边缘安全
  • 概述
  • DDoS 防护
    • DDoS 防护概述
    • 使用独立 DDoS 防护
    • 配置独立 DDoS 防护策略
      • 调整 DDoS 防护等级
      • 独立 DDoS 攻击流量告警
      • 配置 IP 黑白名单
      • 配置区域封禁
      • 配置端口过滤
      • 配置特征过滤
      • 配置协议封禁
      • 配置连接类攻击防护
      • 相关参考
        • 处置方式
        • 相关概念介绍
  • Web 防护
    • 概述
    • 托管规则
    • CC 攻击防护
    • 自定义规则
    • 自定义速率限制规则
    • 防护例外规则
    • 托管定制规则
    • Web 安全监控告警
    • 相关参考
      • Web 防护请求处理顺序
      • 处置方式
      • 匹配条件
  • Bot 管理
    • 概述
    • Bot 智能分析
    • Bot 基础特征管理
    • 客户端画像分析
    • 主动特征识别
    • 自定义 Bot 规则
    • Bot 管理例外规则
    • 相关参考
      • 处置方式
  • 策略模板
  • IP 和网段分组
  • 源站防护
  • 自定义响应页面
  • 告警通知推送
  • SSL/TLS
    • 概述
    • 部署/更新 SSL 托管证书至 EdgeOne 域名
    • 使用免费证书部署至 EdgeOne 域名
    • HTTPS 配置
      • 强制 HTTPS 访问
      • 启用 HSTS
      • SSL/TLS 安全配置
        • 配置 SSL/TLS 安全等级
        • TLS 版本及密码套件说明
      • 开启 OCSP 装订

使用独立 DDoS 防护

背景介绍

如果您的业务对接入服务有如下要求:
1. 需要承诺防护容量的 DDoS 防护服务。如:金融业务、游戏平台服务等。
2. 在遭受大规模 DDoS 攻击时,平台默认防护下的业务可能会由于业务调度而改变解析 IP,从而影响到业务正常运行。您有需要持续保持会话状态业务,包括保持 DNS 解析 IP 不变、维持 TCP 长连接和 HTTP 长会话状态。如:多人在线游戏服务、语音服务等。
3. 需要定制网络层 DDoS 防护策略或网络层管控策略。如:需要丢弃来自指定地区的客户端流量。

建议您选购独立 DDoS 防护服务。独立 DDoS 防护服务在平台默认防护基础上,进一步提供:
1. 常态接入清洗中心,持续检测清洗并过滤恶意流量。
2. 承诺的防护容量,防护过程中保持会话状态稳定,可根据业务部署情况灵活选择全球可用区(不含中国大陆)、中国大陆可用区、全球可用区的防护规格。
3. 可定制的 DDoS 防护策略,包括基于 IP 和客户端区域的管控选项。
帮助您缓解 DDoS 攻击风险,保障业务稳定。

策略配置

独立 DDoS 防护可针对您的业务防护需求,提供灵活的 DDoS 自定义防护和流量管控策略,您可根据特殊业务特点灵活设置,应对不断变化的攻击手法。对于四层代理实例,支持以下自定义规则能力配置:
防护模块
功能说明
在 DDoS 攻击中通过匹配 IP 黑白名单的方式来限制对 EdgeOne 站点的访问。
在 DDoS 攻击中通过自定义端口规则,限制指定端口范围访问 EdgeOne 站点。
可配置仅允许用户通过指定协议访问 EdgeOne 站点。
支持对连接型攻击进行防护,对连接行为异常的客户端自动封禁。
在 DDoS 攻击中支持针对 IP、TCP 及 UDP 报文头或载荷中的特征自定义拦截策略。
在 DDoS 攻击中通过匹配区域的方式来限制对 EdgeOne 站点的访问。
说明:
1. 仅支持启用独立 DDoS 防护的四层代理实例配置自定义 DDoS 防护策略。
2. 当访问流量同时匹配多个防护模块的策略时,按照表格所示的模块顺序处理。

