产品介绍 - PDF Free Download

Anti-DDoS 流量清洗产品介绍文档版本 12 发布日期 2019-06-28 华为技术有限公司

版权所有华为技术有限公司 2019 保留一切权利非经本公司书面许可, 任何单位和个人不得擅自摘抄复制本文档内容的部分或全部, 并不得以任何形式传播商标声明和其他华为商标均为华为技术有限公司的商标本文档提及的其他所有商标或注册商标, 由各自的所有人拥有注意您购买的产品服务或特性等应受华为公司商业合同和条款的约束, 本文档中描述的全部或部分产品服务或特性可能不在您的购买或使用范围之内除非合同另有约定, 华为公司对本文档内容不做任何明示或默示的声明或保证由于产品版本升级或其他原因, 本文档内容会不定期进行更新除非另有约定, 本文档仅作为使用指导, 本文档中的所有陈述信息和建议不构成任何明示或暗示的担保华为技术有限公司地址 : 深圳市龙岗区坂田华为总部办公楼邮编 :518129 网址 : http://e.huawei.com 文档版本 12 (2019-06-28) 版权所有华为技术有限公司 i

目录目录 1 简介... 1 2 基本概念... 2 2.1 华为云黑洞策略... 2 2.2 清洗原理黑洞阈值... 2 2.3 常见 DDoS 攻击类型... 3 3 功能特性... 4 4 产品优势... 5 5 使用场景... 6 6 访问与使用... 7 6.1 如何访问... 7 6.2 如何使用... 7 6.3 与其他云服务的关系... 7 6.4 用户权限... 9 6.5 权限管理... 9 文档版本 12 (2019-06-28) 版权所有华为技术有限公司 ii

1 简介 1 简介 Anti-DDoS 流量清洗服务 ( 以下简称 Anti-DDoS) 为华为云内资源 ( 弹性云服务器弹性负载均衡和裸金属服务器 ), 提供网络层和应用层的 DDoS 攻击防护和攻击实时告警通知同时,Anti-DDoS 可以提升用户带宽利用率, 确保用户业务稳定运行 Anti-DDoS 通过对互联网访问弹性云服务器弹性负载均衡和裸金属服务器的业务流量进行实时监测, 及时发现异常 DDoS 攻击流量在不影响正常业务的前提下, 根据用户配置的防护策略, 清洗掉攻击流量同时,Anti-DDoS 为用户生成监控报表, 清晰展示网络流量的安全状况文档版本 12 (2019-06-28) 版权所有华为技术有限公司 1

2 基本概念 2 基本概念 2.1 华为云黑洞策略为了保障华为云网络的整体可用性, 华为云采用黑洞封堵, 对遭受大流量攻击的云主机在一定时间内限制外网通信什么是黑洞? 黑洞是指云主机受攻击流量超过防护黑洞阈值时, 华为云屏蔽云主机的外网通信当云主机进入黑洞一段时间后, 如果系统监控到攻击流量停止, 黑洞会自动解封由于黑洞是华为云向运营商购买的服务, 而运营商对黑洞解除时间和频率都有严格的限制, 所以黑洞状态无法人工解除, 需耐心等待系统自动解封为什么要黑洞, 为什么华为云不能免费帮用户无限防御 DDoS 攻击? DDoS 防御需要成本, 其中最大的成本就是带宽费用带宽是华为云向运营商购买, 运营商计算带宽费用时不会把 DDoS 攻击流量清洗掉, 而是直接收取华为云的带宽费用华为云在控制成本的前提下, 会尽量为用户免费防御 DDoS 攻击, 但当攻击流量超出阈值时, 会进行拉黑因此, 为保障业务连续性, 需要您购买 DDoS 高防产品, 以提升 DDoS 防御能力 2.2 清洗原理黑洞阈值华为云 Anti-DDoS 流量清洗服务默认开启, 为用户提供 DDoS 攻击防御功能清洗原理系统对业务攻击流量进行实时检测, 一旦发现针对云主机的攻击行为, 将把业务流量从原始网络路径中引流到华为云 DDoS 清洗系统, 通过华为云 DDoS 清洗系统对该 IP 的流量进行识别, 丢弃攻击流量, 将正常流量转发至目标 IP, 减缓攻击对服务器造成的损害文档版本 12 (2019-06-28) 版权所有华为技术有限公司 2

