背景介绍
如果您的业务对接入服务有如下要求:
1. 需要承诺防护容量的 DDoS 防护服务。如:金融业务、游戏平台服务等。
2. 在遭受大规模 DDoS 攻击时,平台默认防护下的业务可能会由于业务调度而改变解析 IP,从而影响到业务正常运行。您有需要持续保持会话状态业务,包括保持 DNS 解析 IP 不变、维持 TCP 长连接和 HTTP 长会话状态。如:多人在线游戏服务、语音服务等。
3. 需要定制网络层 DDoS 防护策略或网络层管控策略。如:需要丢弃来自指定地区的客户端流量。
?
建议您选购独立 DDoS 防护服务。独立 DDoS 防护服务在平台默认防护基础上,进一步提供:
1. 常态接入清洗中心,持续检测清洗并过滤恶意流量。
2. 承诺的防护容量,防护过程中保持会话状态稳定。
3. 可定制的 DDoS 防护策略,包括基于 IP 和客户端区域的管控选项。
帮助您缓解 DDoS 攻击风险,保障业务稳定。
使用指引
独立 DDoS 防护可应用于七层业务以及四层业务中,您可以参照以下不同的场景来了解如何为您的站点开启独立 DDoS 防护。
说明:
场景一:为七层站点开启独立 DDoS 防护
场景示例
您通过站点域名
onelogin.example.com 提供了 HTTPS 统一登录服务(SSO,Single-Sign-On),主要服务于中国大陆地区用户,由于经常被 DDoS 攻击会导致用户无法正常登录,预计日常攻击量级为 30Gbps,高峰期可能达到 50Gbps,需要接入独立 DDoS 防护以确保提供稳定可用服务。注意事项
七层站点内的独立 DDoS 防护创建后,暂不支持在控制台内退订,如需退订请联系腾讯云商务。
开启或关闭 DDoS 防护过程中,会对业务造成影响(连接重置等),影响时长预估为启用或关闭一般 2-3 分钟左右生效,如有本地或运营商 DNS 缓存时,切换可能更晚生效,具体时效时长取决于客户端所使用的 DNS 记录的 TTL 配置。
操作步骤
1. 登录 边缘安全加速平台控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击安全防护 > DDoS 防护。
3. 在站点(七层)服务防护页签,单击订阅独立 DDoS 防护。
?
4. 在订阅独立 DDoS 防护实例页面,选择需要订阅的防护区域以及防护规格。以本场景为例,根据服务区域及历史攻击量级,可选择订阅中国大陆可用区保底 30Gbps,弹性容量防护峰值为 50Gbps。
?
5. 确认相关费用信息后,勾选同意相关用户协议,并单击立即订阅,将开始为您自动下发独立 DDoS 防护实例配置。
6. 实例下发完成后,您可以在防护配置页面内,为所有域名开启独立 DDoS 防护,或者选择该场景内的
onelogin.example.com,为该域名开启独立 DDoS 防护。7. 如果对单域名启用独立 DDoS 防护,将弹出部署确认窗,单击确认后开始部署,等待部署完成后即可生效。
场景二:为四层代理实例开启独立 DDoS 防护
场景示例
您有一款即将发布上线的游戏,需借助四层代理加速来优化玩家登录体验,通过 80 端口转发 TCP 流量数据,该游戏主要在境外发行, 预计在上线期间可能遭遇大流量 DDoS 攻击(不超过300 Gbps),可通过接入独立 DDoS 防护以确保在发布和运营期间的登录接口服务稳定,避免玩家流失。
注意事项
当前仅允许在新建四层代理实例时选用独立 DDoS 防护,创建后不可修改、不可变更;
四层代理的独立 DDoS 防护创建后,暂不支持动态开启/关闭。
操作步骤
1. 登录 边缘安全加速平台控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击四层代理。
3. 在四层代理管理实例页面,单击新建四层代理。
4. 新建四层代理实例时,在安全防护配置中,可选择对应的防护方式,切换为独立 DDoS 防护,以当前场景为例,可选择 Anycast 联防 300Gbps。
?
5. 确认相关用户协议以及价格信息后,单击订阅,完成四层代理实例创建。创建后,平台会自动为该实例下发独立 DDoS 防护配置。
6. 下发配置完成后,您可以单击配置,进入该实例配置界面,添加需要加速的端口信息以及源站地址,单击保存,即可开启四层代理加速。
场景三:七层站点复用四层代理实例 DDoS 防护资源
场景示例
假设您当前的邮箱 Exchange 服务同时通过 HTTPS 协议和多个 TCP/UDP 协议在内的多种协议提供服务,近期遭受了超过 200Gbps DDoS 攻击。由于其业务架构特点同时具有 HTTPS 和 TCP/UDP 服务,黑客可以同时通过 HTTPS 或者 TCP/UDP 发起 DDoS 攻击。因此,需要同时为七层站点和四层代理提供安全防护。
注意事项
七层站点复用四层代理的独立 DDoS 防护时,需要在独立 DDoS 防护内配置端口过滤,放行七层流量访问时使用的端口,避免七层流量被拦截。
当前功能仍在内测中,如有需要,您可联系腾讯云商务开通。
操作步骤
步骤1:新建四层代理实例并开启防护
1. 登录 边缘安全加速平台控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击四层代理。
3. 在四层代理管理实例页面,单击新建四层代理。
4. 在新建四层代理实例页面,可选择对应的防护方式,切换为独立 DDoS 防护,以当前场景为例,可选择 Anycast 联防 300Gbps。
?
5. 确认相关用户协议以及价格信息后,单击订阅,完成四层代理实例创建。创建后,平台会自动为该实例下发独立 DDoS 防护配置。
6. 下发配置完成后,您可以单击配置,进入该实例配置界面,添加需要加速的端口信息以及源站地址,单击保存,即可开启四层代理加速。
步骤2:在四层代理安全防护实例中,放行七层访问流量
1. 四层代理配置完成后,在 DDoS 防护 > 四层代理防护页签中,选择 步骤1 所创建的四层代理实例,单击防护配置。
?
2. 在防护配置中,找到端口过滤卡片,单击设置进入配置界面;单击新建,配置放行源端口范围为1-65535,目的端口范围443的规则,动作选择为继续防护,放行对应的七层流量,单击保存即可生效。通过同样的步骤再添加一条规则放行80端口。完整配置规则如下:
?
步骤3:复用四层代理防护实例,为七层站点域名提供防护
1. 在 DDoS 防护 > 四层代理防护页签中,单击复用四层代理防护。
?
2. 选择需要复用的四层代理防护资源后,单击确定,将开启自动下发独立 DDoS 实例配置。
?
3. 实例下发完成后,您可以在防护配置界面内,为所有域名开启独立 DDoS 防护,或者选择该场景内的
exchange.example.com,为该域名开启独立 DDoS 防护。相关参考
工作原理
开启独立 DDoS 防护后,将按下列流程处理流量:
1. 客户端解析服务 DNS 记录时,将获得清洗中心地址。
2. 客户端访问服务时,清洗中心首先对流量进行清洗,自动识别并过滤其中的网络层 DDoS 攻击流量。如果当前业务已接入四层代理,过滤后流量由四层代理服务转发加速。
?
如果您的站点包含七层站点加速,流量将继续按照如下步骤转发:
3. 经过 SSL 认证后,HTTPS 协议请求继续经过 Web 防护、Bot 管理安全策略进行防护。
4. 通过安全模块校验的请求将继续进行站点缓存、站点加速、回源服务等功能模块。
