如何选择DDoS防护产品
针对DDoS攻击,华为云提供多种安全防护方案,您可以根据您的实际业务选择合适的防护方案。华为云DDoS防护服务(Anti-DDoS Service,简称AAD)提供了DDoS原生基础防护(Anti-DDoS流量清洗)、DDoS原生高级防护和DDoS高防三个子服务。
其中,Anti-DDoS流量清洗为免费服务,DDoS原生高级防护和DDoS高防为收费服务。
各服务防护方案说明
各子服务详细介绍如表1所示。
| 子服务 | 简介 | 应用场景 | DDoS攻击防御能力 |
|---|---|---|---|
| DDoS原生基础防护(Anti-DDoS流量清洗) | 通过对互联网访问公网IP的业务流量进行实时监测,及时发现异常DDoS攻击流量。在不影响正常业务的前提下,根据用户配置的防护策略,清洗掉攻击流量。同时,Anti-DDoS为用户生成监控报表,清晰展示网络流量的安全状况。 | 使用华为云即可使用Anti-DDoS流量清洗服务,可以满足华为云内弹性公网IP(IPv4和IPv6)较低安全防护需求。 | 为普通用户免费提供2Gbps的DDoS攻击防护,最高可达5Gbps(具体视华为云可用带宽情况)。 2Gbps是流量峰值,即Anti-DDoS防护流量达到的最大值。 说明: 华为云各区域的防护阈值保持一致。 |
| DDoS原生高级防护 | 为提升华为云ECS、ELB、WAF、EIP等云服务的DDoS防御能力,华为云推出DDoS原生高级防护。 DDoS原生高级防护对华为云上的IP生效,无需更换IP地址,通过简单的配置,提供的安全能力就可以直接加载到云服务上,提升云服务的安全防护能力。 | DDoS原生高级防护适用于部署在华为云服务上,且华为云服务有公网IP资源的业务,能够满足业务规模大、对网络质量要求高的用户。 DDoS原生高级防护适用于具有以下特征的业务:
须知: DDoS原生高级防护和WAF联动防护时,只能和云模式WAF配合使用,详细操作请参见华为云“DDoS原生高级防护+云模式WAF(ELB接入)”联动防护。 | |
| DDoS高防 | DDoS高防通过高防IP代理源站IP对外提供服务,将所有的公网流量都引流至高防IP,进而隐藏源站,避免源站(用户业务)遭受大流量DDoS攻击。 | 支持华为云、非华为云及IDC的互联网主机。 DDoS高防服务适用于如下场景: 业务频繁遭受DDoS攻击,需要持续性的防护,保障业务的连续性。 须知:
| 15T以上DDoS高防总体防御能力,单IP最高1T防御能力,抵御各类网络层、应用层的DDoS攻击。
|
服务版本差异
| 产品 | DDoS原生基础防护 | DDoS原生高级防护 | DDoS高防 |
|---|---|---|---|
| 计费类型 | 免费 | 包年包月,支持干净流量按需计费。 | 包年包月,支持“保底+弹性”防护带宽。 |
| 防护对象 | 华为云内EIP |
| 中国大陆:互联网可访问域名或IP端口 中国大陆外:互联网可访问域名或IP端口 |
| 接入模式 | 透明接入,华为云原生网络防护,时延低。 | 透明接入,华为云原生网络防护,时延低。 | DNS牵引接入或IP接入,多线BGP,防护能力强。 |
| 防护能力 |
| 20Gbps到1Tbps,不同实例规格防护能力不同。 具体防护能力请参见表2。 | 最高可达1Tbps。 不同接入类型实例不可混用,具体请参见表3。 |
| 防护攻击类型 |
|
|
|
| 类别 | DDoS原生防护1.0 | DDoS原生防护2.0 | |||
|---|---|---|---|---|---|
| 版本 | 标准版 | 全力防基础版 | 全力防高级版 | 企业版 | 中小企业版 |
| 计费类型 | 包年包月 | 包年包月 | 包年包月 |
|
|
| 防护对象 | 华为云全动态BGP EIP | 华为云全动态BGP EIP | DDoS防护专属EIP |
| 中国大陆:全动态BGP EIP、DDoS防护专属EIP |
| 防护区域 | 单区域防护 | 单区域防护 | 单区域防护 |
| 中国大陆:国内任选1个区域的资源进行防护。 |
| 支持协议 | 单实例同时支持IPv4和IPv6 | 单实例同时支持IPv4和IPv6 | 单实例仅支持IPv4 | 单实例同时支持IPv4和IPv6 | 单实例仅支持IPv4或IPv6其中一种,不支持同时选择 |
