第三章云盾的网络级防护.docxVIP

云盾网络级防护 基础DDOS防护 解释：分布式拒绝服务攻击，让制定目标无法提供正常服务。 防护实现流程：检测、调度、清洗、回注（旁路部署，以流量镜像方式架设DDos攻击预警模块进行流量检测， 若发现有攻击行为，上报DDOS防护管理中心，进行清洗路由器处理后在回注） 主要功能：1、攻击流量自动发现索引及处理，2、能抵御网络层应用层的各种DDOS，3、大数据分析技术实现全自动检测，攻击策略全自动匹配，响应时间小于2秒，清洗服务可用性99.99% 演示 清洗预值、基础防护预值、弹性防护预值 DDos防护包与抗D流量包（两个产品搭配使用） DDos防护包针对ECS SLB WEB 应用防火墙 EIP等云产品直接提升防御能力的安全产品 2、特点：购买后即可生效，部署快；遭受大规模攻击时调用当前地域阿里云最大DDOS防护能力提供全力防护；采用阿里云BGP带宽，只需一个IP 可实现多个运营商的极速访问；海量清洗带宽，支持独享IP 3、DDOS防护包适用场景：网站类业务、APP应用类服务 4、DDOS防护包功能：解除黑洞，恢复用户业务(专业防护包送两次解除黑洞次数)（企业版送100次解除黑洞次数）可升级保底防护带宽，弹性防火带宽及共享IP个数。 5、防护包计费方式：保底防护带宽费用+弹性防护流量费用。 6、抗D流量包，抵扣DDOS防护包所产生的弹性防护流量费用 7、抗D流量包—D防护包的弹性流量企业版：计费周期为5分钟，5分钟根据防护包实例的全部入方向流量计算弹性防护流量费用，并消耗抗D流量包中的流量 举例：带宽100M，5分钟为300秒；300x0.1g(g代表流量)/8(8代表单位转换=3.75g ) DDos高防IP 高防IP原理：外网流量接入阿里高防机房，机房采用分布式部署，多节点同时清洗数据（四层流量清洗SYN ack udp icmp和7层清洗CC攻击http攻击），经过云盾高防节点清洗完后，以端口协议转发的方式将正常数据返回源站IP. DDOS 高防IP的脑功能：防御空链接 慢链接 恶意链接 检查报文的合法性 防御CC攻击（CC特点：IP真实、流量小，占用服务器资源），防御僵尸网络 防御WEB攻击。 原理：当用户购买VIP后，DNS服务器更对外服务IP1（改域名VIP1）流量完成切换（客户端向源站的访问流量直接流向VIP1，安全防护有高防接管），回源正常用户（回注与传统方式不同，传统是要打上VPN标签进行回注隔离主机路由，现采用的是协议栈更换技术 把处理完成的流量在送给源站IP1实现回注）。不光是为用户实现攻击防护，同时作为业务前置，把源站网络完全对外隐藏，降低风险