DDoS 攻击与防护(二):DDoS 防护购买和使用入门指南,DDoS 防护服务有哪些应用场景?
文章目录
- 前言
- 一、如何选择 DDoS 高防和 DDoS 原生高级防护?
- 二、如何购买和使用 DDoS 高防?
- 2.1、购买 DDoS 高防
- 2.2、DDoS 高防域名网站类业务接入流程
- 2.3、配置防护域名
- 2.4、上传证书
- 2.5、选择实例和线路
- 2.6、本地验证
- 2.7、修改 DNS 解析
- 2.8、放行高防回源 IP 段
- 2.9、非域名类业务接入 DDoS 高防
- 2.10、管理域名
- 2.11、配置防护策略
- 2.12、管理转发规则
- 三、如何购买和使用 DDoS 原生高级防护
- 3.1、购买 DDoS 原生高级防护实例
- 3.2、添加防护对象
- 3.3、创建防护策略
- 3.4、配置防护策略
- 3.5、查看数据报表
- 3.6、开启 CNAD 告警通知
- 3.7、配置 DDoS 阶梯调度策略
- 四、DDoS 防护服务的应用场景
- 4.1、DDoS 高防应用场景
- 4.2、DDoS 原生高级防护应用场景
- 五、续(补充)
- 总结
前言
DDoS 攻击是使得用户电脑的网络或系统资源耗尽,服务暂时中断或停止,导致合法用户不能够访问正常网络服务的行为。针对 DDoS 攻击,华为云提供多种安全防护方案,DDoS 原生高级防护和 DDoS 高防可为用户提供全面海量的 DDoS 防护服务。在本文中我们将接着《DDoS 攻击与防护(一):如何识别 DDoS 攻击?DDoS 防护 ADS 服务有哪些?》的内容给大家介绍如何购买和使用 DDoS 高防和 DDoS 原生高级防护,并带大家了解 DDoS 高防和 DDoS 原生高级防护应用场景。
前文回顾:《DDoS 攻击与防护(一):如何识别 DDoS 攻击?DDoS 防护 ADS 服务有哪些?》
一、如何选择 DDoS 高防和 DDoS 原生高级防护?
在选择 DDoS 高防和 DDoS 原生高级防护时,我们对 DDoS 防护竞争力各方面数据进行详细对比,具体如下图所示:
DDoS 高防和 DDoS 原生高级防护在全球支持计划方面:
- 已启动拉美,俄罗斯,中东地区高防机房采购;
- 运营商合建提供近源清洗能力。
二、如何购买和使用 DDoS 高防?
2.1、购买 DDoS 高防
对于 DDoS 高防的购买流程,作为参考,具体如下图所示:
2.2、DDoS 高防域名网站类业务接入流程
DDoS 高防域名网站类业务接入流程以流程图的形式演示,具体如下图所示:
2.3、配置防护域名
对于防护域名的配置,作为参考,具体如下图所示:
对于其中的三个配置项防护域名、源站类型和证书说明如下:
- 防护域名:用户的实际业务对外提供服务所使用的域名。示例:单域名:www.example.com;泛域名:*.example.com。
- 源站类型:待添加防护域名的源站的类型。
源站 IP:真实服务器的公网 IP 地址,最多可输入 20 个 IP 地址,IP 地址间以“,”分隔。
源站域名:当前仅支持华为云 WAF CNAME。
转发协议:DDoS 高防转发客户端(例如浏览器)请求的协议类型。包括“HTTP”、“HTTPS”两种协议类型。
源站端口:DDoS 高防转发客户端请求到服务器的业务端口。 - 证书:“源站类型”选择“源站 IP”且“转发协议”选择“HTTPS”时,需要上传证书
2.4、上传证书
有关上传证书的操作,作为参考,具体如下图所示:
2.5、选择实例和线路
选择实例和线路的操作,作为参考,具体如下图所示:
选择实例和线路需要注意:
- 一个域名可以选择多条线路(高防 IP),选择多个高防 IP 时请确保各高防 IP 所配置的转发规则个数以及转发规则的转发协议、转发端口和业务类型保持一致。
