什么是DDoS高防

什么是DDoS高防

DDoS高防(Advanced Anti-DDoS)是企业重要业务连续性的有力保障。当您的服务器遭受大流量DDoS攻击时,DDoS高防可以保护用户业务持续可用。DDoS高防通过高防IP代理源站IP对外提供服务,将恶意攻击流量引流到高防IP清洗,确保重要业务不被攻击中断。可服务于华为云、非华为云及IDC的互联网主机。

DDoS高防(Advanced Anti-DDoS)是企业重要业务连续性的有力保障。当您的服务器遭受大流量DDoS攻击时,DDoS高防可以保护用户业务持续可用。DDoS高防通过高防IP代理源站IP对外提供服务,将恶意攻击流量引流到高防IP清洗,确保重要业务不被攻击中断。可服务于华为云、非华为云及IDC的互联网主机。

一、DDoS高防介绍

DDoS高防(Advanced Anti-DDoS)是企业重要业务连续性的有力保障。当您的服务器遭受大流量DDoS攻击时,DDoS高防可以保护用户业务持续可用。DDoS高防通过高防IP代理源站IP对外提供服务,将恶意攻击流量引流到高防IP清洗,确保重要业务不被攻击中断。可服务于华为云、非华为云及IDC的互联网主机。

未接入DDoS高防

未接入高防时,源站直接对互联网暴露,一旦发生DDoS攻击,很容易导致源站瘫痪。

图1 未接入DDoS高防示意图


接入DDoS高防

当您购买DDoS高防并将业务接入DDoS高防后,网站类业务把域名解析指向高防IP,非网站类的业务IP将替换成高防IP,DDoS高防将所有的公网流量都引流至高防IP,进而隐藏源站,避免源站(用户业务)遭受大流量DDoS攻击。

图2 接入DDoS高防示意图


DDoS高防原理

DDoS高防服务通过高防IP代理源站IP对外提供服务,将所有的公网流量都引流至高防IP,进而隐藏源站,避免源站(用户业务)遭受大流量DDoS攻击。DDoS高防引流和转发原理示意图如下:

客户

访问源站(用户业务)的客户。

源站IP

源站服务器所使用的公网IP,也是被防护的IP地址,应避免对外暴露(泄露)。

高防IP

与源站IP相对应,用于代替源站IP来面向客户提供服务,使源站IP不直接暴露出去。

回源IP

是高防机房代替客户去和源站服务器通信的若干个IP地址(高防机房会将客户的IP随机转换成某个回源IP,并由这个回源IP代替客户IP去和源站服务器通信)。

DDoS高防为用户提供DDoS防护服务,可以防护SYN Flood、UDP Flood、ACK Flood、ICMP Flood、DNS Query Flood、NTP reply Flood、CC攻击等各类网络层、应用层的DDoS攻击。

业务架构

DDoS高防服务采用分层防御、分布式清洗,通过精细化多层过滤防御技术,可以有效检测和过滤攻击流量。网络拓扑示意图如图3所示。

图3 网络拓扑示意图

二、功能规格

参数
说明

接入类型

提供两种接入方式:“网站类”和“IP接入”。

说明:网站类:华为云通过智能算法为您选择最佳接入点,并且不再提供固定的高防IP。推荐使用“域名接入”的用户购买并使用。

IP接入:仅提供IP端口防护,提供固定的高防IP。推荐使用“四层转发规则”的用户购买并使用。

实例

每个用户默认最多可以购买5个实例。如果配额不足,可以提交工单申请扩大配额。

IP个数

系统自动为线路分配的IP个数。

每个IP均为独享防护资源。

说明:IP:高防线路IP。

防护域名数

每个实例免费提供50个域名防护数量。可以付费增加,最多可支持200个。如果配额不足,请您提交工单申请扩大配额。

须知:

