01-基础设施安全-2-DDOS防护-ACA-02-产品原理与接入流程（一）

开发者学习笔记【阿里云云安全助理工程师认证（ACA）课程：01-基础设施安全-2-DDOS防护-ACA-02-产品原理与接入流程（一）】

课程地址：https://edu.aliyun.com/course/3111981/lesson/18878

01-基础设施安全-2-DDOS防护-ACA-02-产品原理与接入流程（一）

内容介绍

一、基础防护原理

二、DDOS高防防护逻辑架构

三、DDOS高防使用流程：防护网站业务

四、DDOS高防使用流程：防护非网站业务

五、DDOS高防接入流程

六、DDOS高防产品使用界面

一、DDOS基础防护原理

通过这张图，可以看到流量通过入口进入，然后有叫做流量镜像，将流量进行镜像的复制到的DDOS攻击预警模块，然后攻击预警模块，将流量转移到的DDOS防护管理中心，然后将的流量放到的清洁路由器里来，再将干净的流量进行回注到的核心路由器，发到的业务服务器里来，当发生攻击以后将流量进行清引攻击流量迁引到清洗由器，然后转到DDOS清理集群里来，这是专业的大型的服务器，集群来进行流量的清理，清理以后那将干净的流量再进行回收到核心容器再发给的业务这样的话整体就形成DDOS技术保护这么联动的流量的走势图，可以看到这是DDOS基础防护的一个原理。

二、DDOS高防防护逻辑架构

接下来，来看一下DDOS高防的防护的防护逻辑，这里，可以看到DDOS高防产品的防护架构，目前在安全防护引擎，流量调度器，日志，威胁分析产品功能丰富度上具有较强的竞争力，阿里云的DDOS高防提供了AI的能力，对四层，七层CC防护上具有很强的优势，同时最高防护了569万的QPSCC攻击。第二点，就是阿里的DDOS和日志中心，采用的是实时化分析能力，向用户提供了全量的实时日志分析能力，可灵活的针对工防结果进行分析。

这里，通过这张图，可以看到正常用户和的黑客攻击，在黑客攻击的时候，到的DDOS高仿里来以后，进行了就精准的防控制CC的这种安全防护，区域封禁漏洞解除，进源的进目的这种清洗，以及说进源清洗和流量的调度这几种方式，将攻击者的流量进行封禁，并且记录到的日志中，将日志放到的日志中心里了，流量调度器这个功能，是针对云上资源，CDN，DCDN，加速线路等等产品进行联动，正常用户直接访问到的云服务器里面来，黑客攻击通过的引擎用日志传到的威胁分析中心里来进行分析学习到升级的防护引擎，当有这种不降格的流量进来以后会自动的进行封顶以及各个产品之间的联动，DDOS高防防护的防护逻辑图。

三、DDOS高防使用流程：防护网站业务

第二来学习提到高防使用流程，第一就是防护网站业务，使用提到DDOS高防防护网站业务的时候，必须首先在DDOS高防中，添加访户域名，设置业务流量的转发策略，那也就是添加网站业务的转发规则，具体就是在DDOS高防控制台，比如说中国内地地域选择进入管理选择域名在域名接入页面添加的网站就可以了，在添加网站里，填写一些网站的相关信息，比如说的原站IP，或者说原站运营，网站的运营等等这些相关的信息，添加完成以后。

进行第二步，接入网站业务流量。通过DDOS高防接入添加网站业务之后需要更新域名的DNS解析。将网站业务流量继续到DDOS解析，提到DDOS高防完成切换后，网站的访问流量都会先经过DDOS高防清洗，再转发到原站服务器，完成了域名接入以后，在域名解析页面，就是在阿里云的云解析DIS控制台里面，找到要操作的域名，比如说www.aliyun.com这种，然后点击解析设置，在解析设置里面，点击原来的设置的那个记录，找到原来的那个c name的记录等等，选择修改，把记录类型设为c name类型，然后记录值，修改为DDOS高防提供的c name地址，然后确认就可以了。

接着第三步，就是在完成了接入DDOS高防之后默认启动AI智能防护，不需要进行额外操作了，但是，在遇到异常的情况下，或者有特殊需求的时候，可以手动的调整网站业务的DDOS高防业务，具体，包括AI智能防护，针对域名的黑白名单，以及针对域名的区域封禁，精确访问控制和频率控制这些。同样也是接入完域名之后，在DDOS高防的控制台里面选择接入管理域名接入那找到要操作的域名，然后在防护点击操作里面的防护设置，然后在防护设置里面，进行相应的操作，比如是否开通黑白名单等等，这里面提到像这种AI智能防护是默认开启的，然后黑白名单，是针对域营和区域封禁，也是针对运营的，精确的访控制，开启之后，可以使用常见的AGDP字段来匹配条件，筛选的合作请求。频率控制就是开启频率控制之后，可以限制单一原IP对网站的频率的访问，而频率访问控制，开启后是自动生效的，默认的，使用正常的防护模式可以帮助防御一般的CC攻击也支持手动的调整模式，自定义的频率的规则。

然后第四步，就是查看网站业务的访问数据，上述三步都完成以后，在安全总览里面。选择运营的页签，然后查询选择要查询的域名和时间范围，就可以看到从哪截图，就可以进行查询和分析日志的进行操作，这就是防护网站业务的操作的流程，介绍到这里。