Global Acceleration網路隔離與安全防護 - Global Accelerator

Global Accelerator (GA)支援專用網路類型後端服務，避免後端服務直接暴露在互連網，可實現更加安全的網路連接。GA還可以搭配阿里雲安全服務，保護應用免受攻擊，加固對後端服務的安全訪問。

加速訪問專用網路類型後端服務

GA支援將以下專用網路類型雲資源添加為終端節點後端服務：

執行個體類型	專用網路類型雲資源
標準型GA執行個體	Elastic Compute Service (ECS) 傳統型負載平衡 CLB（Classic Load Balancer）應用型負載平衡 ALB（Application Load Balancer）網路型負載平衡 NLB（Network Load Balancer ）彈性網卡 ENI（Elastic Network Interface）交換器（vSwitch）中指定的ECS執行個體私網IP地址及目標連接埠
基礎型GA執行個體	輔助網卡類型的彈性網卡 ENI（Elastic Network Interface）傳統型負載平衡 CLB Elastic Compute Service 網路型負載平衡 NLB（Network Load Balancer ）

當您將以上專用網路類型後端服務添加為GA的終端節點時，用戶端流量通過訪問GA的加速IP進入阿里雲加速網路後，將被直接分配至VPC內對應的後端服務中，VPC內的後端服務無需具備公網IP地址即可對外提供服務。

關於終端節點更多資訊，請參見標準型Global Acceleration執行個體的終端節點和基礎型Global Acceleration執行個體的終端節點。

攻擊防護

GA可搭配阿里雲安全服務，保護應用免受攻擊，加固對後端服務的安全訪問。

搭配DDoS防護實現DDoS攻擊防護

DDoS攻擊是一種針對目標系統的惡意網路攻擊行為，會導致被攻擊者的業務無法正常訪問。您可以根據業務的安全防護需求選擇以下DDoS防護產品：

防護產品	DDoS基礎防護	DDoS原生防護	DDoS高防
防護能力	較低 GA與阿里雲DDoS防護整合，無需開啟，免費為GA執行個體的加速IP和終端節點出公網IP提供不超過5 Gbps的DDoS基礎防護（不同地區支援的最大免費防護流量不同）。	較高 DDoS原生防護支援將GA執行個體添加為防護對象，為GA執行個體的加速IP和終端節點出公網IP提供最高數百Gbps全力防護（不同地區最大防護流量不同）。	高 GA支援接入DDoS高防，基於阿里雲全球DDoS清洗中心能力，為GA執行個體的安全CNAME（安全加速IP）提供最高可達Tbps以上的防禦能力。
防護原理	DDoS基礎防護會預設設定清洗閾值，也支援您手動設定清洗閾值，當觸發流量清洗條件時，DDoS基礎防護通過對所有來自互連網的流量進行過濾清洗，防禦一般常見的網路層、傳輸層攻擊，例如UDP反射攻擊、SYN/ACK Flood攻擊等，但DDoS基礎防護不支援抵禦應用程式層攻擊，例如HTTP Flood攻擊和CC攻擊。 DDoS基礎防護在清洗判定中除了基於您設定的BPS/PPS清洗閾值外，還採用了AI智能分析的方法，基於阿里雲的巨量資料能力，自學習您的業務流量基準，並結合演算法識別異常攻擊。只有當AI智能分析檢測到DDoS攻擊，且請求流量達到您設定的BPS或PPS清洗閾值時，DDoS防護才會觸發流量清洗，避免了使用固定閾值可能導致的誤清洗（例如，正常業務上漲波動超出固定清洗閾值，引起誤清洗）。如果入方向流量超過防護能力（即黑洞閾值），為避免DDoS攻擊對雲產品產生更大損害，同時也避免單個雲產品被DDoS攻擊而影響其他資產正常運行，雲產品會進入黑洞，即阿里雲會暫時屏蔽雲產品的互連網入方向流量。詳細介紹，請參見阿里雲黑洞策略。	DDoS原生防護主要提供針對三層和四層流量型攻擊的防禦服務。當流量超出DDoS原生防護的預設清洗閾值後，自動觸發流量清洗，實現DDoS攻擊防護。 DDoS原生防護採用被動清洗方式為主、主動壓製為輔的方式，針對DDoS攻擊在反向探測、黑白名單、報文合規等標準技術的基礎上，在攻擊持續狀態下，保證被防護雲產品仍可以正常對外提供商務服務。DDoS原生防護通過在阿里雲機房出口處建設DDoS攻擊檢測及清洗系統，採用旁路部署方式。	根據您在DDoS高防中為業務配置的轉寄規則（即指定網站網域名稱，並將GA安全CNAME作為伺服器位址），GA將業務的DNS網域名稱解析或業務IP指向DDoS高防執行個體IP進行引流。正常業務訪問期間，流量不經過高防轉寄，直接通過GA加速達到來源站點伺服器，不增加延遲。在業務被攻擊時，GA會自動切換CNAME指向高防執行個體IP，流量經過高防清洗後，通過GA的安全CNAME（安全加速IP）接入GA進行加速，確保業務在受到攻擊時仍能穩定、高效地提供服務。
參考	查看GA執行個體基礎防護閾值	GA接入DDoS原生防護	GA接入DDoS高防

搭配WAF保障應用安全

Web Application Firewall (WAF)對網站或者App的業務流量進行惡意特徵識別及防護，在對流量清洗和過濾後，將正常、安全的流量返回給伺服器，避免網站伺服器被惡意入侵導致效能異常等問題，從而保障網站的業務安全和資料安全。

關於WAF更多資訊，請參見什麼是Web Application Firewall和快速使用WAF 3.0。

搭配Cloud Firewall精細化管控流量

Cloud Firewall可針對您雲上網路資產的互連網邊界、VPC邊界及主機邊界實現三位一體的統一安全隔離管控。其中，互連網邊界防火牆作用於互連網邊界，對所有公網資產進出流量統一管控防護。您可以使用互連網邊界防火牆，精細化管控業務公網資產出入互連網的訪問流量，減少公網資產在互連網的暴露面，降低業務流量的安全風險。

互連網邊界防火牆防護的公網資產範圍包含GA的加速IP。如何為GA的加速IP開啟互連網邊界保護，請參見互連網邊界防火牆。

GA如何搭配Cloud Firewall實現地區級流量的存取控制，請參見GA聯動Cloud Firewall實現地區級存取控制與加速。