- 为了避免业务产生跨运营商访问,每个高防实例配置了多运营商线路,建议您在选择实例和线路时选择一组完整的实例线路。
2.6、本地验证
打开 Telnet,执行以下命令,测试已接入 DDoS 高防的源站 IP 是否能成功建立连接。
- 以源站 IP 对外开放的 80 端口为例,对应命令如下:
telnet 源站 IP 80
- 如果可以连通,则说明 Telnet 公网地址在本机网络环境可用。
- 如果无法连通,则需要更换本地测试机网络环境,因为某些企业网可能配置过内部网络限制。例如连接手机 Wi-Fi 热点以切换为运营商网络。
执行以下命令,测试域名接入 DDoS 高防配置是否正确,命令如下:
telnet 在目标域名的“CNAME”列,单击,复制域名的 C... 中的 CNAME 值 80
- 如果可以连接,说明配置成功。
- 如果无法连接,请确认域名参数是否配置正确。
2.7、修改 DNS 解析
修改 DNS 解析流程,作为参考,具体如下图所示:
对于其中的四个配置项主机记录、类型、线路类型和值说明如下:
- 主机记录:域名的别名(后缀无需用户手动填写)。
- 类型:记录集的类型。
- 线路类型:用于 DNS 服务器在解析域名时,根据访问者的来源,返回对应的服务器 IP 地址。
- 值:需指向的域名。
2.8、放行高防回源 IP 段
高防回源 IP 段信息具体如下图所示:
- 回源 IP 时 DDoS 高防用来代理客户端请求服务器时用的源 IP,在服务器看来,接入 DDoS 高防后所有的源 IP 都会变成 DDoS 高防的回源 IP,以确保源站安全、稳定、可用。
- 如果源站已配置防火墙或安装安全软件,为了防止高防回源 IP 被源站限速,需要将高防回源 IP 段添加到源站的防火墙或其它防护软件的白名单中,即放行高防回源 IP 段,以确保高防的回源 IP 不受源站安全策略影响。
2.9、非域名类业务接入 DDoS 高防
如果您的业务没有域名,仅通过公网 IP 对外提供服务,您可以通过配置转发规则将业务接入 DDoS 高防。配置转发规则后,高防 IP 会自动将流量转发到源站 IP,具体如下图所示:
2.10、管理域名
修改域名的高防 IP 解析路线,作为参考,具体如下图所示:
修改源站 IP,作为参考,具体如下图所示:
修改域名业务配置,作为参考,具体如下图所示:
2.11、配置防护策略
配置黑白名单,作为参考,具体如下图所示:
配置流量封禁,作为参考,具体如下图所示:
配置 CC 攻击防护规则,需要网站类业务已开启“WEB 基础防护”,作为参考,具体如下图所示:
2.12、管理转发规则
包括查看转发规则信息、批量导出转发规则以及删除转发规则,作为参考,具体如下图所示:
三、如何购买和使用 DDoS 原生高级防护
3.1、购买 DDoS 原生高级防护实例
购买 DDoS 原生高级防护实例,作为参考,具体如下图所示:
3.2、添加防护对象
添加防护对象,作为参考,具体如下图所示:
3.3、创建防护策略
创建防护策略,作为参考,具体如下图所示:
3.4、配置防护策略
配置防护策略,作为参考,具体如下图所示:
3.5、查看数据报表
查看数据报表,作为参考,具体如下图所示:
3.6、开启 CNAD 告警通知
开启 CNAD 告警通知,作为参考,具体如下图所示:
3.7、配置 DDoS 阶梯调度策略
配置 DDoS 阶梯调度策略,作为参考,具体如下图所示:
四、DDoS 防护服务的应用场景
4.1、DDoS 高防应用场景
DDoS 高防应用场景可以归纳为以下几类,具体如下图所示:
- 娱乐(游戏):娱乐(游戏)行业是 DDoS 攻击的重灾区,高效 IP 能保证游戏的可用性和持续性,提高用户体验,在商家活动、节日游戏等旺季时段提供防护。
