开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程:01-基础设施安全-2-DDOS防护-ACA-02-产品原理与接入流程(二)】
课程地址:https://edu.aliyun.com/course/3111981/lesson/18878
01-基础设施安全-2-DDOS防护-ACA-02-产品原理与接入流程(二)
四、DDOS高防使用流程:防护非网站业务
下面,来看一下使用DDOS高防防护非网站业务的情况,使用DDOS高防防护非网站业务,比如说端游首都APP的时候,也是在买了DDOS高防实例之后是需要配置端口转发规则,然后,使用DDOS高防IP作为的业务IP,实现业务的接入,这里有一个背景,比如说和网站业务不同的一点在于说非网站业务配置只能进行自动的转发DDOS高防不会解析七层报文内容,也不提供基于七层报文的防护,比如说叫CC攻击web应用,防护这些,只支持四层的防护,比如说防护sylo,还有udplo及这些接入非网站业务的时候,只需要配置DDOS高防实力的端口转化规则,然后DDOS高防使用DDOS高防IP作为的业务IP就可以了。
第一步就是添加端口转发的规则同样也是在DDOS高防的控制台。选择接入管理。选择的端口接入,在端口接入页面,配置的选择的DDOS高防实例,并且添加规则,在规则这里,添加转发协议,转发协议一般选择DCP或者UDP,2种,然后端口,其实这就是DDOS高防实例使用的转发端口了,为了便于管理,建议,转发端口和原装端口保持一致,当然,也可以不一致,根据国家的监管要求,防止未通过备案的域名接入的情况,DDOS高防不支持808080443和8453端口的接入配置,这些端口进行防护,建议使用运营防护,因为像808080这些都是外部应用,就是网站业务的,非网站业务一般很少用这些端口,避免说有些人为了逃脱国家的监管,通过这种直接端口这么绕过的形式,所以是不支持,为了防止私自搭建DNS防护服务器,DDOS高防也不支持五三端口的配置介入,同时,也不允许已配置的转发端口同一个DDOS高防实例IP和转发协议下,转发规则的转发端口必须为一,当添加同协议同转化端口规则的时候,系统将提示规则冲突,注意不要通过网站配置自动生成转化规则冲突。
原站端口就是原站使用的业务端口,还有原站IP就是的原站IP,那这里还有就是会员的转化模式,默认是允许的模式,转发端口规则配置完成之后,还是要将防护实际业务IP替换成DDOS高防IP,然后才能将的业务流量切换到DDOS高防,完成之后业务流量就会先经过DDOS高防再转发到原站的服务器里来,第二步,就是设置的转发端口和防护策略,在刚刚的添加转发端口规则后,可以根据配置端口转化策略,那比如说规划保持,还有多元的IP健康检查,也可以为非网站业务设置一道防护策略,比如说虚假源检测,目的限速包长度过滤,源限速等等这些。
这里也是操作还是通过台搜索接入,找到刚刚配置的规则,然后在这里,可以设置的会话保持,亚健康检查以及DDOS高防策略,在防护策略这里,可以设置虚假源,虚假源就是针对于虚假IP发起DDOS高防。一是进行校验和过滤,还有过滤限速,就是当前高防IP端口为统计对象,当每秒访问频率超出预支的时候,对当前的高防IP端口进行限速,那其余端口不受影响,还有高的长度过滤了设置允许通过包最小和最大长度,小于最小长度或大于最大长度的高会被丢弃,就防止有些高不完整或者过差畸形的DDOS攻击等等。
那进行这种高长度的处理,还有就是原站限速了,当高防IP端口为统计对象的情况。和IP为统计对象,对访问频率超出阈值的云IP地址进行限速。访问速率,未超过阈值的云IP地址可能不受影响,原站限速支持黑名单控制,对于60秒内,比如说五次超限的云IP,可以启动将原IP加入到黑名单的策略,并且将黑名单设置有效的时长,然后第三步,就是查看端口的防护数据,同样也是在的控制台安全总揽里面就可以看到整体的数据,包括攻击带宽的峰值,攻击高速的峰值等等,图表进行随时随地的查看,这就是整体使用DDOS高防防护非网站的流程。先暂时介绍到这里。
五、DDOS高防接入流程
接下来看一下DDOS高防的接入流程,在这里首先购买DDOS高防以后,会有DDOS高仿的IP让VIP1根据到高房提供的VIP1在DNS服务器上把原域名IP1更换为的VIP1,然后第一步就是DNS服务器的更换对外的服务IP,第二步,就是流量完成切换,客户端向原站的访问流量直接向VIP1安全防护高进行接管。
比如刚才IP是WWW.XX.com=IP1,现在改成了VIP1,用户访问的高仿,那个访问的流量,就进入到高防中心里来了,然后,由高防中心进行回原,正常的户回原到的原服务器里来,回注的方式和传统不同,传统打上VPN的标签进行回注隔离主机路由,采用协议栈更换技术,把处理完成的流量再送给源站IP1实现回注,不光为用户实现了攻击防护,同时,做为业务前置,把源站网络完全对外隐藏,也就是暴露的是高仿的云IP地址,降低安全风险。
六、DDOS高防产品使用界面
看一下DDOS高防产品使用页面,这张图介绍DDOS高防,新进BGP的使用页面,显示的就是安全的总览,可以看到的实例和域营的选项,以及带宽的峰值情况,以及左侧这里可以看到域名的接入管理,刚刚提到的域名接入,端口接入,流量调动器,资产管理,这里可以看到实力管理资产就是这些实例,调查分析有全量的日志分析,操作日志,然后防控设置就是通用的防护策略,以及定制场景的策略,然后还有是DDOS防护实验室,里面有提到的网页缓存加速,但是后面是DDOS高防的国际版,以及旧版的DDOS高防的页面,这就是DDOS高防产品使用的页面的展示。
