前面我们持续带入新的服务利用架构的方式解决网站负载问题,在资安方面使用了应用防火墙(WAF)能有效的防阻Http Flood等第七层的攻击行为,但WAF只针对应用层的行为做分析及精确的访问规则,对於网路层、传输层的攻击并无法保护,由其在传输层的攻击往往会造成庞大的流量导致网路壅塞濒紧,而在面临TCP、UDP等传输层的攻击,在阿里云上提供了全球Anycast的Anti-DDoS高防可以有效缓解攻击所造成的全面影响
高防会透过代理的方式设置,并将来至Internet上的访问流量导入至高防清洗中心(cleaning house),封包将自动比对恶意攻击特徵资料库,并进行过滤让正常的访问流量转发回後端服务器,以此方式让服务不受影响中断,以下介绍笔者认为Anti-DDoS高防的关键功能
Anycast:
DDoS高防在全球有数个基於Anycast IP 网路架构基础上的cleaning house,透过分散式的方式,让分散式阻断攻击的来源无法汇集在一起,达到单一清洗中心部会因为遭受大量网路攻击而网路瘫痪
流量调度器
流量调度器是高防的一项附加服务,透过DNS搭配攻击特徵比对,让高防服务能在CDN与其它优化连线的云服务之间做智能判断切换
接着我们要在WAF前在加上一层高防服务保护3-7层上的网路安全,并且透过高防服务附加的DNS调度服务让我们的服务在未受大量DDoS攻击前使用CDN让访问者能有最好的访问体验
在产品列表Security分类上,找到DDoS高防(Anti-DDos)
在高防选择上主要分为三类简单区分:
防护方案分为:
功能选择:
建立好高防实例後,可以在实例管理里看到配置好的高防Anycast实例IP
接着可以选择代理方式分为:
看起来很简单就能完成配置,接着只要将高防的cname解析到网站域名就完成高防接入了*(实际在这次实验先不解析到网站,我们需要透过调度器让CDN和高防之间互相切换)*
在流量调度器里可以看到几种调度方式介绍,这边选择CDN联动调度点选添加联动
阿里云会自动判断逾名是否在阿里云CDN上勾选需要关联的高防实例,并设定QPS阀值完成关联设定
设定完在调度器会产生一组cname domain,里面包含着CDN、高防实例的domain位址,透过智能调度器判断近来的流量是否存在攻击行为并切换服务
最後将调度器cname解析上网站domain name
透过本机端nslookup解析网站domain验证可以得知,在未受到攻击时解析得到调度器cname位址以及阿里云CDN的cname位址与节点IP
为了验证切换功能,透过一些方法压力测试自己的服务,发现在压力测试一阵子後调度器判断为攻击行为因此解析後得到了高防实例的Anycast IP,从网站开发者模式验证确实切换到高防IP
在阿里云平台上攻击分析可以看到目前所发生的事件,阿里云这里判别为http flood攻击,以切换到高防线路进行恶意流量过滤清洗
在DDoS高防的安全总览也可以看到即时及历史的攻击流量状况,包含第四层及第七层的攻击
在攻击结束後预设调度器会自动判断并将流量切换回CDN,也可以手动在平台上做操作切换
透过DDoS高防我们可以有效降低网路攻击造成的损失,在未来网路攻击将会随着科技高速发展日益严重,手机设备随着5G高速网路逐渐普及,势必会造就新型态的DDoS阻断攻击,资讯安全未来将会是需要不断演进且持续性的攻防战
<<: [Day 17] 轻量化的梯度提升机 - LightGBM
先来看看目前我们专案的资料夹结构: 前面有提到,ActiveRecord 所建立的 model 与 ...
mysql最佳化工具针对一笔叙述根据成本与规则制定一个具体计画,包含了执行叙述的方式、连接表的顺序、...
元件之所以很强大是他还有个资料传递功能,让各个元件互相沟通,今天就要来研究他到底要怎麽传资料! pr...
简单范例 利用实作一个简单的网站,边做边说明django的各个部分,通过实作能够更快了解django...
前言 就跟昨天的加权指数一样,我们之前的取得的CSV都是「每日」的资讯,但是我们需要历史资料才能归纳...