阿里云云安全acp认证知识点之DDoS高防
摘要:DDoS高防是阿里云云安全acp认证第2章DDoS防护的知识点之一,本文将DDoS高防(新BGP&国际)这个知识点的内容进行了整理,希望能帮助考生快速理解和掌握该知识点的内容。
DDoS高防(新BGP&国际)
什么是DDoS高防(新BGP&国际)
DDoS高防(Anti-DDoS)是阿里云提供的DDoS攻击代理防护服务。当您的互联网服务器遭受大流量的DDos攻击时,DDoS高防可以保护其应用服务持续可用。DDoS高防通过DNS解析调度流量到阿里云高防网络,代理接入阿里云DDoS防护系统,抵御流量型和资源耗尽型DDoS攻击。
工作原理
DDoS高防支持通过DNS解析和IP直接指向两种引流方式,实现网站域名和业务端口的接入防护。根据您在DDoS高防中为业务配置的转发规则,DDoS高防将业务的DNS域名解析或业务IP指向DDoS高防实例IP或CNAME地址进行引流。
来自公网的访问流量都将优先经过高防机房,恶意攻击流量将在高防流量清洗中心进行清洗过滤,正常的访问流量通过端口协议转发的方式返回给源站服务器,从而保障源站服务器的稳定访问。
DDoS高防服务类型
根据要接入DDoS高防进行防护的业务服务器部署地域的不同,DDoS高防提供新BGP(Anti-DDoS Pro)和国际(Anti-DDoS Premium)两种解决方案。
DDoS高防(新BGP):适用于业务服务器部署在中国内地地域的场景。采用中国内地独有的T级八线BGP带宽资源,为接入防护的业务防御超大流量的DDoS攻击。
DDoS高防(国际):适用于业务服务部署在中国内地以外地域的场景。依托世界领先的分布式近源清洗能力,为接入防护的业务提供不设上限的DDoS攻击全力防护能力。
产品优势
与传统DDoS攻击安全解决方案相比,阿里云DDoS高防具有部署简便、BGP网络质量高、防护能力大、系统稳定可用、防护精准,以及先进的AI智能防护技术等优势。
部署简便(5分钟完成部署)。根据您的业务特性,提供DNS解析和IP直接指向两种接入方式,实现网站域名和业务端口的接入防护。无需安装任何软硬件或调整路由配置,5分钟内即可完成部署和激活。
海量防御带宽资源。DDoS高防拥有中国内地超过8 Tbps、海外及港澳台地区超过2 Tbps的海量防御带宽资源,有效抵御所有各类基于网络层、传输层及应用层的DDoS攻击。
精准防护。针对交易类、加密类、七层应用、智能终端、在线业务攻击等实现精准防护,使得威胁无处可逃。
AI智能防护。在流量清洗技术方面,分别针对网络流量型攻击和资源耗尽型DDoS攻击,通过自动优化防护算法和深度学习业务流量基线,达到精准识别攻击IP并自动过滤清洗的目的。
弹性防护。DDoS防护支持弹性调整防护带宽。您可在DDoS高防管理控制台自助升级,秒级生效,且无需新增任何物理设备。同时,业务上也无需进行任何调整,整个过程服务无中断。
保护源站安全。DDoS高防使用高防IP对您的业务站点进行隐藏,使攻击者无法找到您的源站地址,从而增加源站的安全性。
网络流量型DDoS攻击防护。大量针对网络传输层的攻击会使网络堵塞、机房不可用,而使您的网络业务中断或大面积瘫痪。在传统的代理、探测、反弹、认证、黑白名单、报文合规等标准技术的基础上,DDoS高防结合IP信誉、近源清洗,以及通过对网络指纹、用户行为、内容特征的深度包检测等多种技术的应用,可实现对威胁进行阻断和自定义过滤,并保证被防护的业务在遭受持续攻击时,仍可对外正常提供服务。
资源耗尽型DDoS攻击防护(CC攻击)。当攻击使网络应用层的服务器业务中断时,DDoS高防将对应用层的资源耗尽型DDoS攻击全面集成AI智能防护引擎,通过自定义过滤频率和精细至URL级别的过滤特征来提升防护效率和成功率,同时也大大降低了安全运维人员的工作难度。AI智能防护引擎基于以下特征进行防护:
自学习用户业务流量和特征;
动态生成正常业务基线;
快速发现流量和特征异常;
自动介入分析攻击特征;
自动生成多维度组合策略;
动态执行或撤销防护策略指令;
稳定、高可用:
DDoS高防采用高可用网络防护集群,避免单点故障和冗余,且处理性能支持弹性扩展。全自动检测和攻击策略匹配,提供实时防护,清洗服务可用性达99.99%。
对流量清洗机房的所有入流量、所有服务器CPU和内存进行监控,保障机房可用性。同时,针对服务器的引擎进行可用状态监控,并且具备自动下线和恢复机制。
针对回源链路进行可用性监控,一旦发现不稳定,自动切换至备用链路,保障链路可用性。
针对接入防护的源站服务器进行健康检查,一旦发现异常,自动切换。针对源站服务器的HTTP状态码进行监控,发现异常后自动启用回源或者切换等操作。
