01-基础设施安全-2-DDOS防护-ACA-02-产品原理与接入流程(二)

本文涉及的产品
服务治理 MSE Sentinel/OpenSergo,Agent数量 不受限
可观测可视化 Grafana 版,10个用户账号 1个月
简介: 01-基础设施安全-2-DDOS防护-ACA-02-产品原理与接入流程(二)

开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程01-基础设施安全-2-DDOS防护-ACA-02-产品原理与接入流程(二)

课程地址:https://edu.aliyun.com/course/3111981/lesson/18878


01-基础设施安全-2-DDOS防护-ACA-02-产品原理与接入流程(二)


四、DDOS高防使用流程:防护非网站业务

图片11.png

下面,来看一下使用DDOS高防防护非网站业务的情况,使用DDOS高防防护非网站业务,比如说端游首都APP的时候,也是在买了DDOS高防实例之后是需要配置端口转发规则,然后,使用DDOS高防IP作为的业务IP,实现业务的接入,这一个背景,比如说和网站业务不同的一点在于说非网站业务配置只能进行自动的转发DDOS高防不会解析七层报文内容,也不提供基于七层报文的防护,比如说叫CC攻击web应用,防护这些,只支持四层的防护,比如说防护sylo,还有udplo及这些接入非网站业务的时候,只需要配置DDOS高防实力的端口转化规则,然后DDOS高防使用DDOS高防IP作为的业务IP就可以了。


第一步就是添加端口转发的规则同样也是在DDOS高防的控制台。选择接入管理。选择的端口接入,在端口接入页面,配置的选择的DDOS高防实,并且添加规则,在规则这里,添加转发协议,转发协议一般选择DCP或者UDP2种,然后端口,其实这就是DDOS高防实例使用的转发端口了,为了便于管理,建议,转发端口和原端口保持一致,当然,也可以不一致,根据国家的监管要求,防止未通过备案的域名接入的情况,DDOS高防不支持808080443和8453端口的接入配置,这些端口进行防护,建议使用运营防护,因为像808080这些都是外部应用,就是网站业务的,非网站业务一般很少用这些口,避免说有些人为了逃脱国家的监管,通过这种直接端口这么绕过的形式,所以是不支持,为了防止私自搭建DNS防护服务器,DDOS高防也不支持五三端口的配置介入,同时,也不允许已配置的转发端口同一个DDOS高防实IP和转发协议下,转发规则的转发端口必须为一,当添加同协议同转化端口规则的时候,系统将提示规则冲突,注意不要通过网站配置自动生成转化规则冲突。

原站端口就是原站使用的业务端口,还有原站IP就是的原站IP,那这里还有就是会员的转化模式,默认是允许的模式,转发端口规则配置完成之后,还是要将防护实际业务IP替换成DDOS高防IP,然后才能将的业务流量切换到DDOS高防,完成之后业务流量就会先经过DDOS高防再转发到原站的服务器里来,第二步,就是设置的转发端口和防护策略,在刚刚的添加转发端口规则后,可以根据配置端口转化策略,那比如说规划保持,还有多元的IP健康检查,也可以为非网站业务设置一道防护策略,比如说虚假源检测,目的限速包长度过滤,源限速等等这些。


这里也是操作还是通过台搜索接入,找到刚刚配置的规则,然后在这里,可以设置的会话保持,亚健康检查以及DDOS高防策略,在防护策略这里,可以设置虚假源,虚假源就是针对于虚假IP发起DDOS高防。一是进行校验和过滤,还有过滤限速,就是当前高防IP端口为统计对象,当每秒访问频率超出预支的时候,对前的高IP端口进行限速,那其余端口不受影响,还有的长度过滤了设置允许通过包最小和最大长度,小于最小长度或大于最大长度的会被丢弃,就防止有些不完整或者过差畸形的DDOS攻击等等


那进行这种高长度的处理,还有就是原站限速了,当高防IP端口为统计对象的情况。和IP为统计对象,对访问频率超出阈值的IP地址进行限速。访问速率,未超过阈值IP地址可能不受影响,原站限速支持黑名单控制,对于60秒内,比如说五次超限的IP,可以启动将原IP加入到黑名单的策略,并且将黑名单设置有效的时长,然后第三步,就是查看端口的防护数据,同样也是在的控制台安全总揽里面就可以看到整体的数据,包括攻击带宽的峰值攻击高速的峰值等等,图表进行随时随地的查看这就是整体使用DDOS高防防护非网站的流程先暂时介绍到这里。

 

五、DDOS高防接入流程

图片12.png

接下来看一下DDOS高防的接入流程,在这里首先购买DDOS高防以后,会有DDOS高仿的IP让VIP1根据到高房提供的VIP1在DNS服务器上把原域名IP1更换为的VIP1,然后第一步就是DNS服务器的更换对外的服务IP,第二步,就是流量完成切换,客户端向原站的访问流量直接向VIP1安全防护高进行接管。


