DDoS原生防护是一款直接提升阿里云产品DDoS防御能力的安全产品,部署简单无需改变网络架构,没有四层端口、七层域名数等限制。购买实例并绑定IP后即可分钟级生效。主要防御三层和四层的流量型DDoS攻击,尤其适合希望以低成本、零改造方式快速提升基础DDoS防御能力的用户。
前置概念
DDoS攻击:全称为分布式拒绝服务攻击(Distributed Denial of Service attack),是一种常见的网络安全攻击方式。这种攻击形式主要通过恶意流量消耗网络或网络设备的资源,从而导致网站无法正常运行或在线服务无法正常提供。更多信息,请参见什么是DDoS攻击。
工作原理
DDoS原生防护采用旁路部署方式,在阿里云机房出口处部署DDoS攻击检测及清洗系统。它以被动清洗为主、主动压制为辅,在不影响正常业务的前提下,对DDoS攻击流量进行识别和清洗。
攻击检测:系统实时检测流经您公网IP的流量。
流量清洗:当入向流量超出默认的清洗阈值时,系统会自动将流量牵引至DDoS清洗中心。
流量回注:清洗中心识别并丢弃攻击流量,然后将干净的业务流量回注给您的源站服务器,保证在攻击持续状态下,业务仍可正常访问。
产品优势
即时部署:购买后即刻生效,最快一分钟内完成部署,防御能力直接加载至云产品,无需进行部署或更换IP。
弹性防御:具备弹性防护能力,当遭遇大规模攻击时,可自动调用当前地域的全部DDoS防护资源进行全力防御。
卓越性能:采用阿里云BGP带宽,单一IP即可实现电信、联通、移动等多运营商网络的高速访问。
海量带宽:提供海量清洗带宽,满足大促活动、新品上线及核心业务的安全稳定性需求。
灵活共享:支持多个IP地址共享同一个防护实例,高效满足多资产的防御需求。
防护的云产品类型说明
对比维度 | 标准型云产品 | 增强型云产品 |
定义 | 指具备阿里云默认DDoS防护能力的云产品,例如普通的云服务器ECS、EIP、SLB等。 | 指购买时开启了DDoS防护增强功能的云产品,目前特指DDoS防护增强EIP(高防EIP)。 |
防护策略生效方式 | 防护策略(如黑白名单、区域封禁等)仅在遭受攻击且流量被清洗时生效。 | 防护策略始终生效。所有流量都会经过清洗中心处理。 |
防护能力 | 共享地域级清洗能力,中国内地地域最高可达数百Gbps。 | 可提供高达Tbps级别的全力防护能力。 |
购买特殊配置 | 购买EIP时,安全防护选择默认。 | 购买EIP时,安全防护选择DDoS防护(增强版)。 |
DDoS原生防护版本
类别 | 实例版本 | 说明 |
DDoS原生防护1.0(包年包月) | 企业版 | 已停止新购。 |
DDoS原生防护2.0(包年包月) | 中小企业普惠版、企业版 | 仅支持防护标准型云产品,不支持防护增强型云产品。
|
DDoS原生防护2.0(后付费) | 企业版 | 支持防护标准型云产品、增强型云产品。 |
版本防护能力对比
DDoS原生防护提供1.0和2.0版本,1.0版本已停止新购,下表中仅展示2.0版本的防护能力参考值。
DDoS原生防护采用“全力防护”模式,其防护能力非固定值,而是依据当前云数据中心的整体防护水位动态调整。该防护水位通常随阿里云网络基础设施的扩展而提升,但在资源紧张等特殊情况下也可能临时下降。
地域 | 原生防护2.0(包年包月)中小企业普惠版 | 原生防护2.0(包年包月)企业版 | 原生防护2.0(后付费)企业版 | ||
标准型云产品 | 标准型云产品 | 标准型云产品 | 增强型云产品 | ||
