IDC代播防護的配置通常要花費一些時間,需要您和阿里云技術支持根據業務商定才能完成整個流程配置。本文僅介紹IDC代播配置流程。
步驟一:購買防護代播實例
訪問原生防護代播實例售賣頁。
完成各項配置后,仔細閱讀并勾選服務協議,跟隨指引完成購買。
配置項
說明
代播模式
On-demand:適合于攻擊相對不是太頻繁的業務。
Always-on:適合遭受攻擊頻率較高的業務。
防護閾值
全力防護。詳細介紹,請參見全力防護。
防護模式
保險模式(2次/月):每月有兩次全力防護次數。每月初次數重置。
無憂模式(不限次):每月有不限次的全力防護次數。
詳細介紹,請參見防護次數。
干凈帶寬
正常業務流量帶寬。購買實例時默認為100 Mbps,支持以100 Mbps為步長擴展,最大支持擴展到100,000 Mbps。
C段數量
IDC服務器中的C段IP的數量。購買實例時默認為1,最大支持擴展到10,000。
IDC數量
IDC服務器的數量。購買實例時默認為1,最大支持擴展到10。
初裝模式
代播基礎設施安裝。
初裝數量
數量與您的回注點配置相關。
聯系售前商務經理完成基礎設施配置。
步驟二:將網段添加到代播防護實例中
登錄流量安全產品控制臺。
訪問頁面,頂部菜單欄選擇地域為非中國內地。
選擇代播實例后,在頁面右上角單擊回注配置管理,創建回注點。
回注類型:與阿里云協商配置。
回注點:從哪個清洗中心回注業務流量,一般配置為IDC服務器的地域,根據實際業務配置一個或多個回注點。
單擊添加網段轉發,將網段添加到防護對象中。
添加網段:請輸入網段+子網掩碼,非擴容網段支持/22~/28,擴容網段支持/16~/22。
說明當您要防護的網段是/22~/16時,可以選擇展開子網,配置后控制臺上會生成多個子網的代播防護配置項,您可以單獨為某一個子網開啟或關閉代播防護。
回注類型:與阿里云協商配置。
請選擇回注區域:
全部清洗中心統一回注:流量經過各地域的清洗中心后,清潔流量會先轉發到您配置的回注點的清洗中心,再回注到IDC服務器。
不同清洗中心獨立回注:流量經過各地域的清洗中心后,先將清潔流量轉發到您配置的回注點的清洗中心,再由各回注點將流量回注到IDC服務器。
步驟三:完成代播防護配置
在代播啟動模式列,設置牽引模式。
手動
默認為手動,該模式下您需要在IDC服務器遇到DDoS攻擊時,手動開啟代播防護,并在攻擊結束后,手動關閉代播防護。
NetFlow自動
IDC的網絡帶寬或者報文數量連續多次超過您設置的閾值,將自動開啟代播防護。選擇該模式后,您還需要配置代播防護的自動啟動規則和停止方式等參數。
重要該方式僅支持阿里云的云上IDC,且僅支持特定協議,因此使用前請聯系阿里云技術支持人員。
參數
說明
策略名稱
自定義策略名稱。
BPS閾值
入方向帶寬閾值,通常可以設置為正常業務BPS的2倍。單位:Mbps。最小值:100。
PPS閾值
入方向報文數閾值,通常可以設置為正常業務PPS的2倍。單位:Kpps。最小值:10。
連續
從互聯網訪問IDC的網絡帶寬或者報文數量連續超過閾值多少次時,將自動開啟代播防護。
停止方式
代播防護開啟后,停止代播防護的方式。可選值:
手動停止(默認):您需要在攻擊停止后,手動停止代播防護。
自動停止:攻擊停止后,自動在您指定的時間停止代播防護。
時區:選擇您的IDC服務器所在的時區。使用格林威治時間表示,格式:
GMT-hh:mm。例如,GMT-08:00表示東八區。自動停止時間:自動停止代播防護的時間。使用24小時制表示,格式:
hh:mm。建議您將該時間設置為業務低峰期。當阿里云DDoS防護檢測到攻擊停止后,會在您設置的時間自動停止代播防護。
在審核狀態列,單擊審核,由阿里云審核當前網段的合法性。
審核通過的網段可進行牽引,提交后建議您聯系阿里云技術支持。
在防護模版列,選擇防護模板。
防護模板
防護操作
說明
通用策略
過濾不符合協議規范的畸形報文
過濾明確攻擊特征的TCP/UDP/ICMP報文
過濾IP分片報文及非TCP/非UDP/非ICMP的協議
對部分異常訪問源IP進行校驗及限速
清洗策略適用于絕大多數業務,可有效防護常見DDoS攻擊。
辦公策略
過濾不符合協議規范的畸形報文
過濾明確攻擊特征的TCP/UDP/ICMP報文
過濾IP分片報文
允許GRE/IPSec等IP協議通過
對訪問源IP校驗較為寬松
對外訪問限制較為寬松,適用于辦公網絡環境。
游戲TCP策略
過濾不符合協議規范的畸形報文
過濾明確攻擊特征的TCP/UDP/ICMP報文
過濾IP分片報文及非TCP/非UDP/非ICMP的協議
對部分異常訪問源IP進行校驗及限速
對UDP報文進行嚴格校驗及限制
業務形態以TCP接入為主時,建議您選擇此策略。
游戲UDP策略
過濾不符合協議規范的畸形報文
過濾明確攻擊特征的TCP/UDP/ICMP報文
過濾IP分片報文及非TCP/非UDP/非ICMP的協議
對UDP報文校驗較為寬松
業務形態以UDP接入為主時,建議您選擇此策略。
步驟四:啟動代播防護
On-demand
手動牽引模式
當IDC服務器的運維人員判斷遭受攻擊時,請單擊操作列的啟動牽引,牽引狀態會變更為牽引中,表示被防護資產的流量已經獲得DDoS防護。
如果您希望停止防護,則可以單擊暫停牽引。暫停牽引后,代播實例將不再為被防護資產的流量提供DDoS防護服務。
NetFlow自動牽引模式
如果從互聯網訪問IDC的網絡帶寬或者報文數量連續多次超過您設置的閾值,將自動開啟代播防護。
Always-on
即一直將IDC的入流量重定向到清洗中心,因此無論是否遭受攻擊,都開啟牽引。
請單擊操作列的啟動牽引,牽引狀態會變更為牽引中,表示被防護資產的流量已經獲得DDoS防護。
步驟五:驗證代播及回注是否正常
您可以通過traceroute命令查看流量是否經過AS134963,或者通過監控報表上是否有流量確定代播是否成功。
您可以通過回注狀態列,是否顯示正常確認回注狀態。顯示為其他狀態時,請您聯系阿里云技術支持。
步驟六:查看攻擊防護報表
攻擊結束后,單擊操作列的查看監控、查看IDC攻擊分析,查看相應的攻擊數據。