DDoS原生防護是一款直接提升阿里雲產品DDoS防禦能力的安全產品,部署簡單無需改變您的網路架構,沒有四層連接埠、七層網域名稱數等限制,您只需將雲產品IP綁定到DDoS原生防護執行個體中即可實現防護。
DDoS原生防護(基礎版)介紹
DDoS原生防護(基礎版)預設為CLB等阿里雲公網IP資源免費開啟,提供最大支援5 Gbps的防護。所有來自互連網的流量都要先經過Apsara Stack Security再到達負載平衡,Apsara Stack Security會清洗過濾常見的DDoS攻擊(例如SYN Flood、UDP Flood、ACK Flood、ICMP Flood和DNS Flood)。
DDoS原生防護採用被動清洗為主、主動壓製為輔的方式,保證在攻擊持續狀態下,使用者仍可對外提供商務服務。網路拓撲架構如下圖所示。
DDoS原生防護(基礎版)根據公網CLB執行個體的頻寬設定清洗閾值和黑洞閾值。當入方向流量達到閾值上限時,觸發清洗和黑洞:
清洗:當攻擊流量較大或符合某些特定攻擊模型時,Apsara Stack Security將會自動對攻擊流量進行清洗。
黑洞:當攻擊流量非常大時,為保護整個叢集的安全,所有入流量將被丟棄。
閾值的計算遵循以下兩個原則:
根據CLB執行個體所購買的頻寬決定閾值的高低。
根據您的安全信譽評分來決定黑洞閾值的高低。
說明安全信譽評分僅影響黑洞閾值,不影響清洗閾值。
計算閾值
按照以下步驟計算閾值。
CLB後台根據您購買的頻寬提供閾值建議。
說明如果您購買的是按流量計費執行個體,出頻寬為執行個體所在地區所支援的頻寬峰值上限。目前中國內地地區頻寬上限都是峰值5 Gbps。更多資訊,請參見頻寬節流設定。
CLB頻寬與BPS清洗閾值之間的關係
CLB頻寬<100 Mbps時,清洗BPS預設閾值=120 Mbps。
CLB頻寬>100 Mbps時,清洗BPS預設閾值=頻寬值*1.2。
CLB頻寬與PPS清洗閾值之間的關係
清洗PPS閾值=(CLB頻寬值/500)*150000,頻寬值單位為Mbps。
CLB頻寬與黑洞BPS閾值之間的關係
CLB頻寬<1 Gbps時,黑洞BPS預設閾值=2 Gbps。
CLB頻寬>1 Gbps時,黑洞BPS預設閾值=MAX(CLB頻寬值*1.5,2G)。
Apsara Stack Security根據CLB給出的建議值,結合您的安全信譽評分和各地區的資源情況,計算出最終的閾值。
Apsara Stack Security評估BPS和PPS閾值的規則
BPS最小值為1000 M,PPS最小值為30萬個。
當CLB傳入的參考閾值小於上述最小值時,取上述最小值。
當CLB傳入的參考閾值高於上述最小值時,取CLB傳入的參考閾值。
Apsara Stack Security根據您的安全信譽評分來決定黑洞閾值的高低
授權Apsara Stack Security基礎防護唯讀許可權
按照以下步驟為RAM帳號授予Apsara Stack SecurityDDoS原生防護(基礎版)Anti-DDoS Basic的唯讀許可權。
使用主帳號進行授權。
使用主帳號登入RAM存取控制台。
在左側導覽列,單擊
在使用者頁面,找到目標RAM使用者,然後在操作列單擊添加許可權。
在新增授權面板,為RAM使用者添加許可權。
選擇資源範圍。
帳號層級:許可權在當前阿里雲帳號內生效。
資源群組層級:許可權在指定的資源群組內生效。
說明指定資源群組授權生效的前提是該雲端服務及資源類型已支援資源群組,詳情請參見支援資源群組的雲端服務。
輸入授權主體。
選擇權限原則。
選擇策略名稱稱列中的AliyunYundunDDosFullAccess,將其加入到已選擇的權限原則列表中,然後單擊確認新增授權。
單擊關閉。
查看防護閾值
在頂部功能表列,選擇CLB執行個體的所屬地區。
在執行個體管理頁面,找到目標CLB執行個體,將滑鼠移至目標執行個體的Apsara Stack Security表徵圖,查看BPS清洗閾值、PPS清洗閾值和黑洞閾值。更多資訊,請參見Apsara Stack SecurityDDoS防護控制台。
BPS清洗閾值:入方向流量超過了BPS清洗閾值時,觸發清洗。
PPS清洗閾值:入方向資料包數超過了PPS清洗閾值時,觸發清洗。
黑洞閾值:入方向流量超過黑洞閾值時將觸發黑洞。