層級,即可提供Tbps級的專業DDoS防護能力。
使用DDoS防護(增強版)EIP,您無需額外進行DDoS高防配置,業務IP也無需進行轉換,適用於大型遊戲、重大線上直播等對安全防護層級要求較高且時延較敏感的情境。
關於DDoS防護(增強版)EIP執行個體更多資訊,請參見DDoS防護(增強版)EIP最佳實務。