2 基本概念黑洞阈值黑洞阈值指华为云为客户提供的基础攻击防御范围, 当攻击超过限定的阈值时, 华为云会采取黑洞策略封堵 IP 华为云为用户免费提供最高 5Gbit/s 的 DDoS 攻击防护对于可能会遭受超过 5Gbit/s 流量攻击的应用, 建议您购买华为云 DDoS 高防服务, 提升防护能力 2.3 常见 DDoS 攻击类型拒绝服务 (Denial of Service, 简称 DoS) 攻击也称洪水攻击, 是一种网络攻击手法, 其目的在于使目标电脑的网络或系统资源耗尽, 服务暂时中断或停止, 导致合法用户不能够访问正常网络服务的行为当攻击者使用网络上多个被攻陷的电脑作为攻击机器向特定的目标发动 DoS 攻击时, 称为分布式拒绝服务攻击 (Distributed Denial of Service Attack, 简称 DDoS) 常见 DDoS 攻击类型见表 1 表 2-1 攻击类型说明举例网络层攻击传输层攻击会话层攻击应用层攻击通过大流量拥塞被攻击者的网络带宽, 导致被攻击者的业务无法正常响应客户访问通过占用服务器的连接池资源, 达到拒绝服务的目的通过占用服务器的 SSL 会话资源, 达到拒绝服务的目的通过占用服务器的应用处理资源, 极大消耗服务器处理性能, 达到拒绝服务的目的 NTP Flood 攻击 SYN Flood 攻击 ACK Flood 攻击 SSL 连接攻击 HTTP Get Flood 攻击 HTTP Post Flood 攻击文档版本 12 (2019-06-28) 版权所有华为技术有限公司 3

3 功能特性 3 功能特性 Anti-DDoS 流量清洗服务 ( 以下简称 Anti-DDoS) 为华为云内资源 ( 弹性云服务器弹性负载均衡和裸金属服务器 ), 提供网络层和应用层的 DDoS 攻击防护和攻击实时告警通知同时,Anti-DDoS 可以提升用户带宽利用率, 确保用户业务稳定运行 Anti-DDoS 通过对互联网访问弹性云服务器弹性负载均衡和裸金属服务器的业务流量进行实时监测, 及时发现异常 DDoS 攻击流量在不影响正常业务的前提下, 根据用户配置的防护策略, 清洗掉攻击流量同时,Anti-DDoS 为用户生成监控报表, 清晰展示网络流量的安全状况 Anti-DDoS 可以帮助用户缓解以下攻击 : Web 服务器类攻击 SYN Flood 攻击 HTTP Flood 攻击 CC(Challenge Collapsar) 攻击慢速连接类攻击等游戏类攻击 UDP(User Datagram Protocol ) Flood 攻击 SYN Flood TCP(Transmission Control Protocol ) 类攻击分片攻击等 HTTPS 服务器的攻击 SSL DoS/DDoS 类攻击等 DNS 服务器的各类攻击 DNS(Domain Name Server) 协议栈漏洞攻击 DNS 反射攻击 DNS Flood 攻击 DNS CacheMiss 攻击等 Anti-DDoS 还提供以下功能 : 为单个弹性公网 IP 地址提供监控记录, 包括当前防护状态当前防护配置参数 24 小时内流量情况 24 小时内异常事件为用户所有进行防护的弹性公网 IP 地址提供拦截报告, 支持查询攻击统计数据, 包括清洗次数清洗流量, 以及弹性云服务器弹性负载均衡或裸金属服务器被攻击次数 Top10 排名和共拦截攻击次数等文档版本 12 (2019-06-28) 版权所有华为技术有限公司 4

4 产品优势 4 产品优势 Anti-DDoS 流量清洗服务为华为云用户提供 DDoS 攻击防护, 其产品优势如下 : 优质防护实时监测, 及时发现 DDoS 攻击, 丢弃攻击流量, 将正常流量转发至目标 IP 提供优质带宽, 保证业务连续性和稳定性, 保障用户访问速度自动开启本服务在购买 EIP 时自动开启防护, 无需采购昂贵清洗设备, 无需安装免费使用本服务是免费服务, 使用时不需要购买资源, 不产生任何费用, 用户可放心使用文档版本 12 (2019-06-28) 版权所有华为技术有限公司 5