- 金融:满足金融行业的合规性要求,保证线上交易的实时性、安全稳定性。
- 政府:满足国家政务云建设标准的安全需求,为重大会议、活动、敏感时期提供安全保障,保障民生服务正常可用,维护政府公信力。
- 电商:为用户访问互联网提供防护,使业务正常不中断,在电商大促等活动时段提供防护功能。
- 企业:保证企业站点服务持续可用,避免 DDoS 攻击造成经济和企业形象损失问题,降低维护费用,节省安全成本。
4.2、DDoS 原生高级防护应用场景
DDoS 原生高级防护应用场景可以归纳为以下几类,具体如下图所示:
DDoS 原生高级防护适用于部署在华为云服务上,且华为云服务有公网 IP 资源的业务。
- 能够满足业务规模大、对网络质量要求高的用户——电商、门户网站。
- 业务带宽或 QPS 较大——在线视频、直播等业务带宽要求比较高的领域。
- IPv6 类型业务防护需求——IPv6 业务。
- 华为云上公网 IP 资源较多,业务中大量端口、域名、IP 需要 DDoS 攻击防护——在线教育。
五、续(补充)
由于 DDoS 攻击与防护内容较多且篇幅有限,我们将整体内容拆分为两部分,需要查看全文的小伙伴们点击下面链接自行查阅:
《DDoS 攻击与防护(一):如何识别 DDoS 攻击?DDoS 防护 ADS 服务有哪些?》
《DDoS 攻击与防护(二):DDoS 防护购买和使用入门指南,DDoS 防护服务有哪些应用场景?》
总结
DDoS 攻击与防护两篇文章,分别给大家介绍了 DDoS 攻击、DDoS 防护 ADS、DDoS 高防和 DDoS 原生高级防护的特性,DDoS 高防和 DDoS 原生高级防护的购买和使用,DDoS 高防和 DDoS 原生高级防护的应用场景五个部分的内容。在购买和使用过程中我们需要明确 DDoS 高防和 DDoS 原生高级防护的适用场景和应用特性:DDoS 高防服务通过高防 IP 代理源站 IP 对外提供服务,将所有的公网流量都引流至高防 IP,进而隐藏源站,避免源站(用户业务)遭受大流量 DDoS 攻击;而 DDoS 原生高级防护适用于部署在华为云服务上,且华为云服务有公网 IP 资源的业务。
我是白鹿,一个不懈奋斗的程序猿。望本文能对你有所裨益,欢迎大家的一键三连!若有其他问题、建议或者补充可以留言在文章下方,感谢大家的支持!
DDoS 攻击与防护(二):DDoS 防护购买和使用入门指南,DDoS 防护服务有哪些应用场景?相关推荐
- DDOS攻击防御(二)
DDOS攻击防御(二) 1.自主防御方法及步骤 a.定期扫描漏洞,时打上补丁 要确保服务器软件没有任何漏洞,防止攻击者入侵.确保服务器采用最新系统,并打上安全补丁. b.过滤不必要的服务和端口 过滤不 ...
- 两个真实的DDOS攻击案例简析,看完你还敢轻视DDOS防护吗
一场疫情过后,DDoS防护被越来越多的人所重视.互联网技术是很多企业能活下去的关键点,如果说过去互联网技术只是让很多企业活得好,经过这次疫情,互联网技术则是很多企业能够活下去的关键点.互联网正在深入到 ...
- DDoS 攻击与防护(一):如何识别 DDoS 攻击?DDoS 防护 ADS 服务有哪些?
文章目录 前言 一.什么是 DDoS 防护 ADS? 1.1.什么是 DDoS 攻击? 1.2.如何识别 DDoS 攻击? 1.3.从 Web 访问流程分析 DDoS 攻击 1.4.DDoS 攻击类型 ...
- 「短小精悍」4步教你学会如何DDOS攻击与防护
前言: DDOS即分布式拒绝服务攻击,攻击者利用不同位置的大量"肉鸡"对目标发动大量的正常或非正常请求,耗尽目标主机资源和网络资源,使被攻击的主机不能正常为合法用户提供服务. DD ...
