阿里云云安全acp認證知識點之如何預防黑洞

高級工程師(ACP) 責任編輯:陳湘君 2022-04-21

摘要:如何預防黑洞是阿里云云安全acp認證第2章DDoS防護的知識點之一,本文將如何預防黑洞這個知識點的內容進行了整理,希望能幫助考生快速理解和掌握該知識點的內容。

如何預防黑洞

只有當DDoS攻擊的峰值帶寬超過了資產的DDoS的防御能力時,才會導致資產發(fā)生黑洞。資產的DDoS防御能力越大,則其被DDoS攻擊導致觸發(fā)黑洞的可能就越低。因此,只有提升資產的DDoS防御能力(即黑洞閾值),才可以從根本上預防黑洞。

您可以通過以下方式提升資產的DDoS防御能力:

1、使用免費的DDoS防護服務:

阿里云公網IP資產默認具有不超過5 Gbps的免費DDoS防御能力(DDoS基礎防護能力)。公網IP資產的DDoS基礎防護能力與資產所在地域及規(guī)格有關,具體信息,請參見DDoS基礎防護黑洞閾值。

在上述DDoS基礎防護能力以外,阿里云支持基于安全信譽的動態(tài)黑洞閾值加成。您可以通過維護您的安全信譽(例如,減少資產暴露面等),獲取更多免費加成的DDoS防御能力。

安全信譽聯(lián)盟綜合多方面因素考量來計算動態(tài)黑洞閾值,幫助信譽好的用戶提升首次被DDoS攻擊的防護量。動態(tài)黑洞閾值會隨著信譽分變化而調整,不承諾固定的防護量。

2、部署商用版DDoS防御方案:

購買DDoS原生防護,獲取全力防護的防御能力,且無需修改您的業(yè)務IP。

購買DDoS高防服務,獲取最高可達Tbps級別的防御能力,需將流量切換至DDoS高防。DDoS高防服務明確承諾防護量和防御效果。

是否可以通過訪問控制策略(ACL)屏蔽DDoS攻擊及預防黑洞?

不可以。ACL只能在服務器邊緣生效,無法阻擋從大量“僵尸”網絡匯集的DDoS攻擊流量,通過互聯(lián)網一級級傳遞到云網絡,并抵達服務器邊緣。DDoS攻擊流量抵達服務器邊緣時,其規(guī)模已遠超服務器ACL的處置能力。因此,要防御DDoS攻擊,需要盡可能在上層網絡邊界部署防護策略。

對抗DDoS攻擊的關鍵是通過足夠大的網絡帶寬,并結合流量分析和過濾手段,將其中的攻擊流量清洗掉。如果依賴將服務器帶寬擴容到與攻擊等規(guī)模的帶寬,并部署清洗集群進行流量清洗,將會產生單一客戶無法承擔的帶寬和服務器成本。如果不同客戶分別在目的端建設DDoS清洗設施,則進一步加劇了攻防成本的不對等。

因此,經濟有效的DDoS防御方式是由云服務供應商集中建設大容量的網絡帶寬并在上層網絡部署清洗設施,以近源方式清洗DDoS攻擊流量,同時通過SaaS服務的形式將DDoS防御服務提供給有需求的客戶采購,使清洗資源可以復用,從而降低單客戶防御DDoS的成本。

點擊下方圖片可購買阿里云云安全acp認證網絡課程,個性化服務,為你的升職加薪之路助力!??!
aq.png

更多資料
更多課程
更多真題
溫馨提示:因考試政策、內容不斷變化與調整,本網站提供的以上信息僅供參考,如有異議,請考生以權威部門公布的內容為準!

阿里云認證備考資料免費領取

去領取

阿里云認證熱門課程推薦
  • 云計算acp工程師直播課程

  • 云安全acp工程師直播課程

  • 大數據acp工程師直播課程

專注在線職業(yè)教育24年

項目管理

信息系統(tǒng)項目管理師

廠商認證

信息系統(tǒng)項目管理師

信息系統(tǒng)項目管理師

!
咨詢在線老師!