中国内地 | 华北2(北京)、华东2(上海)、 华东1(杭州)、华南1(深圳)、华北6(乌兰察布)、华北3(张家口)、华北5(呼和浩特)、华南2(河源) | 最大300 Gbps~600 Gbps。 | 最大Tbps级别。 仅华北2(北京)、华东2(上海)、华东1(杭州)支持购买。 | ||
西南1(成都)、华南3(广州)、华北1(青岛) | 最大数10Gbps。 | ||||
非中国内地 | 中国香港、新加坡、德国(法兰克福)、美国(硅谷)、美国(弗吉尼亚) | 最大100-200Gbps,更高防护需求建议使用DDoS防护增强EIP(高防EIP)。 | 最大Tbps级别。 | ||
日本(东京) | 最大数10Gbps,更高防护需求建议您使用DDoS防护增强EIP(高防EIP)。 | 最大Tbps级别。 | |||
其他地域 | 防护能力有限(小于10Gbps),建议使用DDoS防护增强EIP(高防EIP)。 | 最大Tbps级别。 | |||
版本功能对比
业务带宽由防护的所有云产品共享,其规格须大于全部受防护云产品带宽的总和。
例如,若需为3个总带宽为2000 Mbps的云产品提供防护,则应选择业务带宽大于2000 Mbps的实例。
对比项 | DDoS原生防护1.0 | DDoS原生防护2.0包年包月 | DDoS原生防护2.0后付费 | |
企业版 | 中小企业普惠版 | 企业版 | 企业版 | |
防护对象 | 阿里云产品:ECS、SLB、EIP(包含绑定NAT网关的EIP)、IPv6网关、轻量服务器、WAF、GA |
| ||
计费方式 | 包年包月,具体请参见原生防护1.0(包年包月)。 | 包年包月,具体请参见原生防护2.0(包年包月)。 | 包年包月,具体请参见原生防护2.0(包年包月)。 | 按量计费,具体请参见原生防护2.0(后付费)。 |
防护次数 | 不限次 | 2次/月 | 不限次 | 不限次 |
防护的资产地域数量 | 防护一个地域下的公网IP资产。 | 防护一个地域下的公网IP资产。 | 防护当前阿里云账号下所有地域的公网IP资产。 | 防护当前阿里云账号下所有地域的公网IP资产。 |
防护的资产网络类型 | 仅支持防护一种公网IP资产,IPv4或IPv6。 | 仅支持防护一种公网IP资产,IPv4或IPv6。 | 支持同时防护IPv4和IPv6公网IP资产。 | 支持同时防护IPv4和IPv6公网IP资产。 |
支持防护的IP数量 | 选购实例时100个起步,自由选择。 | 选购实例时,支持选择1~29。 | 选购实例时,支持选择30~2000。 如需更高规格,请联系商务经理。 | 最多2000个。 |
业务带宽 | 选购实例时自由选择带宽,支持无上限扩容。 | 选购实例时,支持选择50 Mbps~1000 Mbps。 | 选购实例时100 Mbps起步,自由选择带宽,支持无上限扩容。 |
|
SLS日志 | 支持。 | 不支持。 | 支持。 | 支持。 |
多账号管理 | 不支持。 | 不支持。 | 支持。 | 支持。 |
快速使用DDoS原生防护
常见问题
DDoS原生防护和DDoS高防有什么区别?
对比维度
DDoS原生防护
DDoS高防
核心定位
云产品的增强防护。
专业级独立防护。
接入方式
绑定已有公网IP,无需更换IP。
需将业务流量切换至高防IP。
防护能力
地域级共享,有上限(Gbps级)。
独立资源,可达Tbps级,SLA更高。
适用场景
提升基础防御,便捷、低成本。
核心业务,抵御超大规模攻击。
成本
相对较低。
相对较高。
DDoS原生防护能防御CC攻击(应用层攻击)吗?
不能。DDoS原生防护主要防御三层和四层的流量型攻击(如UDP Flood、SYN Flood等)。