- 超低成本DDoS攻击来袭,看WAF如何绝地防护
一.DDoS攻击,不止于网络传输层 网络世界里为人们所熟知的DDoS攻击,多数是通过对带宽或网络计算资源的持续.大量消耗,最终导致目标网络与业务的瘫痪:这类DDOS攻击, 工作在OSI模型的网络层与传 ...
- 产业安全公开课:2023年DDoS攻击趋势研判与企业防护新思路
2023年,全球数字化正在加速发展,网络安全是数字化发展的重要保障.与此同时,网络威胁日益加剧.其中,DDoS攻击作为网络安全的主要威胁之一,呈现出连年增长的态势,给企业业务稳定带来巨大挑战. 2月2 ...
- 超低成本DDoS攻击来袭,火山引擎WAF三大防护场景实现有效防护
网络安全世界中,人们所熟悉的DDoS攻击(分布式拒绝服务攻击),大多数是对带宽或者网络的计算资源进行消耗,最终导致目标网络或者业务瘫痪,无法访问. 除了常规的DDoS攻击,还有一类典型DDoS攻击手段 ...
- 《2021 DDoS攻击态势报告》解读 | 基于威胁情报的DDoS攻击防护
随着5G.云计算.大数据.物联网等新兴数字产业的发展,信息基础设施的建设规模也随之扩大,这无疑会导致越来越多的网络资产暴露在互联网上.这些资产一旦被DDoS攻击者所利用,将会对网络安全带来严重威胁.在 ...
- 盘点国内6大抗DDOS攻击服务商
近日,信息安全公司Verisign发布了2017年第一季度的分布式拒绝攻击(DDos)趋势报告.此份报告介绍了该公司在2017年1月1日-2017年3月31日这一阶段观察到的DDoS攻击频率,大小和类 ...
最新文章
- VS2010-MFC(对话框:一般属性页对话框的创建及显示)
- myeclipse中添加Oracle数据库
- ida 字符串查找_IDA 搜索中文字符串
- 【NOIP2012】【Luogu1080】国王游戏(贪心,邻项交换)
- 2019牛客暑期多校训练营(第二场)A(随机化)
- Latex符号与公式集合
- idea的阿里代码规范检查
- Linux开机自动启动python脚本程序,或 Jetson nano或Jetson Xavier NX开机自动启动python脚本程序
- @SuppressWarnings注解用法详解
- Luogu5149会议座位
- 服务器状态监控app,服务器/网站连接状态监控工具
- MFO问题与MFEA算法
- 为什么需要克隆虚拟机,虚拟机又该怎样克隆呢?
- 多多客id是什么意思_【多多情报学堂】拼多多id是什么?拼多多店铺id在哪里看?...
- 【原创】解决windows命令行运行程序必须输入.exe后缀的问题
- 9 步SaaS SEO 策略
- 云计算机服务英文翻译,基于云的服务,Cloud Based Service,音标,读音,翻译,英文例句,英语词典...
- 【密码算法 之十四】非对称算法,ECC椭圆曲线算法 之 ECDSA、ECDH、SM2、SM9等
- 比Worktile更适合软件研发的项目管理系统有哪些?10大项目管理系统对比
- Unity 音频理解与优化
热门文章
- 华为云初体验——感谢牛客网与华为云联合送福利
- Solidwork许可不够
- 网络工程师面试经验分享_深信服笔试面试问答总结-有一定深度!完整版「建议收藏」
- AI让我离灵魂画手只差个灵魂了
- python使用cxfreeze将脚本文件打包为可执行程序的方法
- spark-sql性能优化之——动态实现多个列应用同一个函数
- 武汉理工大学计算机学院教授,饶文碧:武汉理工大学计算机科学与技术学院教授...
- struts2-21常用标签解说
- 大数据技术基础笔记1 大数据概述
- pytorch版本SSD代码分析(2)——数据增强