5 使用场景 5 使用场景 Anti-DDoS 仅对华为云内的弹性云服务器弹性负载均衡和裸金属服务器, 提供 DDoS 攻击防护 Anti-DDoS 设备部署在机房出口处, 网络拓扑架构如图 1 所示图 5-1 检测中心根据用户配置的安全策略, 检测网络访问流量当发生攻击时, 将数据引流到清洗设备进行实时防御, 清洗异常流量, 转发正常流量 Anti-DDoS 流量清洗服务提供最高 5Gbit/s 的 DDoS 攻击防护系统会对超过黑洞阈值的受攻击 EIP 进行黑洞处理, 正常访问流量会丢弃 ; 对于可能会遭受超过 5Gbit/s 流量攻击的应用, 建议您购买华为云 DDoS 高防服务, 提升防护能力文档版本 12 (2019-06-28) 版权所有华为技术有限公司 6

6 访问与使用 6 访问与使用 6.1 如何访问 6.2 如何使用华为云提供了 Web 化的服务管理平台, 即管理控制台管理方式和基于 HTTPS 请求的 API (Application Programming Interface) 管理方式管理控制台管理方式如果用户已注册公有云, 在登录管理控制台后, 单击管理控制台左上角的, 选择区域和项目, 在主页选择安全 > Anti-DDoS 流量清洗, 访问 Anti-DDoS 服务基于 HTTPS 请求的 API 管理方式用户可通过接口方式访问 Anti-DDoS, 具体操作请参见 Anti-DDoS 流量清洗 API 参考 Anti-DDoS 使用说明如下 : 为 IP 地址开启 Anti-DDoS 防护后, 即可对其提供 DDoS 攻击保护当 IP 地址受到 DDoS 攻击时, 如果需要接收提醒信息 ( 短信或 Email), 可开启告警通知在防护过程中, 用户可根据业务实际情况, 及时调整防护策略开启防护后, 可通过查看监控报告和拦截报告, 了解详细网络安全状况 6.3 与其他云服务的关系与弹性云服务器弹性负载均衡和裸金属服务器的关系 Anti-DDoS 对弹性云服务器 (Elastic Cloud Server, 简称 ECS) 弹性负载均衡 (Elastic Load Balance, 简称 ELB) 和裸金属服务器 (Bare Metal Server, 简称 BMS) 提供 DDoS 攻击防护文档版本 12 (2019-06-28) 版权所有华为技术有限公司 7

6 访问与使用说明与云审计服务的关系弹性云服务器是由 CPU 内存镜像云硬盘组成的一种可随时获取弹性可扩展的计算服务器更多信息请参见弹性云服务器用户指南弹性负载均衡通过将访问流量自动分发到多台弹性云服务器, 扩展应用系统对外的服务能力, 实现更高水平的应用程序容错性能更多信息请参见弹性负载均衡用户指南裸金属服务器为用户提供专属的物理服务器, 拥有较高的计算性能, 能够同时满足核心应用场景对高性能及稳定性的需求更多信息请参见裸金属服务器用户指南云审计服务 (Cloud Trace Service, 简称 CTS) 记录 Anti-DDoS 相关的操作事件, 方便用户日后的查询审计和回溯, 具体请参见云审计服务用户指南云审计服务支持的 Anti-DDoS 操作列表表 6-1 CTS 支持的 Anti-DDoS 操作列表操作名称开启 Anti-DDoS 防护关闭 Anti-DDoS 防护调整 Anti-DDoS 安全设置事件名称 openantiddos deleteantiddos updateantiddos 通过云审计服务查看 Anti-DDoS 的审计日志 a. 登录管理控制台 b. 在管理控制台左上角单击图标, 选择区域和项目 c. 在主页选择管理与部署 > 云审计服务, 进入云审计服务信息页面 d. 单击左侧导航树的事件列表, 进入事件列表信息页面 e. 事件列表支持通过筛选来查询对应的操作事件当前事件列表支持四个维度的组合查询, 详细信息如下 : 事件来源资源类型和筛选类型在下拉框中选择查询条件, 例如 : 依次选择 Anti-DDoS > antiddos > 按事件名称 > openantiddos, 单击查询, 查询所有开启 Anti-DDoS 防护的操作事件名称 : 选择具体的事件名称, 例如 openantiddos 资源 ID: 选择或者手动输入需要查看审计日志的实例 ID 资源名称 : 选择或手动输入需要查看审计日志的实例名称操作用户 : 在下拉框中选择某一具体的操作用户, 此操作用户指用户级别, 而非租户级别事件级别 : 可选项为所有事件级别 normal warning incident, 只可选择其中一项起始时间结束时间 : 可通过选择时间段查询操作事件 f. 在需要查看的记录左侧, 单击展开该记录的详细信息文档版本 12 (2019-06-28) 版权所有华为技术有限公司 8

