背景介绍
如果您的业务对接入服务有如下要求:
1. 需要承诺防护容量的 DDoS 防护服务。如:金融业务、游戏平台服务等。
2. 在遭受大规模 DDoS 攻击时,平台默认防护下的业务可能会由于业务调度而改变解析 IP,从而影响到业务正常运行。您有需要持续保持会话状态业务,包括保持 DNS 解析 IP 不变、维持 TCP 长连接和 HTTP 长会话状态。如:多人在线游戏服务、语音服务等。
3. 需要定制网络层 DDoS 防护策略或网络层管控策略。如:需要丢弃来自指定地区的客户端流量。
建议您选购独立 DDoS 防护服务。独立 DDoS 防护服务在平台默认防护基础上,进一步提供:
1. 常态接入清洗中心,持续检测清洗并过滤恶意流量。
2. 承诺的防护容量,防护过程中保持会话状态稳定,可根据业务部署情况灵活选择全球可用区(不含中国大陆)、中国大陆可用区、全球可用区的防护规格。
3. 可定制的 DDoS 防护策略,包括基于 IP 和客户端区域的管控选项。
帮助您缓解 DDoS 攻击风险,保障业务稳定。
策略配置
独立 DDoS 防护可针对您的业务防护需求,提供灵活的 DDoS 自定义防护和流量管控策略,您可根据特殊业务特点灵活设置,应对不断变化的攻击手法。对于四层代理实例,支持以下自定义规则能力配置:
|
| 在 DDoS 攻击中通过匹配 IP 黑白名单的方式来限制对 EdgeOne 站点的访问。 |
| 在 DDoS 攻击中通过自定义端口规则,限制指定端口范围访问 EdgeOne 站点。 |
| 可配置仅允许用户通过指定协议访问 EdgeOne 站点。 |
| 支持对连接型攻击进行防护,对连接行为异常的客户端自动封禁。 |
| 在 DDoS 攻击中支持针对 IP、TCP 及 UDP 报文头或载荷中的特征自定义拦截策略。 |
| 在 DDoS 攻击中通过匹配区域的方式来限制对 EdgeOne 站点的访问。 |
说明:
1. 仅支持启用独立 DDoS 防护的四层代理实例配置自定义 DDoS 防护策略。
2. 当访问流量同时匹配多个防护模块的策略时,按照表格所示的模块顺序处理。
使用指引
独立 DDoS 防护可应用于七层业务以及四层业务中,您可以参照以下不同的场景来了解如何为您的站点开启独立 DDoS 防护。
说明:
独立 DDoS 防护仅支持 2023 年 07 月 01 日后接入的企业版套餐使用。如您在此日期之前接入了 EdgeOne企业版并希望使用独立 DDoS 防护,请联系售后或技术支持。
场景一:为七层站点开启独立 DDoS 防护
场景示例
您通过站点域名 onelogin.example.com
提供了 HTTPS 统一登录服务(SSO,Single-Sign-On),主要服务于中国大陆地区用户,由于经常被 DDoS 攻击会导致用户无法正常登录,预计日常攻击量级为 30Gbps,高峰期可能达到 50Gbps,需要接入独立 DDoS 防护以确保提供稳定可用服务。
注意事项
七层站点内的独立 DDoS 防护创建后,暂不支持在控制台内退订,如需退订请联系腾讯云商务。
开启或关闭 DDoS 防护过程中,会对业务造成影响(连接重置等),影响时长预估为启用或关闭一般 2-3 分钟左右生效,如有本地或运营商 DNS 缓存时,切换可能更晚生效,具体时效时长取决于客户端所使用的 DNS 记录的 TTL 配置。
操作步骤
2. 在站点详情页面,单击安全防护 > DDoS 防护。
3. 在站点(七层)服务防护页签,单击订阅独立 DDoS 防护。
4. 在订阅独立 DDoS 防护实例页面,选择需要订阅的防护区域以及防护规格。以本场景为例,根据服务区域及历史攻击量级,可选择订阅中国大陆可用区保底 30Gbps,弹性容量防护峰值为 50Gbps。
5. 确认相关费用信息后,勾选同意相关用户协议,并单击立即订阅,将开始为您自动下发独立 DDoS 防护实例配置。
6. 实例下发完成后,您可以在防护配置页面内,为所有域名开启独立 DDoS 防护,或者选择该场景内的 onelogin.example.com
,为该域名开启独立 DDoS 防护。
7. 如果对单域名启用独立 DDoS 防护,将弹出部署确认窗,单击确认后开始部署,等待部署完成后即可生效。
场景二:为四层代理实例开启独立 DDoS 防护
场景示例
您有一款即将发布上线的游戏,需借助四层代理加速来优化玩家登录体验,通过 80 端口转发 TCP 流量数据,该游戏主要在海外发行, 预计在上线期间可能遭遇大流量 DDoS 攻击(不超过300 Gbps),可通过接入独立 DDoS 防护以确保在发布和运营期间的登录接口服务稳定,避免玩家流失。
注意事项
当前仅允许在新建四层代理实例时选用独立 DDoS 防护,创建后不可修改、不可变更;
四层代理的独立 DDoS 防护创建后,暂不支持动态开启/关闭。
操作步骤
2. 在站点详情页面,单击四层代理。
3. 在四层代理管理实例页面,单击新建四层代理。
4. 新建四层代理实例时,在安全防护配置中,可选择对应的防护方式,切换为独立 DDoS 防护,以当前场景为例,可选择 Anycast 联防 300Gbps。
5. 确认相关用户协议以及价格信息后,点击订阅,完成四层代理实例创建。创建后,平台会自动为该实例下发独立 DDoS 防护配置;
6. 下发配置完成后,您可以点击配置,进入该实例配置界面,添加需要加速的端口信息以及源站地址,单击保存,即可开启四层代理加速。
相关参考
工作原理
开启独立 DDoS 防护后,将按下列流程处理流量:
1. 客户端解析服务 DNS 记录时,将获得清洗中心地址。
2. 客户端访问服务时,清洗中心首先对流量进行清洗,自动识别并过滤其中的网络层 DDoS 攻击流量。如果当前业务已接入四层代理,过滤后流量由四层代理服务转发加速。
如果您的站点包含七层站点加速,流量将继续按照如下步骤转发:
3. 经过 SSL 认证后,HTTPS 协议请求继续经过 Web 防护、Bot 管理安全策略进行防护;
4. 通过安全模块校验的请求将继续进行站点缓存、站点加速、回源服务等功能模块。
本页内容是否解决了您的问题?