测试3
lasttime 2022-09-01 17:43:20

产品概述

DDoS高防IP

CDNCloud高防IP是针对用户遭受大流量DDoS攻击时服务不可用的情况推出的增值服务,最大可支持2T的防护能力。当用户的域名或源站IP在遭受大流量的DDoS攻击时,可以通过高防IP代理源站IP面向用户,隐藏源站IP,将攻击流量引流到高防IP,确保源站的稳定可靠。

基本概念

源站IP: 源站服务器所使用的外网IP,也是被防护的IP地址

高防IP: 与源站IP一一对应,用于代替源站IP来面向用户,使源站IP不直接暴露出去

回源IP: 是高防数据中心代替用户去与源站服务器通信的若干个IP地址(高防数据中心会将用户的IP随机转换成某个回源IP,并由这个回源IP代替用户IP去与源站服务器通信)

高防线路:不同的线路代表机房所在的线路不同,攻击不管是电信的还是联通的或者教育网任何线路过来的都可以给引流到高防机房进行清洗。不同在于正常的访问如果是同线路则会更快,比如正常访问是电信线路的,经过电信高防,延迟会比经过联通高防更小。

高防线路:不同的线路代表机房所在的线路不同,攻击不管是电信的还是联通的或者教育网任何线路过来的都可以给引流到高防机房进行清洗。不同在于正常的访问如果是同线路则会更快,比如正常访问是电信线路的,经过电信高防,延迟会比经过联通高防更小。

使用场景

适用客户:所有需要网络安全防护的客户。

用户被黑客通过DDoS攻击以后,可以采用高防服务抗住攻击,过滤掉恶意的访问请求,让正常请求可以顺利访问网站。黑客发现攻不下的时候自然就会知难而退了。

名词解释

DDOS

分布式拒绝服务攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。

高防路线

指高防机房采用的IDC运营商,比如中国电信或者中国联通。购买高防产品后,用户的服务器采用的IDC运营商如果和高防线路一致,则网络访问的延时将比不一致的情况更小。

BGP机房

BGP机房将保证不同网络运营商(比如电信、联通或者移动)用户的高速访问。BGP的最主要功能在于控制路由的传播和选择最好的路由,使用BGP协议互联后,网络运营商的所有骨干路 由设备将会判断到IDC机房IP段的最佳路由,以保证不同网络运营商用户的高速访问。

产品优势

与传统DDoS攻击安全解决方案相比,CDNCLOUD DDoS高防具有部署简便、BGP网络质量高、防护能力大、系统稳定可用、防护精准,以及先进的AI智能防护技术等优势。

部署简便(5分钟完成部署)

根据您的业务特性,提供DNS解析和IP直接指向两种接入方式,实现网站域名和业务端口的接入防护。无需安装任何软硬件或调整路由配置,5分钟内即可完成部署和激活。

超大流量防护

最大可为单用户提供峰值2Tbps的DDoS攻击防护能力,有效抵御所有各类基于网络层、传输层及应用层的DDoS攻击。

精准防护

针对交易类、加密类、七层应用、智能终端、在线业务攻击等实现精准防护,使得威胁无处可逃。

AI智能防护

在流量清洗技术方面,分别针对网络流量型攻击和资源耗尽型DDoS攻击,通过自动优化防护算法和深度学习业务流量基线,达到精准识别攻击IP并自动过滤清洗的目的

弹性防护

DDoS防护支持弹性调整防护带宽。您可在DDoS高防管理控制台自助升级,秒级生效,且无需新增任何物理设备。同时,业务上也无需进行任何调整,整个过程服务无中断。

保护源站安全

DDoS高防使用高防IP对您的业务站点进行隐藏,使攻击者无法找到您的源站地址,从而增加源站的安全性。

网络流量型DDoS攻击防护

大量针对网络传输层的攻击会使网络堵塞、机房不可用,而使您的网络业务中断或大面积瘫痪。在传统的代理、探测、反弹、认证、黑白名单、报文合规等标准技术的基础上,DDoS高防结合IP信誉、近源清洗,以及通过对网络指纹、用户行为、内容特征的深度包检测等多种技术的应用,可实现对威胁进行阻断和自定义过滤,并保证被防护的业务在遭受持续攻击时,仍可对外正常提供服务。

资源耗尽型DDoS攻击防护(CC攻击)

当攻击使网络应用层的服务器业务中断时,DDoS高防将对应用层的资源耗尽型DDoS攻击全面集成AI智能防护引擎,通过自定义过滤频率和精细至URL级别的过滤特征来提升防护效率和成功率,同时也大大降低了安全运维人员的工作难度。AI智能防护引擎基于以下特征进行防护:

  • 自学习用户业务流量和特征

  • 动态生成正常业务基线

  • 快速发现流量和特征异常

  • 自动介入分析攻击特征

  • 自动生成多维度组合策略

  • 动态执行或撤销防护策略指令

稳定、高可用

  • DDoS高防采用高可用网络防护集群,避免单点故障和冗余,且处理性能支持弹性扩展。全自动检测和攻击策略匹配,提供实时防护,清洗服务可用性达99.99%。

  • 对流量清洗机房的所有入流量、所有服务器CPU和内存进行监控,保障机房可用性。同时,针对服务器的引擎进行可用状态监控,并且具备自动下线和恢复机制。

  • 对流量清洗机房的所有入流量、所有服务器CPU和内存进行监控,保障机房可用性。同时,针对服务器的引擎进行可用状态监控,并且具备自动下线和恢复机制。

  • 针对接入防护的源站服务器进行健康检查,一旦发现异常,自动切换。针对源站服务器的HTTP状态码进行监控,发现异常后自动启用回源或者切换等操作。

具备流量调度能力

DDoS高防服务可基于云产品的安全事件,通过DNS解析进行流量调度,实现在其他云产品未遭受DDoS攻击时不启用DDoS防护,而在遭受DDoS攻击时可以快速关联DDoS高防资源并启用DDoS防护功能。用户可根据自己的业务场景自定义配置调度模版,实现与云产品联动,自动化调度DDoS防护能力。

