为遭受攻击的IP开通DDoS原生防护
应用场景
如果华为云提供的基础防护能力无法阻挡DDoS攻击时,您可以开通DDoS原生高级防护,保障您的业务免受攻击影响。
DDoS原生高级防护(Cloud Native Anti-DDoS,CNAD)是华为云推出的针对华为云ECS、ELB、WAF、EIP等云服务直接提升其DDoS防御能力的安全服务。DDoS原生高级防护针对华为云上的EIP生效,通过简单的配置,DDoS原生高级防护提供的安全能力就可以直接加载到云服务上,提升云服务的安全防护能力,确保云服务上的业务安全可靠。
前提条件
- 请保证账户有足够的资金,防止购买实例失败。具体操作请参见账户充值。
- 请确保已为账号赋予相关权限。具体操作请参见创建用户并授权使用CNAD。
- 参考购买弹性云服务器创建一台ECS服务器。
- 已购买EIP,详细请参考获取EIP。
资源与成本规划
| 资源 | 资源说明 | 数量 | 成本说明 |
|---|---|---|---|
| 弹性云服务器 | 绑定EIP。 | 1 | ECS的计费方式及标准请参考ECS计费说明。 |
| DDoS原生高级防护 | 用于提供DDoS攻击防护。 | 1 | DDoS原生高级防护的计费方式及标准请参考DDoS防护AAD计费说明。 |
步骤一:购买原生防护实例
- 登录AAD服务控制台。
- 在界面右上角,单击“购买DDoS防护”,进入“购买DDoS防护”页面。
- 设置购买参数后,单击“立即购买”,根据提示完成支付。下面以DDoS原生防护2.0实例类型为例:
表2 参数说明 参数
示例
说明
实例类型
DDoS原生防护2.0
需要购买的实例类型。用户根据自己需求购买,实例类型分为“DDoS原生防护1.0”、“DDoS原生防护2.0”。
版本规格
企业版
需要购买的版本类型。仅支持“DDoS原生防护2.0”实例。
防护区域
中国大陆
- 中国大陆:适用于业务服务器部署在中国大陆的场景(支持跨Region),仅支持全动态BGP EIP。
- 中国大陆外:适用于业务服务器部署在亚太地区(当前支持香港)的场景,仅支持优选BGP EIP。
公网线路计费模式
按需计费
- 包年包月:按订单的购买周期,需要用户预先支付一定时长的费用,按照业务带宽计费。
- 按需计费:按照每天实际产生的干净流量计费。
业务带宽
100Mbps
业务带宽是指高防机房清洗后回源给源站的干净业务流量带宽。建议此业务带宽规格大于或等于源站出口带宽,否则可能会导致丢包或者影响业务。
公网线路计费模式为包年包月才有该参数。
弹性业务带宽
月95计费
支持弹性的业务带宽值,当业务流量超出业务带宽时确保实例也能正常防护。
计量规则
干净流量
干净流量是指未被污染的正常业务流量,不包含攻击流量。
防护IP数
50
防护IP数是指每个DDoS原生高级防护实例支持防护的EIP数量,建议根据您的云资源拥有的EIP数量进行评估。
防护IP取值范围50~500。
实例名称
CNAD-test
购买的实例名称,自定义。
只能由中文字符、英文字母、数字、下划线、中划线组成,且长度小于等于32个字符。
企业项目
-
仅当使用企业类型的账号购买时,会显示该参数,请根据实际选择。
购买时长
-
购买的时长,请根据实际选择。
购买数量
-
购买的数量,请根据实际选择。
- 支付完成后,返回控制台,进入“DDoS原生高级防护 > 实例列表”页面。查看列表中已显示购买实例。
步骤二:创建防护策略
原生高级防护支持多种防护策略,此处以清洗策略为例。更多防护策略配置请参考添加防护策略。
- 在左侧导航栏选择,进入“防护策略”页面。
- 单击“创建策略”,创建一个策略。
表3 参数说明 参数
示例
说明
策略名称
Policy01
防护策略的名称,自定义。
所属实例
选择3中购买的实例。
防护策略需要防护的目标实例。
- 在创建的策略所在行,单击“配置策略”,进入“策略内容”页面。
- 在“基础防护”下方,单击“设置”。 图1 基础防护
- 在弹出的“基础防护设置”对话框中,设置流量清洗档位和防御模式。 图2 基础防护设置
表4 参数说明 参数
示例
说明
流量清洗档位
300Mbps
当IP遭受的DDoS攻击带宽超过配置的清洗档位时,触发DDoS原生高级防护对攻击流量进行清洗。
建议选择与已购买带宽最接近的数值,但不超过已购买带宽。
防御模式
正常
流量达到设定的流量档位,将会触发流量清洗。
- 宽松:流量达到清洗档位的3倍后触发清洗。
- 正常:流量达到清洗档位的2倍后触发清洗。
- 严格:流量达到清洗档位就触发流量清洗。
- 单击“确定”。
步骤三:添加防护对象
- 在左侧导航栏选择,进入DDoS原生高级防护“实例列表”页面。
- 在“选择实例”中,选择3中购买的实例。
- 单击“设置防护对象”,进入“防护对象”界面。
- 单击页面左上角“添加防护对象”,进入“添加防护对象”页面。
表5 参数说明 参数
说明
实例名称
选择需要添加防护对象的实例。
防护策略
选择需要添加防护对象的防护策略。
添加方式
- “批量选择”:根据资产类型和搜索栏进行搜索后,勾选添加。
- “批量导入”:手动输入IP地址,多个IP地址之间可用半角逗号(,)、半角分号(;)、换行符(Enter键)或空格进行隔开。
- 单击“确定”。返回“防护对象”页面,查看防护列表已有新添加的防护对象。