6 访问与使用与统一身份认证服务的关系与消息通知服务的关系 g. 在需要查看的记录右侧, 单击查看事件统一身份认证服务 (Identity and Access Management, 简称 IAM) 为 Anti-DDoS 提供了权限管理的功能需要拥有 Anti-DDoS Administrator 权限的用户才能使用 Anti-DDoS 服务如需开通该权限, 请联系拥有 Security Administrator 权限的用户, 详细内容请参见统一身份认证服务用户指南消息通知服务 (Simple Message Notification, 简称 SMN) 提供消息通知功能 Anti- DDoS 开启告警通知后, 如果 IP 地址受到 DDoS 攻击时用户会收到短信或邮件的提醒信息有关 SMN 的详细内容, 请参见消息通知服务用户指南 6.4 用户权限系统默认提供两种权限 : 用户管理权限和资源管理权限用户管理权限可以管理用户用户组及用户组的权限资源管理权限可以控制用户对云服务资源执行的操作 Anti-DDoS 的用户权限请参见权限策略 6.5 权限管理 Anti-DDoS 系统策略如果您需要对华为云上创建的 Anti-DDoS 资源, 给企业中的员工设置不同的访问权限, 以达到不同员工之间的权限隔离, 您可以使用统一身份认证服务 (Identity and Access Management, 简称 IAM) 进行精细的权限管理该服务提供用户身份认证权限分配访问控制等功能, 可以帮助您安全的控制华为云资源的访问通过 IAM, 您可以在华为云账号中给员工创建 IAM 用户, 并使用策略来控制他们对华为云资源的访问范围例如您的员工中有负责软件开发的人员, 您希望他们拥有 Anti- DDoS 的使用权限, 但是不希望他们拥有删除 Anti-DDoS 等高危操作的权限, 那么您可以使用 IAM 为开发人员创建用户, 通过授予仅能使用 Anti-DDoS, 但是不允许删除 Anti- DDoS 的权限策略, 控制他们对 Anti-DDoS 资源的使用范围如果华为云账号已经能满足您的要求, 不需要创建独立的 IAM 用户进行权限管理, 您可以跳过本章节, 不影响您使用 Anti-DDoS 服务的其它功能 IAM 是华为云提供权限管理的基础服务, 无需付费即可使用关于 IAM 的详细介绍, 请参见 IAM 产品介绍策略是以 JSON 格式描述权限集的语言默认情况下, 新建的 IAM 用户没有任何权限, 您需要将其加入用户组, 并给用户组授予策略, 才能使得用户组中的用户获得策略定义的权限, 这一过程称为授权授权后, 用户就可以基于策略对云服务进行操作 IAM 系统预置了各服务的常用权限, 例如管理员权限只读权限, 您可以直接使用这些系统策略 Anti-DDoS 部署时通过物理区域划分, 为项目级服务, 需要在各区域 ( 如华北 - 北京 1) 对应的项目 (cn-north-1) 中设置策略, 并且该策略仅对此项目生效, 如果需要所有区文档版本 12 (2019-06-28) 版权所有华为技术有限公司 9

6 访问与使用域都生效, 则需要在所有项目都设置策略访问 Anti-DDoS 时, 需要先切换至授权区域如表 1 所示, 包括了 Anti-DDoS 的所有系统策略其中依赖关系表示该系统策略对其它策略的依赖由于华为云各服务之间存在业务交互关系,Anti-DDoS 的策略依赖其他服务的策略实现功能因此给用户授予 Anti-DDoS 服务的权限时, 需要同时授予依赖的权限,Anti-DDoS 服务的权限才能生效表 6-2 Anti-DDoS 系统策略策略名称描述依赖关系 Anti-DDoS Administrator Anti-DDoS 服务的管理员权限依赖 Tenant Guest 策略 Tenant Guest: 全局级策略, 在全局项目中勾选相关链接 IAM 产品介绍文档版本 12 (2019-06-28) 版权所有华为技术有限公司 10