阿里云云安全acp認證知識點之DDoS高防

DDoS高防（新BGP&國際）

什么是DDoS高防（新BGP&國際）

DDoS高防（Anti-DDoS）是阿里云提供的DDoS攻擊代理防護服務。當您的互聯(lián)網(wǎng)服務器遭受大流量的DDos攻擊時，DDoS高防可以保護其應用服務持續(xù)可用。DDoS高防通過DNS解析調度流量到阿里云高防網(wǎng)絡，代理接入阿里云DDoS防護系統(tǒng)，抵御流量型和資源耗盡型DDoS攻擊。

工作原理

DDoS高防支持通過DNS解析和IP直接指向兩種引流方式，實現(xiàn)網(wǎng)站域名和業(yè)務端口的接入防護。根據(jù)您在DDoS高防中為業(yè)務配置的轉發(fā)規(guī)則，DDoS高防將業(yè)務的DNS域名解析或業(yè)務IP指向DDoS高防實例IP或CNAME地址進行引流。

來自公網(wǎng)的訪問流量都將優(yōu)先經(jīng)過高防機房，惡意攻擊流量將在高防流量清洗中心進行清洗過濾，正常的訪問流量通過端口協(xié)議轉發(fā)的方式返回給源站服務器，從而保障源站服務器的穩(wěn)定訪問。

DDoS高防服務類型

根據(jù)要接入DDoS高防進行防護的業(yè)務服務器部署地域的不同，DDoS高防提供新BGP（Anti-DDoS Pro）和國際（Anti-DDoS Premium）兩種解決方案。

DDoS高防（新BGP）：適用于業(yè)務服務器部署在中國內地地域的場景。采用中國內地獨有的T級八線BGP帶寬資源，為接入防護的業(yè)務防御超大流量的DDoS攻擊。

DDoS高防（國際）：適用于業(yè)務服務部署在中國內地以外地域的場景。依托世界領先的分布式近源清洗能力，為接入防護的業(yè)務提供不設上限的DDoS攻擊全力防護能力。

產品優(yōu)勢

與傳統(tǒng)DDoS攻擊安全解決方案相比，阿里云DDoS高防具有部署簡便、BGP網(wǎng)絡質量高、防護能力大、系統(tǒng)穩(wěn)定可用、防護精準，以及先進的AI智能防護技術等優(yōu)勢。

部署簡便（5分鐘完成部署）。根據(jù)您的業(yè)務特性，提供DNS解析和IP直接指向兩種接入方式，實現(xiàn)網(wǎng)站域名和業(yè)務端口的接入防護。無需安裝任何軟硬件或調整路由配置，5分鐘內即可完成部署和激活。

海量防御帶寬資源。DDoS高防擁有中國內地超過8 Tbps、海外及港澳臺地區(qū)超過2 Tbps的海量防御帶寬資源，有效抵御所有各類基于網(wǎng)絡層、傳輸層及應用層的DDoS攻擊。

精準防護。針對交易類、加密類、七層應用、智能終端、在線業(yè)務攻擊等實現(xiàn)精準防護，使得威脅無處可逃。

AI智能防護。在流量清洗技術方面，分別針對網(wǎng)絡流量型攻擊和資源耗盡型DDoS攻擊，通過自動優(yōu)化防護算法和深度學習業(yè)務流量基線，達到精準識別攻擊IP并自動過濾清洗的目的。

彈性防護。DDoS防護支持彈性調整防護帶寬。您可在DDoS高防管理控制臺自助升級，秒級生效，且無需新增任何物理設備。同時，業(yè)務上也無需進行任何調整，整個過程服務無中斷。

保護源站安全。DDoS高防使用高防IP對您的業(yè)務站點進行隱藏，使攻擊者無法找到您的源站地址，從而增加源站的安全性。

網(wǎng)絡流量型DDoS攻擊防護。大量針對網(wǎng)絡傳輸層的攻擊會使網(wǎng)絡堵塞、機房不可用，而使您的網(wǎng)絡業(yè)務中斷或大面積癱瘓。在傳統(tǒng)的代理、探測、反彈、認證、黑白名單、報文合規(guī)等標準技術的基礎上，DDoS高防結合IP信譽、近源清洗，以及通過對網(wǎng)絡指紋、用戶行為、內容特征的深度包檢測等多種技術的應用，可實現(xiàn)對威脅進行阻斷和自定義過濾，并保證被防護的業(yè)務在遭受持續(xù)攻擊時，仍可對外正常提供服務。

