写回答
尽量避免将非业务必须的服务端口暴露在公网上,从而避免与业务无关的请求和访问。通过配置安全组可以有效防止系统被扫描或者意外暴露。
通过专有网络VPC 实现网络内部逻辑隔离,防止来自内网傀儡机的攻击。
关于专有网络VPC 的详细介绍,请参见什么是专有网络。
以上内容摘自《云上安全产品实战手册》电子书,点击https://developer.aliyun.com/topic/download?id=1082可下载完整版
缓解 DDoS 攻击的风险,您可以采取以下几个有效的方法:
缩小暴露面:
避免将非业务必需的服务端口暴露在公网上,从而减少与业务无关的请求和访问1。
通过配置安全组,有效防止系统被扫描或意外暴露。
优化业务架构:
在业务部署前期或运营期间,进行压力测试,评估现有架构的业务吞吐处理能力,为 DDoS 防御提供详细的技术参数指导信息。
使用弹性伸缩(Auto Scaling)来自动调整弹性计算资源,缓解会话层和应用层攻击。
服务器安全加固:
更新系统补丁,确保服务器的系统文件是最新的版本。
限制同时打开的 SYN 半连接数目,缩短 SYN 半连接的 timeout 时间,限制 SYN、ICMP 流量。
仔细检查网络设备和服务器系统的日志,确保安全。
提供余量带宽:
在购买带宽时,确保有一定的余量带宽,避免遭受攻击时带宽大于正常使用量而影响正常用户。
建立应急响应预案:
提前准备应急技术预案,进行技术演练,以检验应急响应预案的合理性。
选择合适的商业安全方案,如 Web 应用防火墙(WAF)或 DDoS 高级防护。
请注意,DDoS 攻击是业内公认的行业公敌,需要多方共同维护网络的稳定性。
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