使用指引

独立 DDoS 防护可应用于七层业务以及四层业务中,您可以参照以下不同的场景来了解如何为您的站点开启独立 DDoS 防护。
说明:
独立 DDoS 防护仅支持 2023 年 07 月 01 日后接入的企业版套餐使用。如您在此日期之前接入了 EdgeOne企业版并希望使用独立 DDoS 防护,请联系售后或技术支持。

场景一:为七层站点开启独立 DDoS 防护

场景示例

您通过站点域名 onelogin.example.com 提供了 HTTPS 统一登录服务(SSO,Single-Sign-On),主要服务于中国大陆地区用户,由于经常被 DDoS 攻击会导致用户无法正常登录,预计日常攻击量级为 30Gbps,高峰期可能达到 50Gbps,需要接入独立 DDoS 防护以确保提供稳定可用服务。

注意事项

七层站点内的独立 DDoS 防护创建后,暂不支持在控制台内退订,如需退订请联系腾讯云商务。
开启或关闭 DDoS 防护过程中,会对业务造成影响(连接重置等),影响时长预估为启用或关闭一般 2-3 分钟左右生效,如有本地或运营商 DNS 缓存时,切换可能更晚生效,具体时效时长取决于客户端所使用的 DNS 记录的 TTL 配置。

操作步骤

1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击安全防护 > DDoS 防护。
3. 在站点(七层)服务防护页签,单击订阅独立 DDoS 防护。

4. 在订阅独立 DDoS 防护实例页面,选择需要订阅的防护区域以及防护规格。以本场景为例,根据服务区域及历史攻击量级,可选择订阅中国大陆可用区保底 30Gbps,弹性容量防护峰值为 50Gbps。

5. 确认相关费用信息后,勾选同意相关用户协议,并单击立即订阅,将开始为您自动下发独立 DDoS 防护实例配置。
6. 实例下发完成后,您可以在防护配置页面内,为所有域名开启独立 DDoS 防护,或者选择该场景内的 onelogin.example.com,为该域名开启独立 DDoS 防护。
7. 如果对单域名启用独立 DDoS 防护,将弹出部署确认窗,单击确认后开始部署,等待部署完成后即可生效。

场景二:为四层代理实例开启独立 DDoS 防护

场景示例

您有一款即将发布上线的游戏,需借助四层代理加速来优化玩家登录体验,通过 80 端口转发 TCP 流量数据,该游戏主要在海外发行, 预计在上线期间可能遭遇大流量 DDoS 攻击(不超过300 Gbps),可通过接入独立 DDoS 防护以确保在发布和运营期间的登录接口服务稳定,避免玩家流失。

注意事项

当前仅允许在新建四层代理实例时选用独立 DDoS 防护,创建后不可修改、不可变更;
四层代理的独立 DDoS 防护创建后,暂不支持动态开启/关闭。

操作步骤

1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击四层代理。
3. 在四层代理管理实例页面,单击新建四层代理
4. 新建四层代理实例时,在安全防护配置中,可选择对应的防护方式,切换为独立 DDoS 防护,以当前场景为例,可选择 Anycast 联防 300Gbps。

5. 确认相关用户协议以及价格信息后,点击订阅,完成四层代理实例创建。创建后,平台会自动为该实例下发独立 DDoS 防护配置;
6. 下发配置完成后,您可以点击配置,进入该实例配置界面,添加需要加速的端口信息以及源站地址,单击保存,即可开启四层代理加速。

相关参考

工作原理

开启独立 DDoS 防护后,将按下列流程处理流量:
1. 客户端解析服务 DNS 记录时,将获得清洗中心地址。
2. 客户端访问服务时,清洗中心首先对流量进行清洗,自动识别并过滤其中的网络层 DDoS 攻击流量。如果当前业务已接入四层代理,过滤后流量由四层代理服务转发加速。

如果您的站点包含七层站点加速,流量将继续按照如下步骤转发:
3. 经过 SSL 认证后,HTTPS 协议请求继续经过 Web 防护、Bot 管理安全策略进行防护;
4. 通过安全模块校验的请求将继续进行站点缓存、站点加速、回源服务等功能模块。