比如刚才IPWWW.XX.com=IP1,现在改成了VIP1,用户访问的高仿,那个访问的流量,就进入到高中心里来了,然后,高防中心进行回原,正常的户回原到的原服务器里来的方式和传统不同,传统打上VPN的标签进行回注隔离主机路由,采用协议栈更换技术,把处理完成的流量再送给源站IP1实现回注,不光为用户实现了攻击防护,同时,做为业务前置,把源站网络完全对外隐藏,也就是暴露的是高仿的云IP地址,降低安全风险

 

六、DDOS高防产品使用界面

图片13.png

看一下DDOS高防产品使用页面,这张图介绍DDOS高防,新进BGP的使用页面,显示的就是安全的览,可以看到的实和域营的选项,以及带宽的峰值情况,以及左侧这里可以看到域名的接入管理,刚刚提到的域名接入端口接入流量调动器,资产管理,这里可以看到实力管理资产就是这些实例,调查分析有全量的日志分析操作日志,然后防控设置就是通用的防护策略,以及定制场景的策略,然后还有是DDOS防护实验室,里面有提到的网页缓存加速,但是后面是DDOS高防的国际版,以及旧版的DDOS高防的页面,就是DDOS高防产品使用的页面的展示

相关文章
|
安全 网络安全 数据安全/隐私保护
【计算机网络】网络安全 : 计算机网络安全威胁 ( 四种网络攻击类型 | 主动攻击与被动攻击 | 分布式拒绝服务攻击 DDos | 恶意程序 | 计算机网络安全目标)
【计算机网络】网络安全 : 计算机网络安全威胁 ( 四种网络攻击类型 | 主动攻击与被动攻击 | 分布式拒绝服务攻击 DDos | 恶意程序 | 计算机网络安全目标)
905 0
|
7月前
|
域名解析 人工智能 安全
01-基础设施安全-2-DDOS防护-ACA-01-产品功能与核心价值(三)
01-基础设施安全-2-DDOS防护-ACA-01-产品功能与核心价值(三)
77 0
|
11月前
|
网络安全
《阿里云产品手册2022-2023 版》——DDoS 防护
《阿里云产品手册2022-2023 版》——DDoS 防护
100 0
|
云安全 域名解析 弹性计算
阿里云服务器DDoS基础防护申请流程及常见问题解答
阿里云服务器为了能够更好的保护好每一个用户的云安全,提供免费的DDos防护——DDos基础防护。阿里云云安全中心默认为ECS实例免费提供最大5 Gbps的流量攻击的防护,不同实例规格的免费防护流量不同,用户可以登录云安全中心DDoS防护管理控制台查看实际防护阈值。
1027 0
阿里云服务器DDoS基础防护申请流程及常见问题解答
|
域名解析 云安全 弹性计算
阿里云安全ACP认证考试实验之非网站业务如何接入DDos高防IP
阿里云安全ACP认证考试实验之非网站业务如何接入DDos高防IP
160 0
阿里云安全ACP认证考试实验之非网站业务如何接入DDos高防IP
|
云安全 网络安全
阿里云DDoS高防国内和国际简介和购买流程
如果你上线比较大型的互联网项目或者游戏,常常会被同行恶意寻找第三方团队攻击,这个时候你就要保护你的服务器的IP不会被攻击,导致IP瘫痪,导致你的项目访问不了,就需要用到阿里云DDOS高防IP。 使用DDoS高防(新BGP)或DDoS高防(国际)服务过程中的具体功能点差异,并非作为您选择服务的依据。一般情况下建议您为部署在中国内地地域的业务开通DDoS高防(新BGP)服务,为部署在中国内地以外地域的业务开通DDoS高防(国际)服务。下图是两则的区别
阿里云DDoS高防国内和国际简介和购买流程
|
云安全 安全 网络协议
为什么使用了高防产品之后,源站IP仍然泄漏了,攻击者针对源站发起DDOS攻击,导致业务不可用?
为什么使用了高防产品之后,源站IP仍然泄漏了,攻击者针对源站发起DDOS攻击,导致业务不可用?
238 0
|
安全 网络协议 网络安全
❤️DDOS攻击详解❤️——万物互联时代的巨大威胁!安全领域最棘手的问题之一
DDOS全称Distributed Denial of Service,翻译成中文是‘分布式拒绝服务’,DDOS攻击是安全领域最难解决的问题之一,由于其攻击方式的特殊性,始终没有一个完美的解决方案,随着万物互联时代的临近,网络设备的数量呈指数型增长,DDOS攻击将会成为一个巨大的威胁!!!
252 0
❤️DDOS攻击详解❤️——万物互联时代的巨大威胁!安全领域最棘手的问题之一
|
数据采集 移动开发 弹性计算
日志审计携手DDoS防护助力云上安全
本文主要介绍日志审计结合DDoS防护保障云上业务安全的新实践。
|
云安全 安全 网络安全
阿里云安全运营中心:DDoS攻击趁虚而入,通过代理攻击已成常态
阿里云安全运营中心对疫情期间的应用层DDoS攻击事件做了深入分析,希望给企业提升防御水位提供参考。
867 0
阿里云安全运营中心:DDoS攻击趁虚而入,通过代理攻击已成常态