DDoS 防护

概述

Zenlayer 为 Zenlayer Elastic Compute（ZEC）实例上的所有弹性 IP（EIP）地址提供自动 DDoS 缓解服务。当流量出现大规模攻击迹象时——带宽突然激增、新连接尝试洪泛或数据包速率骤升——平台将实时检测并进行缓解。无需任何配置；两个防护层默认对所有 EIP 启用。

平台提供两个互补的防护层：

• DDoS 防护位于上游：在流量到达您的实例之前进行检测，对其进行清洗，并仅允许合法请求通过。

• EIP 拦截规则在网络边缘基于每个 EIP 运行——在每个地区均可用，包括尚未部署 DDoS 防护的地区，并作为最后一道防线执行基于阈值的拦截。

本指南将介绍这两个防护层的工作原理、相互作用方式，以及如何充分发挥各层的效用。

范围： 本指南仅涵盖网络层防护（第 3 层和第 4 层）。

防护流水线

下图展示了入站流量在到达您的云实例之前如何流经防护流水线。

简而言之：流量首先到达 DDoS 防护（如果可用），由其进行过滤和清洗。通过的流量随后到达 EIP 拦截规则层，该层对每个 EIP 执行阈值检查。您的实例仅接收通过了两个层检查的流量。

两层防护的协同工作方式

如果您的地区已部署 DDoS 防护： 入站流量依次通过两个防护层。DDoS 防护检测异常流量，通过 BGP 将其转发至清洗中心，并仅将干净的数据包重新投递。这些数据包随后通过 EIP 拦截规则，该规则作为第二道防线对每个 EIP 执行阈值检查。您的实例接收通过了两道检查的流量。

如果您的地区没有 DDoS 防护： EIP 拦截规则是您的主要入站防线。它们拦截超过每个 EIP 阈值的流量，并通过 OutCPS 监控防护出站异常。高级功能——流量清洗、指纹检测、地理拦截——在这些地区不可用。

在两种情况下： EIP 拦截规则独立监控 OutCPS（每秒出站连接数）。这能够检测可能已被入侵、正在发起出站攻击的实例，无论哪个入站防护层处于活动状态。

本指南内容

常见问题

费用是多少？ EIP 拦截规则对所有 EIP 免费提供，无需额外付费。关于 DDoS 防护的定价，请参阅 Zenlayer Console。

当我的 EIP 被封禁路由（Blackhole）时会发生什么？ 对该 EIP 的所有流量将被丢弃，默认持续时间为 2 小时。您可以从管理控制台手动解除封禁。

拦截会持续多久？ 默认情况下，拦截在 2 小时后到期，之后流量将重新接受评估。

哪些地区提供 DDoS 防护？ 请参阅 DDoS 防护页面上的地区可用性表格。所有未部署 DDoS 防护的地区均由 EIP 拦截规则覆盖。