資源耗盡型DDoS攻擊防護（CC攻擊）。當攻擊使網(wǎng)絡應用層的服務器業(yè)務中斷時，DDoS高防將對應用層的資源耗盡型DDoS攻擊全面集成AI智能防護引擎，通過自定義過濾頻率和精細至URL級別的過濾特征來提升防護效率和成功率，同時也大大降低了安全運維人員的工作難度。AI智能防護引擎基于以下特征進行防護：

自學習用戶業(yè)務流量和特征；

動態(tài)生成正常業(yè)務基線；

快速發(fā)現(xiàn)流量和特征異常；

自動介入分析攻擊特征；

自動生成多維度組合策略；

動態(tài)執(zhí)行或撤銷防護策略指令；

穩(wěn)定、高可用：

DDoS高防采用高可用網(wǎng)絡防護集群，避免單點故障和冗余，且處理性能支持彈性擴展。全自動檢測和攻擊策略匹配，提供實時防護，清洗服務可用性達99.99%。

對流量清洗機房的所有入流量、所有服務器CPU和內存進行監(jiān)控，保障機房可用性。同時，針對服務器的引擎進行可用狀態(tài)監(jiān)控，并且具備自動下線和恢復機制。

針對回源鏈路進行可用性監(jiān)控，一旦發(fā)現(xiàn)不穩(wěn)定，自動切換至備用鏈路，保障鏈路可用性。

針對接入防護的源站服務器進行健康檢查，一旦發(fā)現(xiàn)異常，自動切換。針對源站服務器的HTTP狀態(tài)碼進行監(jiān)控，發(fā)現(xiàn)異常后自動啟用回源或者切換等操作。

具備流量調度能力。DDoS高防服務可基于云產品的安全事件，通過DNS解析進行流量調度，實現(xiàn)在其他云產品未遭受DDoS攻擊時不啟用DDoS防護，而在遭受DDoS攻擊時可以快速關聯(lián)DDoS高防資源并啟用DDoS防護功能。用戶可根據(jù)自己的業(yè)務場景自定義配置調度模版，實現(xiàn)與云產品聯(lián)動，自動化調度DDoS防護能力。

應用場景

阿里云DDoS高防適用于金融、電商、門戶類網(wǎng)站，政府互聯(lián)網(wǎng)出口、門戶與開放平臺，重大線上直播、活動推廣促銷的DDoS攻擊防護場景，以及業(yè)務遭競爭對手惡意攻擊、勒索，移動業(yè)務遭惡意注冊、刷單、刷流量等安全防護場景。

在上述行業(yè)中，當業(yè)務存在以下安全風險時，推薦您使用DDoS高防：

遭受惡意攻擊者的DDoS攻擊勒索。

DDoS攻擊已經(jīng)導致業(yè)務不可用，需要緊急恢復。

頻繁遭受DDoS攻擊，需要持續(xù)防護DDoS攻擊，保護業(yè)務的穩(wěn)定性。

DDoS攻擊損失保障

DDoS高防支持DDoS攻擊損失保障服務，防止由于DDoS攻擊導致您受DDoS高防保護的云服務器ECS、負載均衡SLB實例因使用量激增而產生額外的費用。如果為了響應DDoS攻擊，這些受保護的實例產生了額外的后付費流量，您可以提交工單申請代金券補償。

選型參考

阿里云基于多年的DDoS攻防經(jīng)驗和領先的安全技術，提供多款正式商用的DDoS防護解決方案供您選擇，滿足您業(yè)務中對各類DDoS攻擊安全防護場景的需求。

適合的防御場景

點擊下方圖片可購買阿里云云安全acp認證網(wǎng)絡課程，個性化服務，為你的升職加薪之路助力?。?！