火山引擎 DDoS 原生防护基于云原生网络,为火山引擎云上用户提供最高 T 级 DDoS 防护能力,可防御 UDP Flood、SYN Flood 等 4 层 DDoS 攻击。此外,DDoS 原生防护还可以与火山引擎 Web 应用防火墙(WAF)联合使用,为您的网站业务提供应用层防护,例如识别并阻断 SQL 注入、跨站脚本攻击(XSS)、CC 攻击等。本文介绍如何同时部署 DDoS 原生防护和 WAF 服务,以实现更全面的安全防护。
部署架构
- 所有请求流量首先经 DDoS 原生防护进行检测和清洗,以拦截网络层和传输层的攻击,如 SYN Flood、UDP Flood 等。
- 清洗后的流量被转发至 WAF,由 WAF 进行深度检测,识别并阻断 SQL 注入、CC 攻击、恶意爬虫扫描等 Web 应用层攻击。
- 过滤后的合法流量被转发至源站服务器,由源站服务器进行业务处理和响应。
方案优势
分层防护机制
DDoS 原生防护专注于 4 层攻击防御,能有效抵御大流量 DDoS 攻击,保护网络基础设施的稳定性。而 Web 应用防火墙专注于应用层的安全防护,可以检测和拦截针对 Web 应用的攻击。两者在防护能力上互为补充,能帮助您的业务有效应对不同类型的攻击,提升整体安全防护能力。
一键快捷配置
DDoS 原生防护支持与云 WAF 实例快速集成,只需将云 WAF 实例的 EIP 添加到 DDoS 原生防护实例中,即可快速启用防护。整个部署过程简单高效,无需调整业务架构或修改代理配置,降低了部署和维护的复杂度。
隐藏源站 IP
当 DDoS 原生防护与云 WAF 实例绑定后,客户端请求会通过 WAF 回源 IP 转发至您的源站。用户将直接访问 WAF 节点的 IP,而非源站 IP,从而有效保护您的源站服务器的安全。
混合云防护
DDoS 原生防护仅支持云内公网资产的防护,但通过集成云 WAF 的防护能力,该方案可应用于云外或者多云场景。云 WAF 能够将流量转发至云外源站,而 DDoS 原生防护则专注于保护云 WAF 的代理 IP。这种架构使得云外资产也能享受到 DDoS 原生防护和 WAF 的双重保护。
DDoS 原生防护高级版与企业版对比
DDoS 原生防护与 WAF 绑定后,原生防护会根据 WAF 实例对应的 EIP 进行防护。DDoS 原生防护高级版和企业版在防护的 EIP 类型上有所不同,因此操作方法也存在差异,以下是对比说明:
项目 | DDoS 原生防护(高级版)+ 云 WAF | DDoS 原生防护(企业版)+ 云 WAF |
|---|---|---|
防护 EIP 类型 | 普通型 EIP | 增强型 EIP |
实例到期影响 |
|
|
WAF 绑定方式 |
注意事项
- 待绑定的 DDoS 原生防护实例和云 WAF 实例必须处于同一地域。
- 仅支持防护通过 CNAME 方式接入云 WAF 实例的网站业务。
场景一 将云 WAF 实例添加到 DDoS 原生防护高级版进行防护
DDoS 原生防护高级版支持防护普通型 EIP,而云 WAF 实例开通时会默认创建普通型 EIP。因此,在这种情况下,您可以在 DDoS 原生防护控制台或是 WAF 控制台进行绑定。
前提条件
- 您已购买 DDoS 原生防护高级版实例。详情可参考购买原生防护高级版。
- 您已购买云 WAF 实例。详情可参考购买云 WAF 实例。
- 您的网站业务已经通过 CNAME 方式接入到云 WAF 实例。详情可参考通过 CNAME 方式接入云 WAF 实例。
操作步骤
在 DDoS 原生防护控制台一键防护 WAF
登录DDoS原生防护控制台。
在顶部菜单栏选择接入实例所属地域。
注意
该地域需要云 WAF 实例所属地域一致。
在页面左侧,选择DDoS原生防护>防护资源。
在列表上方选择目标 DDoS 原生防护(高级版)实例。
单击添加防护EIP。
筛选 Web 应用防火墙资源类型,并勾选目标实例。
单击确认。
添加完成后,您的 WAF 实例即可享有 DDoS 原生防护实例的全力防护能力,在业务遭受DDoS攻击时,系统会自动触发流量清洗,从而有效防御 DDoS 攻击。
通过 Web 应用防火墙控制台一键启用 DDoS 防护
- 如果待防护域名尚未被添加至您创建的云 WAF 实例,可以在配置网站接入参数时,关联需要绑定的原生防护实例。具体操作可参考通过 CNAME 方式接入云 WAF 实例。
- 如果在绑定前,您已经完成了待防护域名的接入配置,但尚未关联 DDoS 原生防护实例,则可以前往网站配置列表进行绑定操作。
此处介绍如何为已经接入云 WAF 实例的防护网站开启 DDoS 原生防护。
登录Web 应用防火墙控制台。
在顶部菜单栏选择接入实例所属地域。
注意
该地域需要与 DDoS 原生防护实例所属地域一致。
在左侧导航选择网站设置。
筛选 CNAME 接入的网站,选择目标网站,选择更多>接入 DDoS 原生防护。
选择 DDoS 原生防护高级版实例,并单击接入防护。
注意
将防护网站接入对应 DDoS 原生防护实例后,该网站关联的云 WAF 实例防护的所有网站都会受到原生防护服务的安全防护。
场景二 将云 WAF 实例添加到 DDoS 原生防护企业版进行防护
DDoS 原生防护企业版支持防护增强型 EIP,而云 WAF 实例开通时默认创建的是普通型 EIP。因此,在这种情况下,DDoS 原生防护控制台的防护资源列表无法展示对应的云 WAF 资源,您需要通过 WAF 控制台进行绑定操作。
注意事项
如您之前配置并开启了 WAF 关联 EIP 实例的云防火墙防护策略,在您开启 DDoS 原生防护(企业版)后,WAF 的 EIP 会被 DDoS 原生防护(企业版)防护的增强型防护 EIP 替代,此时 WAF 实例不再受已有的云防火墙防护策略保护。如需重新开启云防火墙防护,请重新进行配置。
前提条件
- 您已购买 DDoS 原生防护企业版实例。详情可参考购买原生防护企业版。
- 您已购买云 WAF 实例。详情可参考购买云 WAF 实例。
- 您的网站业务已经通过 CNAME 方式接入到云 WAF 实例。详情可参考通过 CNAME 方式接入云 WAF 实例。
操作步骤
- 如果待防护域名尚未被添加至您创建的云 WAF 实例,可以在配置网站接入参数时,关联需要绑定的原生防护实例。具体操作可参考通过 CNAME 方式接入云 WAF 实例。
- 如果在绑定前,您已经完成了待防护域名的接入配置,但尚未关联 DDoS 原生防护实例,则可以前往网站配置列表进行绑定操作。
此处介绍如何为已经接入云 WAF 实例的防护网站开启 DDoS 原生防护。
登录Web 应用防火墙控制台。
在顶部菜单栏选择接入实例所属地域。
注意
该地域需要与 DDoS 原生防护实例所属地域一致。
在左侧导航选择网站设置。
筛选 CNAME 接入的网站,选择目标网站,选择更多>接入 DDoS 原生防护。
选择 DDoS 原生防护企业版实例,并单击接入防护。
注意
将防护网站接入对应 DDoS 原生防护实例后,该网站关联的云 WAF 实例防护的所有网站都会受到原生防护服务的安全防护。