# DDoS 防护 ## 概述 Zenlayer 为 Zenlayer Elastic Compute(ZEC)实例上的所有弹性 IP(EIP)地址提供自动 DDoS 缓解服务。当流量出现大规模攻击迹象时——带宽突然激增、新连接尝试洪泛或数据包速率骤升——平台将实时检测并进行缓解。无需任何配置;两个防护层默认对所有 EIP 启用。 平台提供两个互补的防护层: * **DDoS 防护**位于上游:在流量到达您的实例之前进行检测,对其进行清洗,并仅允许合法请求通过。 * **EIP 拦截规则**在网络边缘基于每个 EIP 运行——在每个地区均可用,包括尚未部署 DDoS 防护的地区,并作为最后一道防线执行基于阈值的拦截。 本指南将介绍这两个防护层的工作原理、相互作用方式,以及如何充分发挥各层的效用。 > **范围:** 本指南仅涵盖网络层防护(第 3 层和第 4 层)。 *** ## 防护流水线 下图展示了入站流量在到达您的云实例之前如何流经防护流水线。 简而言之:流量首先到达 DDoS 防护(如果可用),由其进行过滤和清洗。通过的流量随后到达 EIP 拦截规则层,该层对每个 EIP 执行阈值检查。您的实例仅接收通过了两个层检查的流量。 *** ## 两层防护的协同工作方式 **如果您的地区已部署 DDoS 防护:** 入站流量依次通过两个防护层。DDoS 防护检测异常流量,通过 BGP 将其转发至清洗中心,并仅将干净的数据包重新投递。这些数据包随后通过 EIP 拦截规则,该规则作为第二道防线对每个 EIP 执行阈值检查。您的实例接收通过了两道检查的流量。 **如果您的地区没有 DDoS 防护:** EIP 拦截规则是您的主要入站防线。它们拦截超过每个 EIP 阈值的流量,并通过 OutCPS 监控防护出站异常。高级功能——流量清洗、指纹检测、地理拦截——在这些地区不可用。 **在两种情况下:** EIP 拦截规则独立监控 OutCPS(每秒出站连接数)。这能够检测可能已被入侵、正在发起出站攻击的实例,无论哪个入站防护层处于活动状态。 *** ## 本指南内容 | 页面 | 您将学到的内容 | | ---------------------------------------------------------------------------- | ------------------------------- | | [DDoS 防护](/welcome/cn/elastic-compute/01-overview/02-ddos-protection.md) | DDoS 防护的工作原理、地区可用性、清洗生命周期 | | [流量清洗工作原理](/welcome/cn/elastic-compute/01-overview/03-cleaning-deep-dive.md) | 清洗流水线的逐步讲解、清洗架构、架构图 | | [EIP 拦截规则](/welcome/cn/elastic-compute/01-overview/04-eip-blocked-rules.md) | 基于阈值的拦截、入站与出站防护 | | [流量指标](/welcome/cn/elastic-compute/01-overview/05-traffic-metrics.md) | BPS、PPS、InCPS、OutCPS 的说明及攻击场景示例 | | [功能对比](/welcome/cn/elastic-compute/01-overview/06-feature-comparison.md) | 并排对比表格 | | [最佳实践](/welcome/cn/elastic-compute/01-overview/08-best-practices.md) | 充分利用两个防护层的运营指导 | | [配置指南](/welcome/cn/elastic-compute/01-overview/09-configuration-guide.md) | 如何配置 DDoS 策略、阈值和规则 | *** ## 常见问题 **费用是多少?** EIP 拦截规则对所有 EIP 免费提供,无需额外付费。关于 DDoS 防护的定价,请参阅 [Zenlayer Console](https://console.zenlayer.com/zec/ddos/policy)。 **当我的 EIP 被封禁路由(Blackhole)时会发生什么?** 对该 EIP 的所有流量将被丢弃,默认持续时间为 2 小时。您可以从[管理控制台](https://console.zenlayer.com/zec/ddos/attack)手动解除封禁。 **拦截会持续多久?** 默认情况下,拦截在 2 小时后到期,之后流量将重新接受评估。 **哪些地区提供 DDoS 防护?** 请参阅 DDoS 防护页面上的地区可用性表格。所有未部署 DDoS 防护的地区均由 EIP 拦截规则覆盖。 --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.console.zenlayer.com/welcome/cn/elastic-compute/01-overview.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.