具备流量调度能力。DDoS高防服务可基于云产品的安全事件,通过DNS解析进行流量调度,实现在其他云产品未遭受DDoS攻击时不启用DDoS防护,而在遭受DDoS攻击时可以快速关联DDoS高防资源并启用DDoS防护功能。用户可根据自己的业务场景自定义配置调度模版,实现与云产品联动,自动化调度DDoS防护能力。
应用场景
阿里云DDoS高防适用于金融、电商、门户类网站,政府互联网出口、门户与开放平台,重大线上直播、活动推广促销的DDoS攻击防护场景,以及业务遭竞争对手恶意攻击、勒索,移动业务遭恶意注册、刷单、刷流量等安全防护场景。
在上述行业中,当业务存在以下安全风险时,推荐您使用DDoS高防:
遭受恶意攻击者的DDoS攻击勒索。
DDoS攻击已经导致业务不可用,需要紧急恢复。
频繁遭受DDoS攻击,需要持续防护DDoS攻击,保护业务的稳定性。
DDoS攻击损失保障
DDoS高防支持DDoS攻击损失保障服务,防止由于DDoS攻击导致您受DDoS高防保护的云服务器ECS、负载均衡SLB实例因使用量激增而产生额外的费用。如果为了响应DDoS攻击,这些受保护的实例产生了额外的后付费流量,您可以提交工单申请代金券补偿。
选型参考
阿里云基于多年的DDoS攻防经验和领先的安全技术,提供多款正式商用的DDoS防护解决方案供您选择,满足您业务中对各类DDoS攻击安全防护场景的需求。
适合的防御场景
| 防御场景 | 场景特点 | 防护能力介绍 | 选择版本套餐 |
| 防御高风险DDoS攻击(推荐使用DDoS高防) | 金融、电商、门户类网站,政府互联网出口、门户与开放平台,重大线上直播、活动推广促销的DDoS攻击防护场景。 遭受恶意攻击者的DDoS攻击勒索。 DDoS攻击已经导致您的业务不可用,需要紧急恢复。 频繁遭受DDoS攻击,需要持续防护DDoS攻击,保护业务的稳定性。 移动业务遭恶意注册、刷单、刷流量等安全防护场景。 | 可以解决公有云上服务器(包括非阿里云主机)遭受大流量DDoS攻击的问题。通过DNS解析方式牵引流量到阿里云全球DDoS防护网络,清洗流量型和资源耗尽型DDoS攻击,隐藏被保护的源站服务器。 | 参考以下说明选择DDoS高防的版本套餐: 1、业务服务器部署在中国内地,且主要服务于中国内地的用户,推荐使用DDoS高防(新BGP)专业版。 2、业务服务器部署在中国内地以外,且主要服务于中国内地以外的用户,推荐使用DDoS高防(国际)保险版或无忧版。 3、业务服务器部署在中国内地以外,但主要服务于中国内地的用户,推荐使用DDoS高防(国际)出海套餐或DDoS高防(国际)安全加速线路。 |
| 防御(大规模业务)低风险DDoS攻击(推荐使用DDoS原生防护) | 业务资源部署在阿里云环境。
业务规模较大。例如,业务带宽大于1 Gbps,HTTP和HTTPS业务QPS大于5,000。 需要保护的公网IP数量多。 偶尔遭受DDoS攻击。 具有IPv6访问流量的防护需求。 | 直接提升阿里云ECS、SLB、WAF、EIP等云产品公网IP的DDoS防护能力。基于阿里云原生防护网络,不改变源站服务器IP地址,透明防护流量型DDoS攻击。 | 参考以下说明选择DDoS原生防护的套餐版本: 1、基础版默认开启。 2、如果基础版提供的5 Gbps防御能力不能满足业务需求,推荐您使用DDoS原生防护企业版。 如果只需要防御DDoS攻击,推荐使用负载均衡+原生防护企业版的部署方式,由负载均衡丢弃未监听协议和端口的流量,获得更好的防护效果。 如果需要防御DDoS攻击和Web攻击、CC攻击,推荐使用Web应用防火墙+原生防护企业版的部署方式,由WAF防御CC攻击、DDoS原生防护企业版防御流量攻击,获得更好的防护效果。 |
| 防御移动端业务为主的DDoS攻击(推荐使用游戏盾) | 主要业务为移动端游戏业务。 具备集成阿里云SDK的能力。 业务实时性要求高,对自定义传输协议存在精细化防护需求。 具有网络传输加速需求。 具有网络加密传输需求。 需要追溯DDoS攻击的来源。 | 针对游戏行业面对的大规模DDoS、CC攻击提供防御能力。通过集成阿里云安全轻量级SDK,彻底解决App类业务的DDoS和CC攻击(包括游戏行业特有的TCP协议的CC攻击)问题。 | 无 |
延伸阅读
- 阿里云ACP认证证书对找工作有用吗?就业前景如何?
- 阿里云ACP认证有用吗?含金量怎么样?
- 阿里云ACP认证含金量高吗?有必要考吗?
- 阿里云ACP认证有用吗?阿里云ACP认证有什么用?
- 阿里云ACP认证好考吗?含金量怎么样?
- 2024年阿里云弱电高级运维工程师认证怎么改时间和日期?
阿里云认证微信公众号
阿里云认证备考资料免费领取
去领取
专注在线职业教育23年
APP 
微信群 
QQ群 
扫描二维码
扫描二维码
