01-基础设施安全-2-DDOS防护-ACA-02-产品原理与接入流程(二)

本文涉及的产品
应用实时监控服务-用户体验监控,每月100OCU免费额度
可观测可视化 Grafana 版,10个用户账号 1个月
服务治理 MSE Sentinel/OpenSergo,Agent数量 不受限
简介: 01-基础设施安全-2-DDOS防护-ACA-02-产品原理与接入流程(二)

开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程01-基础设施安全-2-DDOS防护-ACA-02-产品原理与接入流程(二)

课程地址:https://edu.aliyun.com/course/3111981/lesson/18878


01-基础设施安全-2-DDOS防护-ACA-02-产品原理与接入流程(二)


四、DDOS高防使用流程:防护非网站业务

图片11.png

下面,来看一下使用DDOS高防防护非网站业务的情况,使用DDOS高防防护非网站业务,比如说端游首都APP的时候,也是在买了DDOS高防实例之后是需要配置端口转发规则,然后,使用DDOS高防IP作为的业务IP,实现业务的接入,这一个背景,比如说和网站业务不同的一点在于说非网站业务配置只能进行自动的转发DDOS高防不会解析七层报文内容,也不提供基于七层报文的防护,比如说叫CC攻击web应用,防护这些,只支持四层的防护,比如说防护sylo,还有udplo及这些接入非网站业务的时候,只需要配置DDOS高防实力的端口转化规则,然后DDOS高防使用DDOS高防IP作为的业务IP就可以了。


第一步就是添加端口转发的规则同样也是在DDOS高防的控制台。选择接入管理。选择的端口接入,在端口接入页面,配置的选择的DDOS高防实,并且添加规则,在规则这里,添加转发协议,转发协议一般选择DCP或者UDP2种,然后端口,其实这就是DDOS高防实例使用的转发端口了,为了便于管理,建议,转发端口和原端口保持一致,当然,也可以不一致,根据国家的监管要求,防止未通过备案的域名接入的情况,DDOS高防不支持808080443和8453端口的接入配置,这些端口进行防护,建议使用运营防护,因为像808080这些都是外部应用,就是网站业务的,非网站业务一般很少用这些口,避免说有些人为了逃脱国家的监管,通过这种直接端口这么绕过的形式,所以是不支持,为了防止私自搭建DNS防护服务器,DDOS高防也不支持五三端口的配置介入,同时,也不允许已配置的转发端口同一个DDOS高防实IP和转发协议下,转发规则的转发端口必须为一,当添加同协议同转化端口规则的时候,系统将提示规则冲突,注意不要通过网站配置自动生成转化规则冲突。

原站端口就是原站使用的业务端口,还有原站IP就是的原站IP,那这里还有就是会员的转化模式,默认是允许的模式,转发端口规则配置完成之后,还是要将防护实际业务IP替换成DDOS高防IP,然后才能将的业务流量切换到DDOS高防,完成之后业务流量就会先经过DDOS高防再转发到原站的服务器里来,第二步,就是设置的转发端口和防护策略,在刚刚的添加转发端口规则后,可以根据配置端口转化策略,那比如说规划保持,还有多元的IP健康检查,也可以为非网站业务设置一道防护策略,比如说虚假源检测,目的限速包长度过滤,源限速等等这些。


这里也是操作还是通过台搜索接入,找到刚刚配置的规则,然后在这里,可以设置的会话保持,亚健康检查以及DDOS高防策略,在防护策略这里,可以设置虚假源,虚假源就是针对于虚假IP发起DDOS高防。一是进行校验和过滤,还有过滤限速,就是当前高防IP端口为统计对象,当每秒访问频率超出预支的时候,对前的高IP端口进行限速,那其余端口不受影响,还有的长度过滤了设置允许通过包最小和最大长度,小于最小长度或大于最大长度的会被丢弃,就防止有些不完整或者过差畸形的DDOS攻击等等


那进行这种高长度的处理,还有就是原站限速了,当高防IP端口为统计对象的情况。和IP为统计对象,对访问频率超出阈值的IP地址进行限速。访问速率,未超过阈值IP地址可能不受影响,原站限速支持黑名单控制,对于60秒内,比如说五次超限的IP,可以启动将原IP加入到黑名单的策略,并且将黑名单设置有效的时长,然后第三步,就是查看端口的防护数据,同样也是在的控制台安全总揽里面就可以看到整体的数据,包括攻击带宽的峰值攻击高速的峰值等等,图表进行随时随地的查看这就是整体使用DDOS高防防护非网站的流程先暂时介绍到这里。