| 对象数量(每个实例) | 1个 | 50-500个 | 50-500个 | 50-1000个 | 1-1000个 |
| 业务带宽 | 100Mbps | 100Mbps-20Gbps | 100Mbps-10Gbps | 100Mbps-20Gbps | 50Mbps-20Gbps |
| 防护次数 | 10次 | 无限制 | 无限制 | 无限制 | 2次 |
| 防护能力 | 20Gbps |
|
| 中国大陆
中国大陆外
| 中国大陆
|
| 项目 | DDoS高防-网站类 | DDoS高防-IP接入 |
|---|---|---|
| 计费类型 | 包年包月 | 包年包月 |
| 防护对象 | 互联网可访问的域名 | 互联网可访问的IP端口 |
| 防护区域 | 中国大陆、中国大陆外 | 中国大陆、中国大陆外 |
| 支持协议 |
| |
| 对象数量(每个实例) |
|
|
| 业务带宽 | 最大2000Mbps | 最大2000Mbps |
| 弹性业务带宽 | 支持 | 支持 |
| 防护能力 | 最大1Tbps | 最大1Tbps |
| QPS | 最大100000QPS | - |
各服务支持的DDoS攻击类型
| DDoS攻击类型 | 攻击类型说明 | DDoS原生基础防护(Anti-DDoS流量清洗) | DDoS原生高级防护 | DDoS高防 |
|---|---|---|---|---|
| 畸形报文 | 畸形报文攻击指通过发送不正确格式或异常的网络数据包,利用目标系统的漏洞,导致系统崩溃、服务中断或安全漏洞。常见的畸形报文攻击类型包括Ping of Death、Teardrop攻击、SYN Flood攻击、UDP Flood攻击、TCP Fragment Overlap攻击和IP Spoofing攻击。 | √ | √ | √ |
| 传输层DDoS攻击 | 传输层DDoS攻击指通过大量恶意流量淹没目标系统的网络带宽和资源,导致服务中断或响应延迟。常见的传输层DDoS攻击类型包括SYN Flood攻击、ACK Flood攻击、RST Flood攻击、UDP Flood攻击、TCP连接耗尽攻击和TCP SYN-ACK Flood攻击。 | √ SYN Flood攻击(小包攻击)防御效果一般,推荐使用DDoS原生高级防护或DDoS高防。 | √ | √ |
| DNS DDoS攻击 | DNS DDoS攻击指通过大量恶意流量淹没DNS服务器,导致域名解析失败,影响网站和应用的可用性。常见的DNS DDoS攻击类型包括DNS Flood攻击、DNS放大攻击、DNS缓存中毒攻击、DNS反射攻击、DNS水坑攻击和DNS隧道攻击。 | × | × | √ |
| 连接型DDoS攻击 | 连接型DDoS攻击指通过大量建立和维持连接,消耗目标系统的连接资源,使其无法处理新的合法连接请求,导致服务中断或响应延迟。常见的连接型DDoS攻击类型包括SYN Flood攻击、Slowloris攻击、RUDY攻击、HTTP GET Flood攻击、TCP连接耗尽攻击和HTTP慢速攻击。 | × | 仅全力防高级版支持 | √ |
| Web应用层DDoS攻击 | Web应用层DDoS攻击指通过大量恶意请求消耗目标系统的应用资源,导致服务中断或响应延迟。常见的Web应用层DDoS攻击类型包括HTTP Flood攻击、慢速攻击(Slowloris攻击)、RUDY攻击、HTTP慢速攻击、API滥用攻击和CC攻击(Challenge Collapsar攻击)。 | × | × | √ |
- √:表示支持。
- ×:表示不支持。
DDoS攻击防护效果建议
随着DDoS攻击形态持续演变,华为云DDoS防护服务针对DDoS攻击提供了安全防护方案,产品包含DDoS原生基础防护、DDoS原生防护和DDoS高防三个版本,您可以根据实际业务选择合适的防护方案。
- DDoS原生基础防护:根据业务流量调整合适的清洗阈值。具体操作请参见设置流量清洗阈值拦截攻击流量。
- DDoS原生防护:您可以根据业务提前设置基础防护、IP黑白名单、指纹过滤、端口封禁、协议封禁、水印防护、高级防护、区域封禁、攻击过滤等防护策略。具体操作请参考防护策略概述。
- DDoS高防:DDoS高防提供了丰富的防护策略,您可以根据业务场景选择适合的防护策略。具体操作请参考防护策略概述。
