文档首页 > > 产品介绍>

什么是DDoS高防?

什么是DDoS高防?

分享
更新时间:2021/02/24 GMT+08:00

DDoS高防(Advanced Anti-DDoS,AAD)是企业重要业务连续性的有力保障。当您的服务器遭受大流量DDoS攻击时,DDoS高防可以保护用户业务持续可用。DDoS高防通过高防IP代理源站IP对外提供服务,将恶意攻击流量引流到高防IP清洗,确保重要业务不被攻击中断。可服务于华为云、非华为云及IDC的互联网主机。

  • 未接入DDoS高防

    未接入高防时,源站直接对互联网暴露,一旦发生DDoS攻击,很容易导致源站瘫痪。

    图1 未接入DDoS高防示意图

  • 接入DDoS高防

    当您购买DDoS高防并将业务接入DDoS高防后,网站类业务把域名解析指向高防IP,非网站类的业务IP将替换成高防IP,DDoS高防将所有的公网流量都引流至高防IP,进而隐藏源站,避免源站(用户业务)遭受大流量DDoS攻击。

    图2 接入DDoS高防示意图

DDoS高防原理

DDoS高防服务通过高防IP代理源站IP对外提供服务,将所有的公网流量都引流至高防IP,进而隐藏源站,避免源站(用户业务)遭受大流量DDoS攻击。DDoS高防引流和转发原理示意图如下:

  • 客户

    访问源站(用户业务)的客户。

  • 源站IP

    源站服务器所使用的公网IP,也是被防护的IP地址,应避免对外暴露(泄露)。

  • 高防IP

    与源站IP相对应,用于代替源站IP来面向客户提供服务,使源站IP不直接暴露出去。

  • 回源IP

    是高防机房代替客户去和源站服务器通信的若干个IP地址(高防机房会将客户的IP随机转换成某个回源IP,并由这个回源IP代替客户IP去和源站服务器通信)。

DDoS高防为用户提供DDoS防护服务,可以防护SYN Flood、UDP Flood、ACK Flood、ICMP Flood、DNS Query Flood、NTP reply Flood、CC攻击等各类网络层、应用层的DDoS攻击。

业务架构

DDoS高防服务采用分层防御、分布式清洗,通过精细化多层过滤防御技术,可以有效检测和过滤攻击流量。网络拓扑示意图如图3所示。

图3 网络拓扑示意图

功能规格

DDoS高防的功能规格说明如表1所示,套餐内的功能规格不能降低。

如果您需要升级功能规格,请提交工单申请升级。

表1 DDoS高防功能规格

参数

说明

实例

每个用户默认最多可以购买5个实例。如果配额不足,可以提交工单申请扩大配额。

线路

提供三种线路选择:“电信联通移动”“电信联通、BGP”“BGP”

IP个数

系统自动为线路分配的IP个数,每个实例支持3个。

每个IP均为独享防护资源。

说明:

IP:高防线路IP。

防护域名数

每个实例免费提供50个域名防护数量,可以付费增加,最多可支持200个。

防护端口数

每个高防实例免费提供50个端口防护数量,可以付费增加,最多可支持200个。

保底防护带宽

保底防护带宽支持配置的范围说明如下:

  • 电信联通移动:10G~600G
  • 电信联通、BGP:10G~30G
  • BGP:10G~20G

如果需要提升防护性能,可以设置“弹性防护带宽”

说明:

DDoS高防可支持更大的防护带宽,请提交工单申请升级。

弹性防护带宽

弹性防护带宽支持配置的范围说明如下:

  • 电信联通移动:10G~600G
  • 电信联通、BGP:10G~600G
  • BGP:10G~200G

超过保底防护带宽的攻击时产生后扣费,无攻击或者攻击未超过保底防护带宽时不会产生后扣费。

攻击峰值大于所选的弹性防护带宽,则高防IP会被黑洞,在购买高防实例后,可以根据业务实际情况,修改弹性防护带宽。

说明:

弹性防护带宽不能小于保底防护带宽。如果用户选择的弹性防护带宽等于保底防护带宽,则弹性防护功能不生效。

业务带宽

业务带宽是高防机房清洗后回源给源站的业务流量带宽。

每个实例免费赠送100M业务带宽,可以付费增加,最大支持2G。即从DDoS高防到源站的回源过程会产生业务流量,如果访问流量在100M以内,可以直接免费使用。

转发协议

  • 四层协议:TCP、UDP。
  • 七层协议:HTTP/WebSocket、HTTPS/WebSockets。

接入方式

  • 网站类业务接入
    • 用于网站业务,客户通过把高防CNAME配置到DNS的方式接入高防IP。
  • 非网站类业务接入
    • 用于APP、PC客户端类业务,客户通过把高防CNAME配置到DNS或者把高防IP直接配置到客户端的方式将流量接入高防。

黑洞解封时间

DDoS高防服务黑洞解封时间默认为30分钟,具体时长与当日黑洞触发次数和攻击峰值相关,最长可达24小时。

说明:

如需提前解封,需要用户升级DDoS高防服务并联系华为技术人员。

防护对象

支持华为云、非华为云及IDC的互联网主机。

应用场景

DDoS高防服务的主要使用场景包括:娱乐(游戏)、金融、政府、电商、媒资、教育(在线)等行业:

  • 娱乐(游戏)

    娱乐(游戏)行业是DDoS攻击的重灾区,高防IP能保证游戏的可用性和持续性,提高用户体验,在商家活动、节日游戏等旺季时段提供防护。

  • 金融

    满足金融行业的合规性要求,保证线上交易的实时性、安全稳定性。

  • 政府

    满足国家政务云建设标准的安全需求,为重大会议、活动、敏感时期提供安全保障,确保民生服务正常可用,维护政府公信力。

  • 电商

    为用户访问互联网提供防护,使业务正常不中断,在电商大促等活动时段提供防护功能。

  • 企业

    保证企业站点服务持续可用,避免DDoS攻击造成经济和企业形象损失问题,降低维护费用,节省安全成本。

产品优势

DDoS高防为软件高防服务,与成本相对较高的传统硬件高防相比,业务接入DDoS高防后即可防护,且可以查看DDoS高防的防护日志,了解当前业务的网络安全状态。

DDoS高防可以防护海量DDoS攻击,具备精准、弹性、高可靠、高可用等优势。

  • 海量带宽

    5T以上DDoS高防总体防御能力,单IP最高600G防御能力,抵御各类网络层、应用层的DDoS攻击。

  • 高可用服务

    全自动检测和攻击策略匹配,实时防护;业务流量采用集群分发,性能高,时延低,稳定性好。

  • 弹性防护

    通过基础带宽+弹性带宽的购买方式,DDoS防护阈值支持弹性调整,可随时升级更高级别的防护。

  • 专业运营团队

    7*24小时运营团队随时应对;专业的运营人员随时解答您的疑问,为您的业务保驾护航。

与其他云服务的关系

  • 与消息通知服务的关系

    消息通知服务(Simple Message Notification,简称SMN)提供消息通知功能。DDoS高防开启通知设置后,当IP遭受DDoS攻击或DDoS攻击峰值超过保底防护带宽而产生弹性计费时,用户会接收到手机短信、邮箱等提醒消息(接收消息方式由用户设置)。

    有关开启告警通知的详细操作,请参见开启告警通知

  • 与企业管理的关系

    企业管理可以根据组织架构规划企业项目,将企业分布在不同区域的资源按照企业项目进行统一管理,同时可以为每个企业项目设置拥有不同权限的用户组。DDoS高防服务支持企业管理,您可以将DDoS高防服务上的资源按照企业项目进行管理,并设置每个企业项目的用户权限。

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!非常感谢您的反馈,我们会继续努力做到更好!
反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问