 

五、DDOS高防接入流程

图片12.png

接下来看一下DDOS高防的接入流程,在这里首先购买DDOS高防以后,会有DDOS高仿的IP让VIP1根据到高房提供的VIP1在DNS服务器上把原域名IP1更换为的VIP1,然后第一步就是DNS服务器的更换对外的服务IP,第二步,就是流量完成切换,客户端向原站的访问流量直接向VIP1安全防护高进行接管。


比如刚才IPWWW.XX.com=IP1,现在改成了VIP1,用户访问的高仿,那个访问的流量,就进入到高中心里来了,然后,高防中心进行回原,正常的户回原到的原服务器里来的方式和传统不同,传统打上VPN的标签进行回注隔离主机路由,采用协议栈更换技术,把处理完成的流量再送给源站IP1实现回注,不光为用户实现了攻击防护,同时,做为业务前置,把源站网络完全对外隐藏,也就是暴露的是高仿的云IP地址,降低安全风险

 

六、DDOS高防产品使用界面

图片13.png

看一下DDOS高防产品使用页面,这张图介绍DDOS高防,新进BGP的使用页面,显示的就是安全的览,可以看到的实和域营的选项,以及带宽的峰值情况,以及左侧这里可以看到域名的接入管理,刚刚提到的域名接入端口接入流量调动器,资产管理,这里可以看到实力管理资产就是这些实例,调查分析有全量的日志分析操作日志,然后防控设置就是通用的防护策略,以及定制场景的策略,然后还有是DDOS防护实验室,里面有提到的网页缓存加速,但是后面是DDOS高防的国际版,以及旧版的DDOS高防的页面,就是DDOS高防产品使用的页面的展示

相关文章
|
2月前
|
监控 安全 JavaScript
DDoS攻击趋势令人担忧,安全防御体系构建指南
DDoS攻击趋势令人担忧,安全防御体系构建指南
68 1
|
2月前
|
人工智能 安全 网络协议
如何防御DDoS攻击?教你由被动安全转变为主动安全
如何防御DDoS攻击?教你由被动安全转变为主动安全
458 0
|
4月前
|
监控 安全 Linux
在Linux中,DDOS攻击的原理是什么?
在Linux中,DDOS攻击的原理是什么?
|
6月前
|
安全 网络安全 调度
游戏行业如何做好安全,避免DDOS攻击
随着网络游戏行业的迅速发展,网络游戏问题也不可忽视,特别是目前网络攻击频发,DDoS攻击的简单化以及普及化,对游戏来说存在非常大的安全威胁。
|
5月前
|
安全 网络安全
安全----DDOS攻击解析,预防DDOS攻击的反击时ip封禁
安全----DDOS攻击解析,预防DDOS攻击的反击时ip封禁
|
6月前
|
网络协议 Cloud Native 网络安全
《阿里云产品四月刊》—DDoS 防护 新功能
阿里云瑶池数据库云原生化和一体化产品能力升级,多款产品更新迭代
|
7月前
|
存储 Serverless 网络安全
Serverless 应用引擎产品使用之阿里云函数计算中的Web云函数可以抵抗网站对DDoS攻击如何解决
阿里云Serverless 应用引擎(SAE)提供了完整的微服务应用生命周期管理能力,包括应用部署、服务治理、开发运维、资源管理等功能,并通过扩展功能支持多环境管理、API Gateway、事件驱动等高级应用场景,帮助企业快速构建、部署、运维和扩展微服务架构,实现Serverless化的应用部署与运维模式。以下是对SAE产品使用合集的概述,包括应用管理、服务治理、开发运维、资源管理等方面。
|
7月前
|
安全 网络协议 网络安全
DDOS攻击原理
DDOS攻击原理
116 0
|
安全 网络协议 网络安全
Web安全性测试系列(二)DDOS拒绝服务攻击原理详解
Web安全性测试系列(二)DDOS拒绝服务攻击原理详解
143 0
|
2月前
|
网络协议 安全 网络安全
如何识别DDOS攻击模式?
【10月更文挑战第12天】如何识别DDOS攻击模式?
106 18