主要功能

名称标识
基本防护畸形数据包拦截<p><p>syn flood、ack flood、udp flood、icmp flood等防护<p>连接耗尽攻击、http get/post flood等防护<p>dns request/response flood等防护
DNS检防根据DNS查询/应答报文的NAME、TYPE、CLASS特征进行检测防护
自动检防根据算法进行基线学习、行为建模等自动检测与防护
深度防护根据源/目的IP、协议、端口、包长、标记为、包内容等条件进行深度匹配防护
访问控制根据源/目的IP、协议、端口配置三四层黑白名单、限速 ;<p><p>根据源/目的IP、协议、端口、域名、URL、User-Agent等条件配置七层黑白名单、限速
监控功能流量监控、包量监控、事件监控等
高可用功能主备部署、负载均衡等
攻击取证根据源/目的IP、协议、端口等条件实时抓包取证
一键切换一键关闭或开启防护

计费方式

付费模式: 预付费保底

计费标准: 以需要防护的流量速率峰值、防护时长形成一个计费标准。

计费周期: 可按月、年计费

应用场景

阿里云DDoS高防适用于金融、电商、门户类网站,政府互联网出口、门户与开放平台,重大线上直播、活动推广促销的DDoS攻击防护场景,以及业务遭竞争对手恶意攻击、勒索,移动业务遭恶意注册、刷单、刷流量等安全防护场景。

在上述行业中,当业务存在以下安全风险时,推荐您使用DDoS高防:

  • 遭受恶意攻击者的DDoS攻击勒索。

  • DDoS攻击已经导致业务不可用,需要紧急恢复。

  • 频繁遭受DDoS攻击,需要持续防护DDoS攻击,保护业务的稳定性。

操作指南

购买高防IP

点击CDNCloud控制台,点击左侧云安全,选择高防IP

点击购买高防IP

参数说明
保底防护带宽高防机房基础的防护峰值,攻击在保底值范围内的不再额外收费。
弹性防护带宽最大防护峰值,和保底防护带宽一致,当超过最大限额时将停止防护,封堵高防IP。
业务带宽业务带宽不够用时,可能会丢包或者影响业务,
协议支持防护实例允许接入的业务类型,若协议为HTTP,则允许接入HTTP协议类型的业务。
CC防护IP数每小时可防御的CC攻击IP数。
防护主域名数防护域名数是当前实例可添加的HTTP/HTTPS域名数量。
防护子域名数防护子域名数是当前实例下可添加的域名数量,支持泛域配置300Gbps防护以内不支持扩容防护域名数,需升级至300Gbps防护及以上才支持付费扩容

核实已选配置,然后付费

管理高防IP

点击编辑,可查看高防IP详情

设置转发规则

设置完转发规则,即可使用正常使用啦!

常见问题

1 高防服务是否可以试用,有什么规定或限制吗?

不支持试用。

2 购买高防服务后,没有受到攻击收不收费?

如果您已经购买高防服务,无论您是否接入或受到攻击,我们将从购买时间开始计费。

3 如果遭遇的攻击流量峰值超过了已购买的高防服务防护峰值,该怎么办?

如果攻击流量峰值超过了购买的防护峰值,相应的高防IP也会触发自动封堵机制,一般会在封堵30分钟后自动解封。

为了不影响您的业务,您可以采用补差价升级防护套餐的方式来提高防护峰值、改善防护效果。升级生效后,如果被封堵的高防IP未自动解封,可向我们申请提前解封。

4 非80端口的网站是否可以接入高防服务?

可以。高防服务除了支持常用的80、443端口外,还支持一些自定义的端口,内地高防无需配置端口默认即可支持,如有问题可联系我们。

5 接入高防是否会和其他软防或硬防产生冲突?

接入高防后,需要在相应软防或硬防里将高防回源IP放行。

6 使用高防服务后,为什么ping出来的IP不是源站IP?

开启高防服务后,ping网站域名显示的将是高防服务的IP,源站IP会被隐藏起来了,使攻击者无法直接攻击源站IP。(请注意源站IP不要泄露或直接对外提供服务)

7 使用高防服务后,如何使用FTP/SSH/3389远程桌面等服务?

可以直接使用源站IP来连接FTP、SSH及3389远程桌面。

8 使用高防服务后,更换了源站IP需要在高防配置界面做更改吗?

更换源站IP时,需要在对应高防界面上同步变更配置。

9 使用高防服务后,为什么建议更换一下源站IP?

因为在接入高防前,您的源站IP可能已经暴露,攻击者可以直接对该IP进行攻击,攻击流量将直接到达源站。

所以,在使用高防服务后,建议更换一下源站IP,使得新的源站IP被高防服务隐藏并防护着。

10 可以临时关闭防护吗?

内地高防在页面上不支持关闭防护,可以自行将业务切出高防来关闭防护。

11 如何切出高防服务?

不同业务切出方式不同,如站点业务可将域名解析会源站IP即可,其他业务只要保证不再使用高防IP接入业务即为切出高防。


相关文档
上一篇:测试2
下一篇:无
猜你想看