使用ELB和DDoS原生高级防护提升ECS防御DDoS攻击能力
应用场景
DDoS原生高级防护可以提升华为云弹性云服务器ECS、弹性负载均衡ELB等云服务的DDoS防御能力,确保云服务上的业务安全。
通过部署负载均衡ELB,并将ELB的的公网IP地址接入DDoS原生高级防护,可以大幅度提高对不同类型DDoS攻击的防御能力。
方案架构
当您的网站类业务部署在华为云ECS上时,您可以为网站业务配置“DDoS原生高级防护+ELB”联动防护,即ECS源站服务器部署ELB后将ELB的公网IP添加到DDoS原生高级防护实例进行防护,进一步提升ECS防御DDoS攻击能力。
方案优势
相比直接为ECS开启DDoS原生高级防护,“DDoS原生高级防护+ELB”联动防护通过ELB丢弃未监听协议和端口的流量,对不同类型的DDoS攻击(例如,SSDP、NTP、Memcached等反射型攻击、UDP Flood攻击、SYN Flood大包攻击)有更好的防御效果,可以大幅度提升ECS防御DDoS攻击能力,确保用户业务安全、可靠。
约束与限制
ELB部署在支持购买DDoS原生高级防护实例的区域(例如,华北-北京四)。
资源和成本规划
|
资源 |
资源说明 |
数量 |
成本说明 |
|---|---|---|---|
|
弹性负载均衡ELB |
用于将访问流量分发到后端ECS服务器,缓解DDoS攻击造成的单点故障。 |
1 |
ELB的计费方式及标准请参考ELB计费说明。 |
|
DDoS原生高级防护 |
用于接入ELB的公网IP,防护DDoS攻击。 |
1 |
DDoS原生高级防护的计费方式及标准请参考DDoS防护AAD计费说明。 |
实施步骤
- 创建一个负载均衡实例,具体操作请参考创建负载均衡实例。
表1 关键参数说明 参数
说明
“区域”
选择与ECS实例相同的区域。
“弹性公网IP”
选择“现在购买”。
“线路”
选择“全动态BGP”。
- 获取创建的负载均衡实例的公网IP地址,如图2所示。
- 在与ECS实例相同的区域购买DDoS原生高级防护实例。
- 在左侧导航栏选择,进入DDoS原生高级防护“实例列表”页面。
图3 实例列表
- 在目标实例所在框的右上方,单击“设置防护对象”。
- 在弹出的“设置防护对象”对话框中,勾选2中ELB的EIP后,单击“确定”。
成功添加防护对象后,您可以为防护对象配置防护策略。DDoS原生高级防护将为ECS源站服务器提供DDoS攻击全力防护能力,在业务遭受DDoS攻击时,自动触发流量清洗。
有关配置防护策略的详细操作,请参见添加防护策略。