域名个数为一级域名(例如,example.com)、单域名/子域名(例如,www.example.com)和泛域名(例如,*.example.com)的总数。即每个DDoS高防实例可以防护50个单域名或泛域名,也可以防护1个一级域名和49个与其相关的子域名或泛域名。

防护端口数

每个高防实例免费提供50个转发端口防护数量。可以付费增加,最多可支持200个。如果配额不足,请您提交工单申请扩大配额。

保底防护带宽

保底防护带宽支持配置的范围说明如下:

  1. 华东2 华东3:10G、20G
  2. 华北1 华东1:10G、20G、30G、60G、100G、300G、400G、500G、600G、800G、1000G

如果需要提升防护性能,可以设置“弹性防护带宽”。

弹性防护带宽

每个实例的弹性防护带宽每天可以修改3次。弹性防护带宽支持配置的范围说明如下:

  1. 华东2 华东3:10G、20G、30G、40G、50G、60G、70G、80G、100G、150G、200G
  2. 华北1 华东1:10G、20G、30G、40G、50G、60G、70G、80G、100G、200G、300G、400G、500G、600G、700G、800G、1000G

当攻击超过保底防护带宽时扣费,无攻击或者攻击未超过保底防护带宽时不会产生扣费。

攻击峰值大于所选的弹性防护带宽,则高防IP会被黑洞,在购买高防实例后,可以根据业务实际情况,修改弹性防护带宽。

说明:

弹性防护带宽不能小于保底防护带宽。如果用户选择的弹性防护带宽等于保底防护带宽,则弹性防护功能不生效。

业务带宽

业务带宽是高防机房清洗后回源给源站的业务流量带宽。

每个实例免费赠送100Mbps业务带宽,可以付费增加,最大支持2Gbps。即从DDoS高防到源站的回源过程会产生业务流量,如果访问流量在100Mbps以内,可以直接免费使用。

黑洞解封时间

DDoS高防服务黑洞解封时间默认为30分钟,具体时长与当日黑洞触发次数和攻击峰值相关,最长可达24小时。

说明:

如需提前解封,需要用户升级DDoS高防服务并联系华为技术人员。

防护对象

支持华为云、非华为云及IDC的互联网主机。

三、应用场景

DDoS高防服务的主要使用场景包括:娱乐(游戏)、金融、政企、电商、媒资、教育(在线)等行业:

娱乐(游戏)

娱乐(游戏)行业是DDoS攻击的重灾区,高防IP能保证游戏的可用性和持续性,提高用户体验,在商家活动、节日游戏等旺季时段提供防护。

金融

满足金融行业的合规性要求,保证线上交易的实时性、安全稳定性。

政企

满足国家建设标准的安全需求,为重大会议、活动、敏感时期提供安全保障,确保民生服务正常可用,维护公信力。

电商

为用户访问互联网提供防护,使业务正常不中断,在电商大促等活动时段提供防护功能。

企业

保证企业站点服务持续可用,避免DDoS攻击造成经济和企业形象损失问题,降低维护费用,节省安全成本。


四、产品优势

DDoS高防为软件高防服务,与成本相对较高的传统硬件高防相比,业务接入DDoS高防后即可防护,且可以查看DDoS高防的防护日志,了解当前业务的网络安全状态。

DDoS高防可以防护海量DDoS攻击,具备精准、弹性、高可靠、高可用等优势。

海量带宽

15T以上DDoS高防总体防御能力,单IP最高1000G防御能力, 抵御各类网络层、应用层的DDoS攻击。

高可用服务

全自动检测和攻击策略匹配,实时防护;业务流量采用集群分发,性能高,时延低,稳定性好。

弹性防护

通过基础带宽+弹性带宽的购买方式,DDoS防护阈值支持弹性调整,可随时升级更高级别的防护。

专业运营团队

7*24小时运营团队随时应对;专业的运营人员随时解答您的疑问,为您的业务保驾护航。

相关文章精选推荐