更新时间:2024-12-24 GMT+08:00

接入DDoS高防后的防护建议

当业务接入DDoS高防服务后,保障访问安全是非常重要的,因为这关系到源站的安全和业务的连续性。

以下是一些具体的建议,用于保护源站服务器并提升业务的可用性。

防护建议

在不同环节,您可以采取以下措施来降低业务遭受DDoS攻击的风险,提升源站服务器的安全性。主要方法如表1表2所示。

图1 业务架构示意图
表1 优化安全配置

加固操作

加固说明

配置安全组

将ECS加入安全组,能有效减少无关的访问请求,降低被攻击风险,具体操作请参考加入安全组

使用虚拟私有云

使用虚拟私有云(Virtual Private Cloud,VPC)对ECS进行网络隔离,能有效防止内网的攻击,具体操作请参考创建虚拟私有云和子网

开启弹性伸缩

通过弹性伸缩(Auto Scaling,AS)自动调整ECS资源,可以在受到攻击时自动增加ECS实例,提升处理性能,缓解攻击影响。具体方案请参考什么是弹性伸缩

加强业务监控

通过设置DDoS告警规则,用户可自定义监控目标与通知策略,帮助您及时了解DDoS高防防护状况,从而起到预警作用,具体操作请参考设置监控告警规则

开启CDN调度

使用DDoS调度中心实现DDoS高防和CDN调度,业务正常访问期间,流量就近接入CDN节点加速;仅在业务受到攻击时,流量切换到DDoS高防进行清洗,确保业务稳定,缓解DDoS攻击。具体操作请参考配置CDN调度策略

开启Web应用防护墙

将网站类应用接入Web应用防火墙(WAF),和DDoS高防进行联动防护。流量会先经过DDoS高防,再转发至WAF,实现联动防御,具体操作请参考使用WAF和DDoS高防实现域名防护

开启主机防护

将主机接入企业主机安全(Host Security Service,HSS)进行,实时监测主机中的风险并阻止非法入侵行为,降低主机的主要安全风险。具体操作请参考接入HSS

优化DNS解析

将业务托管到多个DNS服务商,并优化DNS解析策略,能有效缓解流量攻击。业务接入华为云DNS的方法请参考快速添加网站域名解析

表2 加固源站服务器

类别

业务场景

加固说明

业务部署在华为云ECS

DDoS高防→华为云ECS

在ECS中放行所有DDoS高防的回源IP段,具体操作配置安全组规则

查看DDoS回源IP段的方法请参考步骤二:放行高防回源IP段

DDoS高防→华为云ELB→华为云ECS

在ELB中设置访问控制策略,具体操作请参考访问控制管理

DDoS高防→华为云WAF→华为云ECS

在源站ECS中设置访问控制策略,只放行WAF的回源IP段,拒绝其他非WAF回源IP段的访问,具体操作请参考配置安全组规则

查看WAF回源IP段的方法请参考如何放行云模式WAF的回源IP段

业务部署在华为云外的服务器

DDoS高防→华为云外源站服务器

在源站服务器的安全软件中,设置源站保护策略,只放行DDoS高防的回源IP段,拒绝其他非DDoS高防回源IP段的访问。

查看DDoS回源IP段的方法请参考步骤二:放行高防回源IP段