接入DDoS高防后的防护建议
当业务接入DDoS高防服务后,保障访问安全是非常重要的,因为这关系到源站的安全和业务的连续性。
以下是一些具体的建议,用于保护源站服务器并提升业务的可用性。
防护建议
在不同环节,您可以采取以下措施来降低业务遭受DDoS攻击的风险,提升源站服务器的安全性。主要方法如表1和表2所示。
加固操作 |
加固说明 |
---|---|
配置安全组 |
将ECS加入安全组,能有效减少无关的访问请求,降低被攻击风险,具体操作请参考加入安全组。 |
使用虚拟私有云 |
使用虚拟私有云(Virtual Private Cloud,VPC)对ECS进行网络隔离,能有效防止内网的攻击,具体操作请参考创建虚拟私有云和子网。 |
开启弹性伸缩 |
通过弹性伸缩(Auto Scaling,AS)自动调整ECS资源,可以在受到攻击时自动增加ECS实例,提升处理性能,缓解攻击影响。具体方案请参考什么是弹性伸缩。 |
加强业务监控 |
通过设置DDoS告警规则,用户可自定义监控目标与通知策略,帮助您及时了解DDoS高防防护状况,从而起到预警作用,具体操作请参考设置监控告警规则。 |
开启CDN调度 |
使用DDoS调度中心实现DDoS高防和CDN调度,业务正常访问期间,流量就近接入CDN节点加速;仅在业务受到攻击时,流量切换到DDoS高防进行清洗,确保业务稳定,缓解DDoS攻击。具体操作请参考配置CDN调度策略。 |
开启Web应用防护墙 |
将网站类应用接入Web应用防火墙(WAF),和DDoS高防进行联动防护。流量会先经过DDoS高防,再转发至WAF,实现联动防御,具体操作请参考使用WAF和DDoS高防实现域名防护。 |
开启主机防护 |
将主机接入企业主机安全(Host Security Service,HSS)进行,实时监测主机中的风险并阻止非法入侵行为,降低主机的主要安全风险。具体操作请参考接入HSS。 |
优化DNS解析 |
将业务托管到多个DNS服务商,并优化DNS解析策略,能有效缓解流量攻击。业务接入华为云DNS的方法请参考快速添加网站域名解析。 |
类别 |
业务场景 |
加固说明 |
---|---|---|
业务部署在华为云ECS |
DDoS高防→华为云ECS |
在ECS中放行所有DDoS高防的回源IP段,具体操作配置安全组规则。 查看DDoS回源IP段的方法请参考步骤二:放行高防回源IP段。 |
DDoS高防→华为云ELB→华为云ECS |
在ELB中设置访问控制策略,具体操作请参考访问控制管理。 |
|
DDoS高防→华为云WAF→华为云ECS |
在源站ECS中设置访问控制策略,只放行WAF的回源IP段,拒绝其他非WAF回源IP段的访问,具体操作请参考配置安全组规则。 查看WAF回源IP段的方法请参考如何放行云模式WAF的回源IP段。 |
|
业务部署在华为云外的服务器 |
DDoS高防→华为云外源站服务器 |
在源站服务器的安全软件中,设置源站保护策略,只放行DDoS高防的回源IP段,拒绝其他非DDoS高防回源IP段的访问。 查看DDoS回源IP段的方法请参考步骤二:放行高防回源IP段。 |